前言
Veil、Venom和Shellter是三大老牌免殺工具,Veil-Evasion是一個用python寫的免殺框架,可以將任意腳本或一段shellcode轉換成Windows可執行文件,還能利用Metasploit框架生成相兼容的Payload工具,從而逃避了常見防病毒產品的檢測。
安裝
安裝分兩種,一種是手動安裝,一種是docker安全裝,這里建議使用docker安裝,方便快捷
鏡像地址:
https://hub.docker.com/r/mattiasohlsson/veil/
在kali里安裝docker后,添加docker加速鏡像地址vi /etc/docker/daemon.json
{ "registry-mirrors": [ "https://1nj0zren.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn", "http://f1361db2.m.daocloud.io", "https://registry.docker-cn.com" ] }
然后重啟docker服務
systemctl daemon-reloadsystemctl restart docker
拉取veil鏡像
docker pull mattiasohlsson/veil
拉取成功后,使用該鏡像啟動容器,並將生成免殺文件的目錄映射到宿主機的/tmp目錄中
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
出現以下界面,則安裝成功
基礎使用
veil中有兩個功能模塊,Evasion和Ordnance,其中Evasion來做文件免殺,命令幫助信息如下
Evasion中包含了很多種payload,我們先選擇Evasion,再列出所有payload信息
use 1 list
metasploit免殺
veil中可以直接通過meterpreter生成免殺文件,這里我們選擇使用python語言編碼生成tcp的馬
在選擇的時候不用輸入payload全名,使用use跟前面的序號就可以
use 28
然后設置好LHOST和LPORT,再使用generate生成。
輸入一個文件名稱,對生成的文件命名
選擇生成方式,選擇默認用pyinstaller生成exe文件(直接敲回車就行)
生成完成,因為在啟動容器的時候已經將生成文件目錄映射到宿主機的/tmp目錄了,這樣就不用使用docker cp往宿主機中拷貝了,直接在宿主機/tmp目錄下找就可以
啟動msf,配置msf過程不再詳細贅述,平時反彈shell怎么配置就怎么配置,但是要跟上面設置的LHOST和LPOT相同
在window7虛擬機中運行木馬,回彈成功
使用360殺毒對木馬進行檢測,未檢測到木馬
文件免殺
同樣使用python進行編碼,對cobaltstrike的木馬進行免殺
cobaltstrike的基本使用在這里多贅述
啟動teamserver,創建好監聽器,生成payload
veil中選擇29(aes)
直接輸入generate
選擇3,將剛才生成的payload.txt中的編碼復制過來
后面生成文件的過程就一樣了,同樣選擇pyinstaller生成,放到windows7虛擬機中運行,上線成功
使用360殺毒對木馬進行檢測,未檢測到木馬
參考文獻
https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247484786&idx=1&sn=ad9d407c1609fec077e5d58860de7385&scene=21#wechat_redirect