生成Veil后门
在本章中,我们将使生成Veil后门。首先,我们将运行lis
t命令,然后输入use 1
命令,因为我们想要使用Evasion。按Enter键,因为要使用第15个有效负载,所以我们将运行use 15
命令,如下所示:
现在,我们将使用以下选项将有效负载的IP LHOST更改为Kali机器的IP地址。
运行ifconfig
命令,以获取Kali机器的IP地址。现在通过右键单击并选择“水平分割”来分割屏幕,然后运行命令。在下面的屏幕截图中,可以看到Kali机器的IP是10.0.2.15
,这是我们希望目标计算机的连接在后门执行后返回的位置:
要将LHOST设置为10.0.2.15
,使用set
命令,后跟要更改的选项,如下所示:
现在我们需要将LPORT更改为8080
。此端口也被Web服务器使用,因此不会出现被过滤的情况,仍可以绕过防火墙。现在我们要设置正确的端口,输入设置的LPORT 8080命令,如下面的截图所示:
根据经验,这个过程将绕过AVG以外的每个防病毒程序。防病毒程序使用大型签名数据库。这些签名对应于包含有害代码的文件,因此,如果我们的文件与数据库中的任何值匹配,则会将其标记为病毒或恶意软件。这就是为什么需要确保我们的后门尽可能独特,以便它可以绕过每一块防病毒软件。Veil通过加密后门,对其进行模糊处理以及将其注入内存以使其无法被检测到而努力工作,但这并不能用AVG清洗。
为了确保我们的后门可以绕过AVG,我们需要修改它使用的最小处理器数量。在这种情况下,它设置为1
。使用以下命令执行此操作:
我们将修改SLEEP
选项,后者是后门在执行有效负载之前等待的秒数。在以下情况中,需要等待6秒:
以下屏幕截图显示了更改:
现在使用generate
命令生成后门,如下所示:
现在我们将后门命名为rev_https_8080
。以下屏幕截图说明了生成后门的内容。这包括后门使用的模块及其存储位置:
为了测试后门,我们将绕过Veil的checkvt
命令,该命令并不总是准确的,而VirusTotal则与防病毒软件共享其结果,而是选择网站NoDistribute
,如下面的屏幕截图所示:
现在,我们将单击Browse …并导航到文件/usr/share/veil-output/compiled
,如下所示:
点击扫描文件后,我们可以成功绕过所有防病毒程序,如下面的屏幕截图所示:
Veil在与最新版本保持同步时效果最佳。