有效載荷(Payloads)簡介


當安裝了Veil,我們可以檢視它的命令。這些命令很簡單,如下面的螢幕截圖所示。例如:exit命令用於退出程式,info用於提供有關特定工具的資訊,list用於列出可用工具,update用於更新Veil,use啟用任何工具的使用,如在給定的螢幕截圖中顯示:

在上面的螢幕截圖中,我們可以看到Veil中使用了兩種型別的工具:

  • Evasion:此工具用於生成無法檢測到的後門。
  • Ordnance:此工具用於生成Evasion使用的有效負載,它更像是一種輔助工具。

有效負載是程式碼的一部分,可以滿足我們的需求。在這種情況下,它為我們提供了反向連線,在目標計算機上下載並執行某些操作。使用use命令來啟用任何工具。當想要執行Evasion,可以執行use 1命令。當Veil-Evasion載入時,我們應該看到類似於以下命令的內容:

在上面的螢幕截圖中,可以看到Veil提供了可以在此工具上執行的命令列表。如果想要列出所有可用的有效載荷,共有41個。在下面的螢幕截圖中,我們可以看到每個有效載荷分為三個部分,我們已經突出顯示了我們將要使用的有效載荷15個)。其中,go/meterpreter/rev_https.py如下圖所示:

有效負載名稱的第一部分是有效負載將被包裝的程式設計語言。在上面的螢幕截圖中,我們可以看到使用的語言套件括:C#,Python,GO,C,PowerShell和Ruby。在這個例子中,我們將使用go語言。

有效載荷的第二部分是有效載荷的型別。換句話說,將在目標網路上執行的程式碼型別。在這個例子中,我們將使用Meterpreter,它是由Metasploit設計的有效載荷。Metasploit是一個龐大的框架,有時它被用於駭客攻擊。Meterpreter在記憶體中執行,因此難以檢測,並且不會留下很大的空間。使用Meterpreter,我們可以通過目標計算機獲得完全存取許可權。它允許我們瀏覽檔案系統,安裝或下載檔案等等。

有效負載名稱的第三部分是將用於建立其連線的方法。在我們的範例中,使用的是rev_https。其中rev代表反向,https是用於建立連線的協定。在前面的螢幕截圖中,有一些rev_tcp範例,它們建立了一個反向TCP連線。

反向連線是目標機器通過後門連線到攻擊者的機器的地方。此方法繞過防病毒程式,因為連線不是針對目標計算機,而是針對攻擊者。在我們的範例中,將使用許多網站使用的埠808080,以便連線將顯示為無害的網站連線。