在本章中,我們將使生成Veil後門。首先,我們將執行lis
t命令,然後輸入use 1
命令,因為我們想要使用Evasion。按Enter鍵,因為要使用第15個有效負載,所以我們將執行use 15
命令,如下所示:
現在,我們將使用以下選項將有效負載的IP LHOST更改為Kali機器的IP地址。
執行ifconfig
命令,以獲取Kali機器的IP地址。現在通過右鍵單擊並選擇「水平分割」來分割螢幕,然後執行命令。在下面的螢幕截圖中,可以看到Kali機器的IP是10.0.2.15
,這是我們希望目標計算機的連線在後門執行後返回的位置:
要將LHOST設定為10.0.2.15
,使用set
命令,後跟要更改的選項,如下所示:
現在我們需要將LPORT更改為8080
。此埠也被Web伺服器使用,因此不會出現被過濾的情況,仍可以繞過防火牆。現在我們要設定正確的埠,輸入設定的LPORT 8080命令,如下面的截圖所示:
根據經驗,這個過程將繞過AVG以外的每個防病毒程式。防病毒程式使用大型簽名資料庫。這些簽名對應於包含有害程式碼的檔案,因此,如果我們的檔案與資料庫中的任何值匹配,則會將其標記為病毒或惡意軟體。這就是為什麼需要確保我們的後門盡可能獨特,以便它可以繞過每一塊防病毒軟體。Veil通過加密後門,對其進行模糊處理以及將其注入記憶體以使其無法被檢測到而努力工作,但這並不能用AVG清洗。
為了確保我們的後門可以繞過AVG,我們需要修改它使用的最小處理器數量。在這種情況下,它設定為1
。使用以下命令執行此操作:
我們將修改SLEEP
選項,後者是後門在執行有效負載之前等待的秒數。在以下情況中,需要等待6秒:
以下螢幕截圖顯示了更改:
現在使用generate
命令生成後門,如下所示:
現在我們將後門命名為rev_https_8080
。以下螢幕截圖說明了生成後門的內容。這包括後門使用的模組及其儲存位置:
為了測試後門,我們將繞過Veil的checkvt
命令,該命令並不總是準確的,而VirusTotal則與防病毒軟體共用其結果,而是選擇網站NoDistribute
,如下面的螢幕截圖所示:
現在,我們將單擊Browse …並導航到檔案/usr/share/veil-output/compiled
,如下所示:
點選掃描檔案後,我們可以成功繞過所有防病毒程式,如下面的螢幕截圖所示:
Veil在與最新版本保持同步時效果最佳。