第004文-模拟制作恶意软件对win10进行渗透

已于 2025-03-04 02:40:35 修改
阅读量168 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 网络安全 运维
于 2025-03-03 02:26:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011857851/article/details/145973587

        我们在无法突破对方的网络边界的时候,往往需要使用客户端渗透这种方式对目标发起攻击,比如我们向目标发一个含有后门的程序,或者exe的程序很多人会本能的防范不会去点击,那也可以伪装成是一个word文件,pdf文件,jpg图片等。想要达到效果的同时也要利用好社会工程学,来诱骗受害者执行恶意程序。

        客户端渗透技巧,通常用户的计算机都安装了安全软件杀毒软件,一般我们生成的恶意程序都会被检测,所以我们设计的恶意软件可以利用人的贪婪,好奇等心理,比如我们将恶意软件或者网站伪装成色情网站或者软件,这样接收到的用户就会认为它被杀毒软件检测出来很正常,这时候如果用户关闭了杀毒软件执意点击恶意软件查看,那么他就中招了。当然这只是一种取巧的办法,成功率低。最好是我们利用免杀来躲避安全软件的查杀

        举个简单的例子,很多开发人员使用的开发相关的软件都是收费的,为了能免费使用,有的会去网上找免费的注册码,有的会下载注册机到本地直接激活。注册机很可能就是一个恶意的软件。甚至我们安装操作系统和office之类的常用软件的时候,有人也会在网上寻找激活软件,这些都可能让自己不小心中招。

        今天我们来模拟制作一个恶意软件,然后在vmware中装一个win10虚拟机,把恶意软件放到win10虚拟机中,就能真实的看到被渗透了是什么效果,能做哪些事情。这里为了简单,不做免杀,关于免杀后面再说。前面我们在vmware中安装了kali系统,今天需要再额外安装一个win10虚拟机,安装过程不再说明。

整个过程可以分为一下几步:

1.生成恶意软件,绑定木马(注意,关于恶意软件本身不介绍,只演示绑定木马的过程),

2.把绑定好的上传到win10虚拟机

3.win10用户不小心点击了恶意程序,

4.从kali系统上查看效果

第一步,模拟恶意软件,制作木马

        制作木马模拟渗透,我们需要使用到一个软件 CobalStrike 。它的下载地址在官网和GitHub上都可以搜到。

        Cobalt Strike(简称为CS)是一款基于java的渗透测试工具,是一款美国Red Team开发的安全测试神器,这个工具非常火,成为了安全测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office渗透,文件捆绑,钓鱼等功能。同时它还可以调用Minikatz等其它知名工具,因此广受黑客和测试人员喜爱,可以简称它为CS。

首先在kali上安装一个golang的环境,先执行 

apt update

然后再执行

apt install -y golang 

就可以在kali中成功安装golang环境。

以下是提前准备好的已经上传到kali上的文件,

首先给binding 加一个可执行权限,

chmod +x binding

然后可以看到 binding 变成了绿色,

接下来安装软件 CobalStrike ,首先解压软件到当前目录,

unzip CobaltStrike4.3.zip

然后进入解压后的目录,

cd CobaltStrike4.3

这是解压后目录中的文件,

其中,需要给 start.sh 和 teamserver 两个文件赋予执行权限,

chmod +x teamserver start.sh

可以看到俩文件变成了绿色,

接下来,尝试启动一下teamserver 和 start.sh  ,首先原来的终端不要关闭,打开一个新的终端,

原来的终端和新打开的终端都在CobaltStrike4.3解压目录下。首先,在原来的终端里,执行下面的命令,

./teamserver 192.168.3.76 123456

其中3.76是kali虚拟机本身的ip,123456是设置的一个临时密码,

可以看到启动了一个Team server,监听端口是50050,下一步,在另一个终端,也就是新打开的终端中执行下面的命令,

./start.sh

可以看到弹出了一个对话框,

上面这个过程说白了就是自己启动,然后再自己连接上自己。

接下来在弹出的框里面,把ip改为kali自己的ip,端口默认就是对的,用户名改为root,密码改为上面临时写的123456,

接下来点击连接,一路选择是,最后能看到打开的窗口如下,

这个窗口就是cs(CobalStrike )软件的操作窗口。

接下来创建一个监听器,来监听被我们生成的木马所感染的机器,

点击Add按钮创建一个监听器,

修改上图箭头指定的四个地方,名字可以随便写,两个host一样写自己的kali的ip即可,端口修改一下,默认是80,容器和web服务冲突,改一个其他不容易冲突的。然后点击save,创建成功,

下一步,生成一个后门,

选择最后一个windows Executable ,

然后,监听器选择我们刚才创建的那个监听器,输入我们使用默认的即可,就是Windows EXE,

表示生成一个双击可以运行的exe文件程序,就像平时安装程序一样。然后点击Generate,生成,

接下来弹出一个文件选择框,

加下来选择一个文件夹,作为生成的文件保存的目录,这里可以选择一个准备好的文件夹目录,并给生成的程序文件改个名字,

然后点击保存,就可以看到文件成功保存到指定目录,

这个时候,木马程序就初步生成了。

目前生成的文件,很显然用户没有主动双击的兴趣,可以绑定到其它一些软件上,让用户简介去执行它。

比如注册机,我们平时用的软件,比如idea,navicat,甚至office等等,都可以需要下载软件去激活。这类软件统称为注册机。

绑定的目的很简单,就是诱导用户去点击它。因为用户不主动点击它不会起作用。这里用到网上下载的一个普通的没啥用的exe软件和一个ico图标文件,

exe是注册机的执行文件,ico是展示的一个图标文件。通过它们和木马绑定到一起,让用户认为这个是一个正常的软件文件。执行下面的命令,

./binding -m muma.exe -s SecureCRT-kg.exe -i SecureCRT-kg.ico

binding是一个执行绑定的脚本文件,-m 后面指定的是制作好的木马执行文件,-s 后面是要绑定到哪个软件上,-i 是指定显示的图标。

点击回车执行,这里需要长一点时间等待,完成后输出成功,

从输出信息可以看到,绑定好的文件在output文件夹下,叫payload.exe文件,

这就是我们要的,模拟制作的恶意软件!

第二步,把制作好的恶意软件放到win10上

接下来把它传输到win10虚拟机里面去,

这里要注意,需要临时关闭病毒防护和杀毒软件,否则这个文件容易被自动删除!!

因为这里没有做免杀

第三步,用户点击恶意软件

        我们上传的payload文件是一个单独的exe文件,一般情况下,这种恶意软件会隐藏在一个普通软件的安装目录下,作为一个普通的exe文件掩护。这样就能迷惑用户去无意间执行。这里跳过这一步,直接默认用户会执行个恶意软件。

我们来直接双击payload文件,这里我使用的是一个普通软件的注册机,

和没有绑定木马的情况下,双击的结果一样,也是弹出这个对话框,这个时候,木马已经被运行起来了,从kali上面可以看到一个机器上线记录,

第四步,从kali后台查看效果

箭头指向的就是运行木马的用户电脑ip,点击这个按钮可以看到一个图表效果,

在列表中,右击这个会话记录,找到目标,选择文件管理,

刚点击完,下面是空白的,有时候会很慢,多等会,就能加载出来,可以看到如下效果,

可以看到,被控制端的文件列表都可以看到,再来看一个远程VNC,

下面加载完成后,效果如下,

能直接看到用户那边的运行画面,看到桌面上有哪些东西,正在浏览什么文件,文件内容也能看到。

这就是上线,只要带木马的文件被用户双击了,就能查看和控制。

到这一步大致流程走完了,下面试试绑定图片。

第五步,将恶意软件绑定到图片上,诱导点击

下面试试把恶意软件绑定到图片上,首先将上面生成的payload.exe删除,

然后准备好了一张动漫图片,

执行命令,

./binding -m muma.exe -s dongman.jpg -i favicon.ico

可以看到在对应的目录下新生成了一个payload.exe文件,

把win10虚拟机上已有的那个payplad.exe删除,把这个上传上去,

这就是制作好的恶意软件,改为大图标显示,显示的就是生成的时候用的动漫图片,这个看着像个图片文件,实际上还是个exe执行文件。现在的问题是,名字还是别扭,所以应该把文件扩展名改为看山去时jpg这类图片格式的。

首先右击文件选择重命名,

名字变为可编辑状态,接着在名字上再次右键,选择插入Unicode控制字符,

选择RLO,也就是从右往左,这时候扩展名exe就跑到文件左边来了,

这时候我们输入图片的扩展名,jpg,因为是从右往左,所以输入gpj,

这样从名字上看,文件名和扩展名左右颠倒了顺序,名字像一个图片了已经,但是exe这三个字母还是太明显太别扭,接下来再次重命名,把光标移到最左边,

再次右键,选择插入Unicode控制字符,这次选择LRO,也就是从左向右,

在名字里可以根据自己和网上下载图片时名字的样子,加一堆字母字符,看起来像下载图片时自动命名的名字,这样看着就非常像图片了。这个时候用户点击的抗拒心理就大大降低了。

这个时候,我们双击它,

效果就像是点开了一个图片一样,再看kali的后台,

机器上线了。

注意,这里名字不能直接重命名改扩展名,扩展名必须还是exe,只是展示上颠倒顺序。

给CS增加插件

首先解压plugins.zip ,

unzip plugins.zip

在cs中点击脚本管理器,

然后点击下面的Load按钮,

找到刚才解压目录下的cs.cna文件,

然后点击打开,就可以了。这时候再去右击上线的会话,就能看到多了一个菜单,cs插件,

这里面功能非常多,比如弹出聊天弹窗,

在win10虚拟机上就能收到一条消息,

内网渗透-实战|手把手教你如何进行内网渗透
lza20001103的博客
08-18 2076
实战|手把手教你如何进行内网渗透 x00 Preface 内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。 内网相关概念这不再进行介绍,大家可以自行百度,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。某内网靶场的详细教程:Vulnstack(一) 内网渗透过程中经常会涉及到内网穿透,如何理解内网穿透以及端口转发、端口映射等相关
SXU—软件测试方法和技术-朱少民-第二部分 所有测试汇总 整理最重要内容-附考点 相关习题及解答
weixin_63597914的博客
02-29 1592
SXU—软件测试方法和技术-朱少民-测试大汇总—软件缺陷,软件测试(静态动态、主被动、黑白盒、单元集成系统功能测试等)附考点 相关习题及解答
网络安全工程师教你:如何掌握Kali Linux的Metasploit
10-02
一、适合人群:本课程适合兴趣计算机与网络安全技术的学员观看学习二、课程目标:学习和掌握Kali Linux的Metasploit测试框架三、课程简介:1、Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。每一季度更新一次。由Offensive Security Ltd维护和资助。起先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。 2、Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。
kali渗透Windows
m0_51786204的博客
04-03 1489
我们这也可以把这个程序伪装一下,把他的图标改一下,或者把它捆绑在某些软件上面,当用户打开就自动安装到对方电脑上面。本地端口自己随便设置一个没有被占用的端口号,如果端口号被占用那么件会生成失败,换一个端口号就行。解释: 本地ip写自己Kali的IP地址,用ifconfig就能查看自己Kali的IP地址。(3)命令: set LhOST 192.168.32.1(填写自己主机的IP地址)(2)命令: sessions -i 1(选择需要攻击的用户,这选择第 1 个)可以写个容易让目标主机上钩的名字。
Kali 利用 msfvenom 渗透 Windows 系统教程
最新发布
xzc123111的博客
05-28 509
是一款开源的渗透测试工具,用于开发、测试和执行漏洞利用程序。msfvenom是 Metasploit 中的 Payload 生成工具,融合了旧版本的msfpayload与msfencode。可用于生成后门程序,便于进行远程控制、提权等渗透测试任务。
利用kali对Windows进行msf渗透(详细介绍)
2302_78587828的博客
09-17 2218
msfencode.是用来生成后门的软件。MSFvenom是Msfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。自2015年6月8日起,msfvenom替换了msfpayload和msfencode。msfvenom支持多种操作系统和架构,包括Windows、Linux、macOS以及各种CPU架构。它可以生成各种类型的恶意软件,如反向连接和绑定Shell、Meterpreter反弹Shell、恶意档、木马等。
如何使用kali来入侵(渗透)一台windows
zz12345600354的博客
06-05 1249
工具:一台带有kali linux系统的虚拟机一个聪明的大脑开始前我们先需要将kali虚拟机改为桥接网络模式,否则会导致渗透失败1.打开虚拟机,点击虚拟机2.点击设置3.点击网络适配器,看左边点击桥接模式,点击确定即可好了,现在我们就要正式渗透一个windows系统啦,兴不兴奋?1.打开虚拟机2.打开终端,输入sudo su进入root用户权限3.进入root权限后输入ifconfig查看本机ip地址,eth0旁边192开头的为本机ip。
Kali使用Metapsloit渗透win10 生成 payload 反弹shell
weixin_45908624的博客
07-19 2730
windows payload 反弹shell
渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
墨鱼菜鸡
07-11 2684
操作系统:https://zhuanlan.zhihu.com/p/162865015 1、基于 Windows、Linux、Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali:https://www.kali.org/get-kali/Parrot Security OS:Parrot Securitybackbox:ht...
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关章。这篇章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性章,希望对您有所帮助~
Ubuntu安装教程(非常详细)从零基础入门到精通,看完这一篇就够了_
m0_59598029的博客
08-20 5489
很多小伙伴在Ubuntu的安装上总会有疑问,今天就来给小可爱们来一套完整的Ubuntu快速安装教程。
Kali Linux Windows渗透教程从0到解决思路。
sunwanfulove的博客
09-22 2473
Kali Linux Windows渗透教程从0到解决思路成为安全工程师必备技能。
Kali渗透Windows服务器
2301_77732591的博客
06-27 679
(2) 目标主机执行程序后,在kali终端中的检测程序会及时检测到。在检测到目标主机运行程序后,后门程序会反向连接到msf,之后msf发起第二次攻击(开始渗透),然后客户端(后门程序)连接到服务端(msf)。这个实验主要让我们学习漏洞扫描技术基本原理,了解其在网络攻防中的作用,掌握使用Kali中的Metasploit对目标主机渗透,并根据报告做出相应的防护措施。本实验通过利用kali进行漏洞扫描,使用Metasploit对目标主机进行渗透测试,并根据报告做出相应的防护措施,共分为3个实验步骤,详情如下;
vmware条件下使用kali linux虚拟机windows10进行渗透攻击的记录(学习使用)
wcf2020的博客
11-14 9580
使用kali linux虚拟机windows10进行渗透攻击的记录 一、安装vmware tools以保证在虚拟机上创建的件与主机可相互移动: VMware Tools是VMware虚拟机中自带的一种增强工具,是VMware提供的增强虚拟显卡和硬盘性能、以及同步虚拟机与主机时钟的驱动程序。只有在VMware虚拟机中安装好了VMware Tools,才能实现主机与虚拟机之间的件共享,同时可支持自由拖拽的功能,鼠标也可在虚拟机与主机之间自由移动(不用再按ctrl+alt),且虚拟机屏幕也可实现...
Kali Linux-Metasploit入侵Windows10系统
热门推荐
冷色调的夏天的博客
08-01 3万+
Kali Linux-Metasploit入侵Windows10 写在前 距离上一次写KALI黑客攻防的博已是去年这个时候了 之所以再次动手写这类的章一是因为兴趣,二是看到网上五花八门的章都是复制粘贴过来的,而且并没有写的很清楚,因此就有了本篇博客的出现 免责声明 切勿根据本做违法之事,如做违法之事皆于博主本人无关! 实验环境 以下环境可以是两台真实物理机,也可以是一台物理机安装虚拟机 上述两种情况我均已尝试成功,由于在一台电脑上写博较为方便 因此之后的截图是在一台物理机上的。 KALI:(攻
kali渗透实测
qazwsx132465mm的博客
07-25 732
一、测试环境 1、VMware Workstation Pro虚拟机 产品VMware® Workstation 16 Pro 版本16.1.2 build-17966106 2、kali版本(虚拟机网络与物理机采用桥接模式连接) 3.测试电脑(虚拟机网络与物理机采用桥接模式连接) win10虚拟机 二、通过kali工具采集测试计算机信息进行渗透破坏 进入kali系统 打开终端命令行太小进行调整 方式一: -> 参数配置 -> 字体设置 方式二:放大快捷键
kali-捆绑应用程序
乌托托的博客
12-19 990
kali捆绑应用程序
掌握安全渗透测试:利用永恒之黑漏洞获取Windows 10系统访问权限
weixin_43822401的博客
05-21 2298
靶机:IP地址为,运行Windows 10 1903版本。攻击机:IP地址为。档提供了利用永恒之黑漏洞对Windows 10进行渗透的详细步骤,包括获取初始访问、创建远程桌面用户、开启后门以及维持权限访问。请注意,这些步骤仅供教育目的,实际操作应在授权的渗透测试和安全研究环境中进行。未经授权的渗透测试可能违反法律。
渗透神器----Windows10 渗透工具包
tlovejr的博客
04-20 1万+
前言 这几天一直有工作,所以就没有来的及去更新靶场还有CTF试题,接下来给大家更新一个优秀的工具:2022年最新Windows10 渗透工具包镜像 系统简介 基于Win10 Workstation 21H2 x64 MSDN原版镜像制作; 完整安装WSL Kali Linux 2022.1,并配置图形化模式; 精简系统自带软件,美化字体及部分图标,适度优化; 镜像容量74.5G,使用单磁盘件存储,提升性能; 建议运行环境: vmware:16.0 运行内存:8G 固态硬盘:100G 免责声明
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值