python反序列化-分离免杀

  • A+
所属分类:代码审计 安全文章
描述

平时在渗透测试,红队行动中,要想通过已经获取的权限来进行内网渗透,扩大战果,一般可以通过上线cs或者msf来进行内网渗透。但基本上主机都安装有360,火绒等杀软,这时候就必须对上线的木马做免杀。

免杀技术可以有很多种,比如修改特征码,花指令,加壳,二次编译,分离免杀,资源修改,在制作免杀的过程中往往需要结合使用。

免杀原理:

通过对shellcode进行变形,比如编码,异或,添加特殊字符等等。然后从远程服务器读取shellcode,与执行程序的加载方法分离,来达到免杀效果。

免杀实现:

通过cs直接生成shellcode文件,并进行base64编码,并且放到web服务器上

python反序列化-分离免杀

通过python反序列化来,执行命令,加载shellcode,绕过杀软对加载器对命令执行函数的检测。

python反序列化-分离免杀

远程加载shellcode

python反序列化-分离免杀



利用python序列化生成序列化payload

python反序列化-分离免杀



利用python反序列化来执行上线

python反序列化-分离免杀


免杀上线

python反序列化-分离免杀


但是多数服务器没有python环境,打包成exe

使用py2exe或者pyinstaller打包,修改图标,无dos窗口,执行上线:

python反序列化-分离免杀

 

文章作者: gshell

文章链接: http://www.gsheller.top

最后

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


无害实验室sec拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的

【往期推荐】

工具推荐-AppInfoScanner信息收集扫描工具

利用AWVS对目标后台批量检测弱口令

LightCMS全版本后台RCE 0day分析

如何批量刷漏洞

SQL Serve无xp_cmdshellg下的命令执行姿势

利用chrome漏洞 反制红队电脑扫描器cs上线-appscan

蓝军利器-360星图全自动分析网站安全日志工具


本文始发于微信公众号(无害实验室sec):python反序列化-分离免杀

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: