免杀马为何无法在他人机器上线?

admin 2024年11月21日13:06:30评论10 views字数 1162阅读3分52秒阅读模式
免责声明

 

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

前言:

  •     编写好的免杀马本地双击执行运行没有问题,但是通过webshell传输或远程下载到对方主机后,执行却没有任何上线反应。
  • 出现这类情况主要有两种情况:第一类是进程链问题,第二类是主机环境问题。这篇文章里每种问题都给师傅两种解决手段。
  • 进程链:

当我们正常双击运行的时候进程链父进程是explorer.exe,而当我们通过webshell上线时父进程往往是中间件,这两种执行方式受对杀毒软件来说受信任程度是不同,webshell执行上线拦截如图。

免杀马为何无法在他人机器上线?

免杀马为何无法在他人机器上线?OK现在说一下解决方法!!!

方法一:找一个杀毒软件认可的白程序加黑dll运行上线,也就是说随便在网上找的exe加dll即便做到免杀,webshell下运行依旧拦截上线上图就是例子。

那么什么样的软件是杀毒软件认可的,签名尽量是微软或者oracle等等大厂程序。

示例:

免杀马为何无法在他人机器上线?

方法二:第二种解决办法就是用白程序拉取exe,也算是一种另类的白加黑。这里主要找带有大厂签名且能够拉取exe的程序。此处使用Microsoft teams,因为该程序Update.exe带有微软签名且可拉动其他exe。

此处工具我已经打包具体使用如下(后台发送20241117),将木马文件放在current即可。

<DIR> current  <File> xxx.exe(木马文件)<DIR> packages  <File> RELEASES<File> Update.exe

执行以下命令:

update.exe --processStart xxx.exe(木马文件)
OK现在开始说另外一种不能上线的原因:
  • 主机环境问题:

最常见的就是缺少dll文件。

免杀马为何无法在他人机器上线?

解决办法一:

免杀马为何无法在他人机器上线?

附上ChagptMTMD运行库的解释:

    MT 是静态链接运行时库,会将运行时库的代码直接编译到可执行文件中,可执行文件较大但独立性强,不依赖外部的运行时库文件。MD 是动态链接运行时库,可执行文件较小,但在运行时需要系统中有相应的运行时库文件支持。

解决办法二:

简单粗暴的方法就是把缺少的相关dll也下载到木马文件目录下。

  • 总结

实战情况下后续操作使用CS的bof加载即可。这里主要针对php的webshell或命令执行无法上传webshell的情况下,因为jsp和aspx直接内存加载上线要省事的多。

参考文章:

https://www.freebuf.com/articles/system/232074.html

https://zone.huoxian.cn/d/2929-webshellcs

 

原文始发于微信公众号(思极安全实验室):免杀马为何无法在他人机器上线?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日13:06:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀马为何无法在他人机器上线?http://cn-sec.com/archives/3403487.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息