前言:
- 编写好的免杀马本地双击执行运行没有问题,但是通过webshell传输或远程下载到对方主机后,执行却没有任何上线反应。
- 出现这类情况主要有两种情况:第一类是进程链问题,第二类是主机环境问题。这篇文章里每种问题都给师傅两种解决手段。
- 进程链:
当我们正常双击运行的时候进程链父进程是explorer.exe,而当我们通过webshell上线时父进程往往是中间件,这两种执行方式受对杀毒软件来说受信任程度是不同,webshell执行上线拦截如图。
OK现在说一下解决方法!!!
方法一:找一个杀毒软件认可的白程序加黑dll运行上线,也就是说随便在网上找的exe加dll即便做到免杀,webshell下运行依旧拦截上线上图就是例子。
那么什么样的软件是杀毒软件认可的,签名尽量是微软或者oracle等等大厂程序。
示例:
方法二:第二种解决办法就是用白程序拉取exe,也算是一种另类的白加黑。这里主要找带有大厂签名且能够拉取exe的程序。此处使用Microsoft teams,因为该程序Update.exe带有微软签名且可拉动其他exe。
此处工具我已经打包具体使用如下(后台发送20241117),将木马文件放在current即可。
<DIR> current
<File> xxx.exe(木马文件)
<DIR> packages
<File> RELEASES
<File> Update.exe
执行以下命令:
update.exe --processStart xxx.exe(木马文件)
- 主机环境问题:
最常见的就是缺少dll文件。
解决办法一:
附上Chagpt对MT和MD运行库的解释:
MT 是静态链接运行时库,会将运行时库的代码直接编译到可执行文件中,可执行文件较大但独立性强,不依赖外部的运行时库文件。MD 是动态链接运行时库,可执行文件较小,但在运行时需要系统中有相应的运行时库文件支持。
解决办法二:
简单粗暴的方法就是把缺少的相关dll也下载到木马文件目录下。
- 总结:
实战情况下后续操作使用CS的bof加载即可。这里主要针对php的webshell或命令执行无法上传webshell的情况下,因为jsp和aspx直接内存加载上线要省事的多。
参考文章:
https://www.freebuf.com/articles/system/232074.html
https://zone.huoxian.cn/d/2929-webshellcs
原文始发于微信公众号(思极安全实验室):免杀马为何无法在他人机器上线?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论