描述
平时在渗透测试,红队行动中,要想通过已经获取的权限来进行内网渗透,扩大战果,一般可以通过上线cs或者msf来进行内网渗透。但基本上主机都安装有360,火绒等杀软,这时候就必须对上线的木马做免杀。
免杀技术可以有很多种,比如修改特征码,花指令,加壳,二次编译,分离免杀,资源修改,在制作免杀的过程中往往需要结合使用。
免杀原理:
通过对shellcode进行变形,比如编码,异或,添加特殊字符等等。然后从远程服务器读取shellcode,与执行程序的加载方法分离,来达到免杀效果。
免杀实现:
通过cs直接生成shellcode文件,并进行base64编码,并且放到web服务器上
通过python反序列化来,执行命令,加载shellcode,绕过杀软对加载器对命令执行函数的检测。
远程加载shellcode
利用python序列化生成序列化payload
利用python反序列化来执行上线
免杀上线
但是多数服务器没有python环境,打包成exe
使用py2exe或者pyinstaller打包,修改图标,无dos窗口,执行上线:
文章作者: gshell
文章链接: http://www.gsheller.top
最后
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
无害实验室sec拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的
【往期推荐】
SQL Serve无xp_cmdshellg下的命令执行姿势
利用chrome漏洞 反制红队电脑扫描器cs上线-appscan
本文始发于微信公众号(无害实验室sec):python反序列化-分离免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论