点击上方蓝字关注我们
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经授权,不得用于其他。
该稿件作者获赠《Web渗透攻防实战》图书一本。
01 插件安装
本篇免杀为Cobalt Strike安装插件后bypass 国内杀软。
插件下载地址:
https://github.com/fengziHK/bypass_go1.1 Cobalt Strike导入插件
如下图直接导入:
你会发现攻击那里多出一个bypass的模块
02 免杀火绒
Cobalt Strike生成一个64位的payload
生成的shellcode文件
打开你刚才生成是shellcode 文件 你会发现出现以下内容
在你下载的Bypass_Go-main目录执行cmd操作命令
2.2 生成code.txt
process_shellcode.exe + shellcode.txt里的payload
完成上面的步骤之后接着 生成(k1 k2).txt
将你生成的3个txt放到kali当中,并用python搭建一个微服务
修改shellcode_loader.go的配置信息,变成远程加载shellcode
cmd 里面运行以下命令进行编译(需要有go的环境变量否则报错)
go build -ldflags "-H windowsgui" shellcode_loader.go 编译完成后会生成一个exe文件 (火绒之前是报毒的,但是升级病毒库之后又不报了)
火绒下上线(这里只是在火绒的主机上线 静态和动态都过了)
03 加壳免杀360
以上方法生成的exe文件,360直接报毒
那么如何过360呢?
这里采用了加壳的方式过360和火绒!
一开始我的思路是编码混淆,发现不行之后使用加壳,upx确实可以过火绒,但是过不了360,按照往常的经验来分析:upx应该是被360拉黑了。
这里也试过掩日+upx,但是火绒会直接查杀。
于是我想到了另外一个加壳软件safe
用法很简单将你的exe 拖入之后就可以了 (这里选择默认加壳模式就行了,当然如果懂汇编的师傅可以尝试一下其它的选项)
加壳后查杀,360不杀,到此位置该方法可过360+火绒,但目前无法过红伞和卡巴(已测试)
动态执行可上线
04 总结
通过go编译后加壳可过国内主流杀软,但是缺点也很明显:bypass之后的文件有点大 。
在加壳的时候,最先测试的是掩日,后来是upx,但是这些都被360或是火绒查杀,最后测试到了safe的时候,发现免杀成功。
免杀上线之后,配合梼杌进行提权,效果也是不错的。
新书推荐
本书从网络攻防实战的角度,对Web漏洞扫描利用及防御进行全面系统的研究,由浅入深地介绍了在渗透过程中如何对Web漏洞进行扫描、利用分析及防御,以及在漏洞扫描及利用过程中需要了解和掌握的基础技术。
全书共分10章,包括漏洞扫描必备基础知识、域名信息收集、端口扫描、指纹信息收集与目录扫描、Web漏洞扫描、Web常见漏洞分析与利用、密码扫描及暴力破解、手工代码审计利用与漏洞挖掘、自动化的漏洞挖掘和利用、Web漏洞扫描安全防御,基本涵盖了Web漏洞攻防技术体系的全部内容。书中还以一些典型漏洞进行扫描利用及实战,通过漏洞扫描利用来还原攻击过程,从而可以针对性地进行防御。
点击上方链接,更多优惠等你哦~
tips:加我wx,拉你入群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
原文始发于微信公众号(乌鸦安全):go加壳分离免杀过国内主流杀软
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论