渗透测试之地基免杀篇:C#加载msf和CS后门免杀过所有杀软

访客3年前黑客文章1103

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式 *** ,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

市面上很多技术人员使用C语言编写图形化界面,接下来演示的将是利用C语言编写的图形化框架界面,调用各种机制进行Load注入,方式多种多样,最终达到全免杀的过程。

在对其底层源码进行多层次分析,分析其C语言框架思路,函数对应机制注入的分析,多样化和多元化的方式 *** ,拓展思路的同时学习简单的 *** ,能在此基础上做到自己的免杀工具,打造自我logo的免杀工具。

演示非常详细,共演示几种 *** 全免杀,演示细致从初部署环境到C#语言输出shellcode进行2021年如今全免杀的过程,开始!

二、环境介绍

1608213735_5fdb64e7aa0655a649f8f.png!small?1608213737710

黑客(攻击者)

IP:192.168.175.145

系统:kali.2020.4

windows 2019系统是黑客用于Nim编程 *** 免杀exe的系统。

VPS服务器:

此次模拟环境将直接越过VPS平台,已成功在VPS上进行了钓鱼行为。

办公区域:

系统:windwos 10

IP:192.168.2.142

存在:360、360杀毒、火绒、deferencer,以及全球和全国杀软平台检测。

目前黑客通过kali系统进行攻击行为,通过钓鱼获得了对方的权限后,发现对方电脑上存在360、360杀毒、火绒、deferencer直接被杀软进行了查杀,无法进行反弹shell获得权限,如今将演示利用C语言框架配合C#语言进行六种加密混淆方式,以及底层分析生成免杀exe,并控制对方的过程。

三、环境部署

在Windows server 2019系统环境进行开始部署:

1、安装gcc环境

安装地址:

https://github.com/jmeubank/tdm-gcc/releases/download/v9.2.0-tdm64-1/tdm64-gcc-9.2.0.exe

1612363780_601ab804e7510676d1ebb.png!small?1612363782076

选择Create
1612363786_601ab80af0e2521f9b181.png!small?1612363788415

如图选择
1612363792_601ab810339d7963aafb0.png!small?1612363793095

选择安装目录
1612363812_601ab8246d6c5734444e4.png!small?1612363814119

默认选择
1612363807_601ab81fe8d1afb8437bd.png!small?1612363808408

成功安装!

2、下载AV_Evasion_Tool

项目地址:

https://github.com/dayuxiyou/AV_Evasion_Tool/tags

1612363822_601ab82ecfce1975f332d.png!small?1612363823508

可看到作者2020年出了4个版本,底层分析四个版本都可以下载下来。
1612363828_601ab834231fdaa353a8a.png!small?1612363829740

下载后,分别打开2.0和3.0文件夹底部的.sln,选择Visual Studio 2019打开。
1612363833_601ab839cce02756d3c87.png!small?1612363838374

2.0和3.0执行方式一致,都重新生成即可。
1612363841_601ab841083f4f79746af.png!small?1612363841616

在bin/Debug目录下运行exe即可。

四、掩日2.0演示

1、测试msf后门

1612363846_601ab846680ba4e68aa9b.png!small?1612363849447

目前打开之一界面是极简界面。
填入本地开启的本端监听IP+端口,点击生成。

1612363852_601ab84ca79a9ecd541b1.png!small?1612363858800

生成后测试效果,全免杀。

1612363859_601ab8539096892e370fd.png!small?1612363892865

攻击系统kali运行msf:

1612363872_601ab8600bce4e126a9a6.png!small?1612363892866

在三件套杀软下,免杀并运行动态交互命令,正常。

2、进阶版介绍

1612363882_601ab86ae06a500c0abde.png!small?1612363892866

1. 支持32和64位系统

2. 支持C和C#语言的shellcode编译

3. 执行方式有四种

4. 注入进程写死为:notepad.exe #可在底层修改

5. 可简单过沙箱。

只需要在框中黏贴shellcode代码执行即可生成exe后门。

1)创建shellcode-C#/C

1612363905_601ab8819f15953a26949.png!small?1612363906383

创建C#和C的shellcode。

2)C-shellcode测试免杀

1612363913_601ab8894b6c498050472.png!small?1612363923599

在测试C的shellcode生成时...

1612363918_601ab88e0e295eca9c356.png!small?1612363923600

四种方式执行生成的后门都是直接被秒杀!

3)C#-shellcode测试免杀

相关文章

深圳伴游商务

深圳伴游商务全新具体内容如何,深圳的实习护士详细介绍。深圳伴游商务由深圳模特女学妹微信聊天群为领导干部研制 深圳伴游商务要想了解女学妹私人伴游代表什么意思?假如你要想真实的掌握女学妹私人伴游的代表什么...

潘妮多滋面包这个店能开吗?轻松开店稳盈利

潘妮多滋面包这个店能开吗?轻松开店稳盈利

国度扶持小众创业的本日,越来越多的有志人士选择投资创业这条阶梯,可是面临纷繁巨大的行业市场,该选择一个奈何的加盟品牌呢?现如今跟着人们消费见识的转型进级,面包行业在市场上是一个高利润的行业,受到浩瀚创...

微信监控_微信监控聊天记录 - 快搜问答

微信是一个多功能的社交软件。微信聊天是我们日常主要的聊天方式。一般我们都是通于文字交流少数时候会用到语音。这也让我们的聊天会被系统以文字的方式保留下来。这些聊天记录。有时有点像是日记,有时翻开来看看,...

买卖婴儿背后亲子鉴定造假调查 具体详情内幕曝光令人震惊

宝宝在医院出生后会有一张出生医学证明落户,被拐来的孩子该怎么落户呢。近日,记者调查发现,一张“伪造”的亲子鉴定,让两个“不存在”的人,建立了法律意义上的父子关系,为买卖来的孩子“洗白”落户。 近日,...

微信清空的聊天记录怎么找回「微信怎么恢复手动删除的聊天记录」

  微信聊天记录删除后还可以恢复吗?在删除手机上微信联系人的聊天记录一段时间后,觉得那聊天记录又重要,想要找回删除过的聊天记录怎么办?下面给大家分享删除了的微信聊天记录恢复方法。   微信聊天记录删除...

24小时在线的黑客介绍一个(24小时接单的黑客)-网上说的黑客这么厉害

24小时在线的黑客介绍一个(24小时接单的黑客)-网上说的黑客这么厉害

24小时在线的黑客介绍一个(24小时接单的黑客)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络...