免杀powershell 绕过杀软
免杀powershell 绕过
小白看了各种大佬做的免杀文章感觉太神奇了,于是自己也做了一个………….有点low,Don't
laugh at me!
本次实验用到了,如下工具:
一台公网VPS(这可以打击公网的个人机了)
frp(端口转发)
venom(制作powershell)
Invoke-Obfuscation(加密powershell)
docker部署tomcat服务(存放恶意代码)
Easy CHM(触发命令执行)
Kali Msf (监听)
Frp搭建:
网上拥有很多教程,用来做端口转发,将你的kali映射到公网。以下是推荐教程:
https://github.com/fatedier/frp/releases
https://blog.csdn.net/u013144287/article/details/78589643
以下是我的公网VPS
frp配置:(可以参考一下)
服务端配置
Kali frp配置:
客户端配置
然后服务端VPS执行./frps -c frps.ini
客户端Kail 执行./frpc – frpc.ini
这样经把kali的22(ssh)4444(木马监听端口)映射到公网上去了。
xshell 访问公网ip
现在可以公网登陆kali了!
对了 还有一个坑 防火墙要放行端口 我用的是阿里VPS:
网页防火墙配置
怕影响实验,我在linux也放行了需要映射的端口。。。。。。。。。。
linux防火墙配置
Venom 制作powershell
参考链接:
https://github.com/r00t-3xp10it/venom
https://www.cnblogs.com/wh4am1/p/7469625.html
选择windows 2
选择11
设置ip地址的时候要填写公网IP
端口选择kali中映射的端口,打码地方的端口60002(随便写个方便理解),这样shell反弹到VPS的60002端口,又通过frp转发到本地kail上。
打码地方为60002
填写公网ip
填写映射端口
选择3
操作和链接中的一样,最后在output生成一个bat,和ps1文件
Docker搭建tomcat:
然后在VPS中搭建一个简单的web服务器,我直接从docker中拉了一个tomcat的镜像(比较方便)将test.ps1 放到web服务器中。
将8080端口映射出去,记得防火墙有放行哦!现在已经将test.ps1放入服务器中
浏览器访问没有问题:
在venom中记得有生成过一个.bat 文件,现在kali进行监听。然后随便找一个联网的肉鸡将.bat 拷贝进去然后双击。
jj了
发现qq管家拦截了。好吧我先测试木马是否可以上线,将杀毒关掉。
测试木马上线反弹shell已经没有问题了。接下来做下免杀。。。。。。。(比较low)
Easy CHM+ Invoke-Obfuscation免杀
参考链接:https://www.cnblogs.com/croso/archive/2016/04/11/5380318.html
使用CHM执行cmd命令执行powershell
编译后运行又被拦截了。
又被jj了
那我将其拆成俩个文件,并且使用Invoke-Obfuscation对powershell进行加密。
参考链接:https://www.freebuf.com/sectool/136328.html
下载地址:https://github.com/danielbohannon/Invoke-Obfuscation
将bat里的powershell命令提取出来,然后使用Invoke-Obfuscation进行加密。并保存为new.ps1
CHM重新编译:
将生成的文件与加密后的.ps1放入同一个文件夹中
QQ管家测试完美绕过:
Perfect!
360检测:被jj了
火绒检测:也被jj了
VT 跑一下,还凑乎吧
Powershell如何隐藏执行,不被检测,希望大佬能给小白些建议。(还有一个谈黑框有点烦)木马与杀毒本来就是矛与盾的较量,来不断提高杀毒的能力!。。。。。。。。。。
2019-8-7
YLL
