免杀入门
|
660
|
0
|
监控研判溯源应急

1133 字
|
5 分钟

免杀入门

9.2-红队攻击指南工具免杀篇01mimikatz免杀过360安全卫士和360安全杀毒_哔哩哔哩_bilibili

值得注意的是,由于漏洞库具有联网上传自动更新,加之研判组勤勤恳恳的工作,本文的所有方法已均无效,故仅作了解

demo1: mimikatz绕360 - 特征隐藏

mimikatz经常用于win的获取密码,凭证

涉及的免杀方法:

  • 源码免杀
  • 特征隐藏

源码

下载mimikatz源码:

gentilkiwi/mimikatz: A little tool to play with Windows security (github.com)

工具-》导入导出设置向导-》重置所有设置

image-20230101195843098

CurrentSettings-2022-12-11.vssettings

c:\users\20281\appdata\local\microsoft\visualstudio\17.0_376a8cd0\settings

环境

在开始前要修改配置,否则会如下失败

image-20221211164831656

image-20221211164843253

报错显示

image-20221211164936683

右击mimikatz,点属性,改成自己版本的

image-20221211165012383

这里修改如下

image-20221211165145282

继续生成,报错提示需要MFC库

image-20221211165304522

有些人可能直接安装就好:https://aka.ms/vs/16/release/vc_redist.x64.exe

我的话可能之前装过一些环境影响到了上面的安装,参考这篇(73条消息) MSB8041:此项目需要 MFC 库_开饭了船长的博客-CSDN博客_严重性代码说明项目文件行禁止显示状态 错误msb8041此项目需要 mfc 库。解决问题

image-20221211170218235

生成64或32

然后右击mimikatz,点生成(默认32)

64位的获取:

解决方式-》属性-》配置属性

image-20221214134950161

然后右击mimikatz,点生成

可以在外面Win32,x64文件夹找到exe

这样运行据说不会直接被360查杀,但是运行的时候仍然会被拦截,考虑360采用的是特征识别的方式,后面我们使用特征隐藏来尝试绕过

如果是微软defender的话直接报毒

image-20221211180609791

替换关键字

编辑-》查找与替换

image-20221211181802447

记得文件也重命名一下

image-20221211181923277

删除备注

如下,把此处删除,因为包含可能的关键词kiwi

image-20221211184121062

然后修改一下这个(rc参考(30条消息) Windows 资源文件(.rc文件)顺其自然~的博客-CSDN博客.rc文件

image-20221214135344512

如果可以vs打开,就会看到一张表格,选中单元格就直接修改值就可以,当然打不开的话用vscode也可以像下面这样改:

image-20221211184413772

修改后:

image-20221211184455955

替换图标

图标无论是机器还是人都会识别出来的,所以务必替换,图标地址:

图标icon ico 免费下载 - 爱给网 (aigei.com)

上面如果需要会员的,先下载png然后来这个网站换格式

在线生成透明ICO图标——ICO图标制作 (ico51.cn)

把图标置换后,生成就可以看到

image-20221214135220173

测试

随便找了个沙箱

https://s.threatbook.com

image-20221211190002269

没法绕defender,卡巴斯基,迈克菲这些洋货

国内百度,360,腾讯,阿里巴巴倒是过了

image-20221211190426342

免杀效果一般,只能针对使用国内杀软的用户

真实测试

试了下360,实装的,发现过不了了

所以解决方法是这个:红队工具 | Visual Studio2022微软白名单免杀dump lsass的免杀工具 - 网安 (wangan.com)

demo2: golang加载器 加载cs马

环境准备

下载安装go环境

下载golang加载器:jax777/shellcode-launch: go shellcode 加载器 (github.com)

使用

cs生成shellcode

image-20230114162024815

image-20230114162038942

生成后把c代码中的shellcode贴入winlaunch.go中

再在把shellcode-launch文件夹放入$gopath/src目录下,打开cmd运行下面

set CGO_ENABLED=0
set GOOS=windows 
set GOARCH=amd64 
go build -ldflags="-s -w" winlaunch.go

生成winlaunch.exe

效果如下(微步)

image-20230114162326667

vt:https://www.virustotal.com/gui/file/facf3f16a24cbca5271b8104fdfdc924ac58b2e43f471548891124738039e1bf?nocache=1

image-20230114162422672

沙箱可以达到这种效果的话,针对学校内网那些不经常联网更新杀软的旧电脑应该是可以胜任

但是针对用户果然是不行

image-20230114162553319

image-20230114162610072

后话

写这篇是为了了解免杀的一些入门级的技术和思路,体会免杀在攻防中的效果

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇