草庐IT

免杀

全部标签

【网络安全】渗透测试之木马免杀

博主昵称:跳楼梯企鹅博主主页面链接:博主主页传送门博主专栏页面连接:
之木网络安全strongspancolorweb安全安全

绕过杀软(二)——免杀exe文件(360、火绒免杀)

实验环境攻击机:win7IP:192.168.32.134靶机:windowsserver2012(安装360、火绒)IP:192.168.32.133一、生成客户端exe木马第一步:使用njRAT生产一个客户端exe木马输入回连端口号8888,点击start配置客户端木马的回连地址:192.168.32.134将文件保存在桌面开启360杀毒,直接报毒,不免杀二、对客户端exe木马使用加解密替换方法进行免杀1、将生成的客户端木马:Server.exe在EncryptionToolV3.0中以base64加密方式打开打开之后,将base64加密之后的文件中的所有字母A替换成#将base64加密之
mdash绕过imgimg-blogcsdnimg安全web安全免杀

绕过杀软(二)——免杀exe文件(360、火绒免杀)

实验环境攻击机:win7IP:192.168.32.134靶机:windowsserver2012(安装360、火绒)IP:192.168.32.133一、生成客户端exe木马第一步:使用njRAT生产一个客户端exe木马输入回连端口号8888,点击start配置客户端木马的回连地址:192.168.32.134将文件保存在桌面开启360杀毒,直接报毒,不免杀二、对客户端exe木马使用加解密替换方法进行免杀1、将生成的客户端木马:Server.exe在EncryptionToolV3.0中以base64加密方式打开打开之后,将base64加密之后的文件中的所有字母A替换成#将base64加密之
mdash绕过imgimg-blogcsdnimg安全web安全免杀

Webshell免杀-PHP

前言        在很多渗透测试利用的过程中,渗透人员会通过上传webshell的方式来获取目标服务器的权限。然而及时webshell文件能够正常上传,后续有可能会被管理员当作木马文件删除,上传的过程中也会被安全设备拦截,因此对webshell文件进行免杀操作是不可或缺的。本处仅对php类型的webshell文件进行一个万能免杀思路的介绍。思路    在对webshell文件进行免杀操作之前首先得明白,有哪些操作能够使得webshell文件具有免杀的属性。1、增加注释2、增加不重要的代码段3、对代码进行混肴加密4、对代码进行拆分重组……………………    方式千千万,总有一款适合你。简而言之
WebshellPHPxff0cxffxff0web安全

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)

Invoke-Obfuscation简介Invoke-Obfuscation工具下载地址:https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。Invoke-Obfuscation还有多个选项可以选择,如TOKEN、AST、STRING、ENCODING、COMPRESS和LAUNCHER,可以帮助你更好地混淆脚本简单演示1.CS生成ps
Invoke-Obfuscation过火imgcodeimg_convert网络网络安全安全web安全网络攻击模型

python免杀技术---shellcode的加载与执行

0x01生成shellcode首先通过下列命令生成一个shellcode,使用msfvenom-p选项来指定paylaod,这里选用windows/x64、exec模块接收的参数。使用calc.exe执行弹出计算器的操作。-f选项用来执行生成的shellcdoe的编译语言。msfvenom-pwindows/x64/execCMD='calc.exe'-fpy0x02加载与执行shellcode的程序程序为:#-*-coding:utf-8-*-importctypesfromctypesimport*fromctypes.wintypesimport*importsysPAGE_EXECUT
shellcodepythonquotspanclass

python免杀技术---shellcode的加载与执行

0x01生成shellcode首先通过下列命令生成一个shellcode,使用msfvenom-p选项来指定paylaod,这里选用windows/x64、exec模块接收的参数。使用calc.exe执行弹出计算器的操作。-f选项用来执行生成的shellcdoe的编译语言。msfvenom-pwindows/x64/execCMD='calc.exe'-fpy0x02加载与执行shellcode的程序程序为:#-*-coding:utf-8-*-importctypesfromctypesimport*fromctypes.wintypesimport*importsysPAGE_EXECUT
shellcodepythonquotspanclass

一个免杀项目分享

引言这个本来是为某大型活动准备的,经过实战测试,效果还行,实战中即使用户电脑存在杀软进程,cs也能稳定上线。现在活动结束,平时基本也用不上了,所以分享出来以供技术交流(本着能用就行的原则没来得及重构,项目结构有点乱)github地址:https://github.com/shellfeel/Ant-AntV环境要求:里面有使用一些高版本python的语法,所以最好使用最新版本的python3使用方法:执行pipinstall-rrequirements将cs、msf生成的shellcode命名成beacon.bin放到当前bean_raw路径下如需给程序加上icon,可以将icon命名成mai
一个strong1251521991ap-chengdu网络安全

一个免杀项目分享

引言这个本来是为某大型活动准备的,经过实战测试,效果还行,实战中即使用户电脑存在杀软进程,cs也能稳定上线。现在活动结束,平时基本也用不上了,所以分享出来以供技术交流(本着能用就行的原则没来得及重构,项目结构有点乱)github地址:https://github.com/shellfeel/Ant-AntV环境要求:里面有使用一些高版本python的语法,所以最好使用最新版本的python3使用方法:执行pipinstall-rrequirements将cs、msf生成的shellcode命名成beacon.bin放到当前bean_raw路径下如需给程序加上icon,可以将icon命名成mai
一个strong1251521991ap-chengdu网络安全

利用PHP的特性做免杀Webshell

0x01前言最近很多家厂商都陆续开放了自己的Webshell检测引擎,并且公开接口,邀请众安全研究员参加尝试bypass检测引擎,并且给予奖励,我也参加了几场类似的活动,有ASRC的伏魔计划,也有TSRC的猎刃计划,还有最近正在进行的长亭的牧云(Aka.关山)Webshell检测引擎,如果你都参加或者关注了这三个比赛,你会发现他们都提到了以下几个技术:1、词法分析2、污点追踪3、恶意代码检测这些新技术我们后面的章节中,我们先讲一下传统的Webshell检测机制,再对照着最新的Webshell检测技术来说明一下如何在新技术下做免杀Webshell(本文所有Webshell基于PHP语言)0x02
WebshellPHPspanstylecolor网络安全
1234