在渗透测试过程中,总免不了对工具的免杀,本文主要介绍常见的几种免杀工具

测试环境为:

http://www.virscan.org/
https://s.threatbook.cn/

AV_Bypass

下载地址:https://github.com/Techryptic/AV_Bypass.git

AV_Bypass是一款基于python的免杀工具,具体原理作者已经在他的首页写的很详细了,所以这里不在赘述

AV_Bypass支持生成msf与cs的木马,具体使用方法就是,注意在生成cs的木马时需要手工添加payload

AV_Bypass.py IP PORT msf/cobaltstrike EXECUTABLE_NAME

我们运行一下

进行杀软测试

作者刚发出来的时候时可以过所有waf的,现在因为已经过了一段时间了,所以免杀效果没有那么好了

http://www.virscan.org/的扫描结果为11//49https://s.threatbook.cn/为4/25

bfg_fabric

关于这款工具,官方介绍是这样的

bfg_fabric.py is an assistant for building exe files with the purpose of (shell-)code execution, injection and more.

用法比较简单,类似于交互式的操作

http://www.virscan.org/的扫描结果为7//49https://s.threatbook.cn/为6/25

Veil

Veil老牌免杀工具,关于他的使用想必大家应该很熟悉了吧,这里我们用它来免杀试试,我这里的版本是3.1.11-Evasion,支持41种payload

然而可能是这个的样本已经泛滥了,http://www.virscan.org/的扫描结果为15//49https://s.threatbook.cn/为8/25

venom

具体介绍请移步项目地址

该工具支持如下:

| 1 - Unix based payloads |
| 2 - Windows-OS payloads |
| 3 - Multi-OS payloads |
| 4 - Android|IOS payloads |
| 5 - Webserver payloads |
| 6 - Microsoft office payloads |
| 7 - System built-in shells

我们任意选择其中一个进行生成..

http://www.virscan.org/的扫描结果为0/49https://s.threatbook.cn/为0/25

总体免杀效果属于不错的。

avet

avet这个工具最早是出现在blackhat大会上的,最初的时候是支持直接生成一个msf的exe的,但是到了目前的版本中已经移除了这个选项,只剩下了一些基础的功能,大体如下。

0: build_win32_meterpreter_rev_https_shikata_download_powershell_raw_loadfile.sh
1: buildsvc_win32_meterpreter_bind_tcp_20xshikata.sh
2: build_win32_exec_calc_injectdll_target_cmd.sh
3: build_win32_meterpreter_rev_https_50xshikata.sh
4: build_win32_meterpreter_rev_https_50xshikata_quiet.sh
5: build_win32_meterpreter_rev_https_ASCIIMSF.sh
6: build_win32_meterpreter_rev_https_ASCIIMSF_cmd.sh
7: build_win32_meterpreter_rev_https_fopen_shikata_quiet.sh
8: build_win32_meterpreter_rev_https_killswitch_shikata.sh
9: build_win32_meterpreter_rev_https_shikata_downloadexecshellcode.sh
10: build_win32_meterpreter_rev_https_shikata_downloadexecshellcode_DKMC.sh
11: build_win32_meterpreter_rev_https_shikata_download_certutil_raw_loadfile.sh
12: build_win32_meterpreter_rev_https_shikata_fopen.sh
13: build_win32_meterpreter_rev_https_shikata_fopen_avet_encoding.sh
14: build_win32_meterpreter_rev_https_shikata_loadfile.sh
15: build_win32_meterpreter_rev_https_shikata_load_ie.sh
16: build_win32_meterpreter_rev_https_shikata_raw_loadfile.sh
17: build_win32_meterpreter_rev_tcp_hollowing_target_cmd.sh
18: build_win32_meterpreter_rev_tcp_injectshellcode_target_cmd.sh
19: build_win32_meterpreter_unstaged_rev_https_40xshikata.sh
20: build_win32_shell_rev_tcp_shikata_fopen_kaspersky.sh
21: build_win32_test_shell.sh
22: build_win64_exec_calc_injectdll_target_cmd.sh
23: build_win64_meterpreter_rev_https_hollowing_target_cmd.sh
24: build_win64_meterpreter_rev_https_injectshellcode_target_cmd.sh
25: build_win64_meterpreter_rev_https_xor_avet.sh
26: build_win64_meterpreter_rev_https_xor_downloadexecshellcode.sh
27: build_win64_meterpreter_rev_https_xor_fopen.sh
28: build_win64_meterpreter_rev_tcp.sh

其中的21、28为我自己写的,可直接生成exe的sh

目前这个工具大多数用来生成一些小型服务,用在内网渗透中...

http://www.virscan.org/的扫描结果为6/49https://s.threatbook.cn/为5/25

Hack THE World

唔,忘了在那弄到的了....

支持tcp、https、tcp_dns

傻瓜式操作

好玩的是生成过程中会询问你..

[*]Do you want to add Manifest (Generally Bypasses Windows Defender)

http://www.virscan.org/的扫描结果为3/49https://s.threatbook.cn/为4/25

虽然这个的免杀效率还可以,但是缺点就是生成的文件过大...

TheFatRat

也忘了哪里淘来的了,不过现在已经不维护了,是17年的东东了...

http://www.virscan.org/的扫描结果为27/49https://s.threatbook.cn/为10/25

果然还是老了啊...

总结

杀毒软件的更新是非常快的,这里给出的方法和过程在今天还是可行的。但过了几个月之后,免杀技术就有可能出现重大的变化和更新。免杀技术需要不断地磨练与实践,才能在实战中提高成功率

标签: none

添加新评论