0x00 背景

晚上一位群大佬分享了一款功能强大的反弹shell工具:ReverseTCPShell C2,说是能bypass,正好最近也在研究免杀,就针对这个工具做了简单的实验测试。

工具下载地址:

PowerShell ReverseTCP Shell - Framework. Contribute to ZHacker13/ReverseTCPShell development by creating an account on GitHub.
https://github.com/ZHacker13/ReverseTCPShell

0x01 简介

ReverseTCPShell
C2,正如其名,是一款powershell编写的反弹shell工具,其TCP流量经过AES加密,且payload通过混淆方式可绕过一些杀软的检测。除此之外,ReverseTCPShell还集成了一些实用模块,如远程文件上传和下载,方便后渗透的进行,类似于增强版nc。

0X02 测试

Powershell启动,运行界面:
填写反弹地址
218b551c29dec320f0b9dc07ddc91b09394025d4_2_690x274.png

选择3种payload的混淆的方式:ASCII、异或、Base64,这里随便选择Base64

76fce01e400ca6ccf5c9f3a68aa2614966c072fb.png

之后生成两种payload,分别是使用powershell或cmd执行:

bae04f034423782aa8a210ecb9d2db06dca09942.png

靶机执行payload,成功反弹shell,未被defender检测出:

66e4a379de7ee7b84385f8156b244c3f84d4c57b_2_690x352.png

(1)命令执行:

bf34d9516bb552f4d7a0c35eafb671cbf1d15256.png

(2)截图:
43a42330d7e544464ce4dd861d073f18db101361_2_690x307.png

(3)文件上传:

3f3c0697687f1fe8ef9ff937626f82f12e4659c5.png

查看靶机目录,成功上传:

7136df9823a82eda5c3217f5f08370382e6c8011_2_690x310.png

(4)文件下载:
5cc99fdaf5bcbbae848fa428f89f10792e9594e9.png

标签: none

添加新评论