牛牛逼逼叉叉
菜单

闲谈 bypass AV

2014年02月11日,分类《网络安全》,作者:
博客捐助

孩纸,看到AV别乱想~这里说的AV是AntiVirus。即杀软。(这些日子考试繁重,更的少了..)
本篇文章简单说一下本人平时常用的免杀工具以及其使用~

0×00 Hyperion

第一个说说这个 Hyperion,因为比较轻量级~,为什么说轻量级呢,因为,360杀毒能检测出。。

   其实 Hyperion 是一款加密工具,通过5轮AES加密来加密的你payload,加密完成后的payload是可以在windows下面运行的。工作原理是: 它输出一个可执行的加密文件,没错,这个文件就是你攻击时用的payload。  当这个输出文件生成并在目标机子上被执行之后, 这个可执行文件就会尝试暴力破解这个加密文件的AES加密算法的KEY, 破解之后就会自动运行这个被加密的文件 (meterpreter payload  ).

Hyperion下载地址: http://nullsecurity.net/tools/binary.html

下载完毕并解压之后,有Makefile文件,在linux下

先进入以下目录:

1 cd ~/.wine/drive_c/MinGW/bin/

把下载解压后的源码在 “Src”目录下.  然后执行以下的命令:

1 wine g++.exe Hyperion-1.0/Src/Crypter/*.cpp -o bypassav.exe

如果命令没错的话, 现在bypassav.exe就已经做好了,下一步就是来为我们的payload编码加密了,整个流程都是自动化的,你只需指定输出文件夹路径与输出文件名称,然后一个做好免杀的payload就出来了。

什么你还没编译成功? 好吧 孩纸,那我把我的给你

链接: http://pan.baidu.com/s/1zjkD8 密码: gayw
下面就是使用方法了,很简单,这里要注意的是要将编译成功的exe放到根目录,也就是 Hyperion-1.0目录下.
win下: 直接在dos界面输入 bypassav.exe payload名字 生成的名字   使用详细如下图:

0

linux下:

1

 成功以后会在当前目录生成demo1.exe的二进制文件,也就是我们”免杀”的payload了,为什么加引号呢。因为就算源文件是正常文件,经过Hyperion加密以后也会被360杀。。如下图:

2

一运行就报毒了,为什么还要介绍他呢,因为过国外杀软什么的很好用啊!麦咖啡神马的~

还有一点要说明的是,这里不能对 pr 等那些需要交互的程序进行免杀,为什么呢? 你看看原理也就懂了,他只是运行了,并不能执行带参数的命令啊~ 所以,怎么办呢? 你的payload也可以换成你的木马啊,(*^__^*) 嘻嘻……

91ri.org注:也可以试试用于加密无参的提权工具。

 

0×01 Veil

第二款神器!绝对的神器,做payload bypass AV必备,可谓杀人越货之必备工具~~

简介:

Veil是一款利用Metasploit框架生成相兼容的Payload工具,并且在大多数网络环境中Veil 能绕过常见的杀毒软件,它会尽可能使每个payload文件随机。

Veil目前能够利用7种不同的方法,使21种不同的payload与Meterpreter连接。Veil为用户提供了选择,要么Pyinstaller或Py2Exe转换成一个可执行的Python payload。

使用Pyinstaller (veil用户)时,kaliLinux可以把他们的文件直接转换成可执行文件(exe),无需使用虚拟机或第二台实机。当使用Py2Exe时,Veil将生成三个文件,这三个文件是来创建最终的可执行文件用的;

payload文件(Python),将指向运行Py2Exe,是一个批处理脚本处理转换成一个可执行文件的payload。要生成最终的 payload,需复制这三个输出文件(Python,Py2Exe,PyCrypto)到一台Windows主机,并执行批处理脚本。

这将构建最终的可执行文件,上传到目标。可执行文件可以被丢弃在任何地方,任何Windows系统上,所有需要的库存储内的exe文件。一旦放弃在系统上执行时,payload会导致meterpeter回调未检测到的AV。

下载地址:https://github.com/veil-evasion/Veil

下面简单说一下使用方法~

首先是安装:

下载之后,进入Veil目录

3

如上图,进入 setup目录,然后会有一个setup.sh,然后我们运行

1 sudo ./setup.sh

这里需要root权限哦~  

然后他就会下载一些文件,然后安装,弹出安装python的界面直接跟安装win软件一样,一直下一步,保持默认即可。

安装完成以后推到Veil根目录运行  Veil.py

1 python  Veil.py

然后就打开了Veil的界面,如下图:

4

这里我们可以看到几个模块,什么!? 你不认识? 孩纸,英语还是要好好学滴!!

这里 list 我们能看到所有的payload

5

可以看到这里有20个然后我们 use 选择其中一个,这次演示用的是用的 python的模块

输入  use 13

就是选择的第十三个,然后就进入了这个payload的选项,如下图:

6

这里直接 输入 generate 

然后可以选择使用 msfvenom 还是自定义 shellcode ,我们选择第一个

然后输入选择的 payload ,然后输入 ip 以及端口号,如下图:

7

然后回车,回车,稍等片刻,会叫你输入文件名,然后随意一个名字,然后选择, pyinstaller 我们的payload就生成了~

8

上面有这些文件的路径,剩下的就是把生成的文件想办法交给你想控制的那个人哪里,让他运行,怎么做? 自己想吧孩纸…

当然,此时我们要运行msf

上面有一个 handlers的目录看到没木有,我们进去~

1 cd ~/veil-output/handlers/

然后下面有一个文件,直接在这个目录执行

1 msfconsole -r demo_handler.rc

然后msf就启动了,当另一个人运行文件时,你就可以获得一个shell,(我这里选择的meterpreter)

如图:

9

等等,跑题了?今天不是说免杀么? 呵呵,看看效果呗~

10

不过有个小缺陷,还有点过不了主动 ╮(╯▽╰)╭

安全卫士会这样。。

11

那怎么办呢? 我们可以选择使用 shell_bind_tcp的payload,这样就不会报了,而是会询问对方是否允许程序访问网络~  当然前提是对方在外网,这样你才能访问到他的电脑- -。

具体怎么捆绑,怎么忽悠人,就看你们的了~

下面附上几个老外的视频:

链接: http://pan.baidu.com/s/1cO8hE 密码: v2v9

91ri.org注:所有未知程序访问网络都会被360报提示,所以这个也是件挺麻烦的事情。关于文中的Hyperion和Veil我们已经给大家加了超链接,直接点击文中的超链接即可查看关于这两款工具的更详细的介绍文。

相关文章参考《那些年一起绕过的杀软》《手机应用入侵日记(下)

[via@Ridter]

文中若未特别声明转载请注明来自:91ri.org


闲谈 bypass AV 有1条回应

  1. 2016年04月26日 在 16:34 匿名

    第一个说说这个 Hyperion,因为比较轻量级~,为什么说轻量级呢,因为,360杀毒能检测出。。

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

Veil—绕过杀毒软件的payload生成器

【下一篇】

如何寻找外链资源