标签:解压 day12 免杀 文件 渗透 192.168 数字签名 木马
免杀框架2
目录
命名管道,可以通过ipc进行主机远程管理和文件传输,基于139和445端口的开放
前提:服务端的administrator是开放的并且有设计密码
首先将win10作为客户端向win7的发送ipc连接
net use \\192.168.227.128\IPC$ "123123" /user:administrator |
通过命令行的方式开启管理员cmd
runas /noprofile /user:administrator cmd |
查看会话(显示物理机已经成功连接到win7上)
查看C盘目录
dir \\192.168.227.128\c$ |
从win7上下载文件到win10上
copy \\192.168.227.128\c$ nc.exe |
上传文件
copy useruid.ini \\192.168.227.128\c$ |
从win10上将连接删除
net use \\192.168.227.128\IPC$ /del |
查看连过的所有wifi
netsh wlan show profiles |
查看某个所连wifi的密码
netsh wlan show profiles wifi名 key=clear |
安装依赖python3 phantom-evasion.py --setup
./phantom-evasion.py进入后选择1.windows模块
选择payload(选择2作为测试)
除了ip和端口其他随便填默认就可以了
成功签名
这边注意最新的openssl中的crypto中的类PKCS12Type改成了PKCS12
所以需要在phantom中改对应代码
将这个文件中对应的PKCS12Type的改成PKCS12就OK了
4. 自解压(sfx)
首先先准备好三个东西(木马,图片,ico)
用winrar压缩选择自解压的木马(这里是右键木马不是图片)
然后点高级->自解压选项
在更新选项中选中解压并替换文件和覆盖所有文件
选择文本和图标选项,加载自解压的文件图标(一开始准备的那个ico)
在设置选项中,设置提取后运行的东西(运行一开始准备的jpg文件和木马文件)
在模式选项中的静默模式选择全部隐藏
点确定生成laohu.exe()
连接成功
利用数字签名添加器为木马添加数字签名
木马文件成功获得数字签名
使用资源编辑器(Resource Hacker)对木马文件的资源进行替换
可以替换掉一些元素使其拥有免杀的效果
标签:解压,day12,免杀,文件,渗透,192.168,数字签名,木马 来源: https://www.cnblogs.com/caihon/p/13957822.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。