前言
图片
注:理论来说无论是cs还是msf生成的shellcode都可以进行免杀,不过再处理时是以cs为基准对shellcode进行处理的,不保证msf的shellcode也可以免杀后正确执行
关于CobaltStrike和Metasploit的使用可以参考我们的公开wiki
【CS】https://wiki.wgpsec.org/knowledge/intranet/Cobalt-Strike.html
【MSF】https://wiki.wgpsec.org/knowledge/tools/metasploit.html
平台仅供安全研究使用,禁止用于非法用途,服务条款见官网
《WgpSec狼组安全团队服务条款》
生成的程序与shellcode都会自动删除,不会留下记录
一、
生成Shellcode
在cs界面中在packages -> payload generator 中选择C格式并**勾选x64位**
图片
图片
将生成的payload.c中的buf部分复制下来,也就是引号中的部分,请注意要复制全,且不要带多余的东西(如结尾的引号分号等)
图片
将文本复制进入我们免杀平台https://plat.wgpsec.org/bypassAV/bypass-av
图片
选择相应的免杀类型和免杀签名,根据需要勾选是否反沙盒.这里推荐一种对于不太懂免杀的师傅们的一种选择方式:
分离免杀+任意免杀签名+不勾选反沙盒
二、
免杀效果
最新版的火绒和360均不会报毒(如果在上传类似mimiktz这种的软件时请自行免杀后上传,否则会被检测出来,后续平台也会逐步支持)
图片
图片
成功上线
图片
分析引擎分析如下:
图片
图片
(由于我的CS服务器被标记了,正常情况下都是显示安全的)
推荐阅读 为你的C2隐藏与加速 对C2进行隐藏,全程白名单
