内网渗透-网络分离免杀

免杀工具-掩日

掩日是适用于红队的综合免杀工具，在安装环境依赖之后即可使用生成的shellcode生成免杀的木马程序

首先安装tdm-gcc和64位go语言环境

然后打开掩日

公网服务器本身有一个web服务的环境，所以我们使用公网服务器进行实验，使用命令netstat -antp确定80端口正在开放中,也可以正常的去访问

我们在公网服务器上将CS的服务器端启动

接下来的操作就是将我们的shellcode放到web服务器上，然后做分离免杀

利用Xshell来远程连接这个公网服务器

我们先进入到网站的根目录

然后使用命令vi test.html创建一个test.html文件，文件内容是HelloWOniu

然后看看可不可以访问到这个文件，发现可以访问的到

网络分离免杀，既然已经分离了，所以加不加密原则上是无所谓的

创建一个python文件，名称是codeseperate.py

导入requests和ctypes

我们先来获取到这个shellcode

我们先在根目录下创建一个名为payload.txt的文件，将我们的paylaod放入进去，记住是双引号里面的数据，不加双引号

去访问一下paylaod.txt，访问成功

然后载创建一个loader.txt文件，将我们的加载器代码写入进去

将这串代码放入到我们的python文件当中去，然后执行

发现报错了，因为我们往里输入的是字符串型的shellcode，我们要把这个弄成二进制的

强制弄成二进制的以后我们开始执行

 上线成功

以上叫做代码分离

除此之外，我们如何写入一个严格意义上的二进制文件

先把我们的paylaod输入进来，然后在前面手工加上b，代表二进制文件,然后和下面的代码写在一起

with open('./payload.bin',mode='wb') as file:
    file.write(buf)

然后执行，当前目录出现了payload.bin，然后点击，出现下面的情况

 然后用记事本打开，可以看到是严格意义上的二进制文件

 写完之后我们刚刚用的代码也就没用了

也可以本地读这个文件，使用以下代码:

with open('./payload.bin',mode='rb') as file:
    print(file.read())

结果如下:

其实这就叫本地分离

网络分离就是将这个二进制文件放到网络上去，也就是上传到我们公网服务器的web服务上去

然后进行修改我们的代码即可，由于payload.bin是二进制文件，content就是读取二进制文件，所以打印出来的内容必然是一个二进制内容

 接下来我们运行这段代码，发现没有报错

 看看是否上线，当然，已经上线成功

然后我们将这段python代码进行打包，看看能否免杀

 在本地用火绒扫描一下，发现成功达到免杀的效果，因为我们的python代码只有5行，没有任何的木马特征，所以应该是无法扫出来的

但是360扫出来了，是因为我们那个python代码中有注释代码，说不定注释代码的里面就有一些木马的特征，然后被360发现，所以才扫出来了，我们将注释过的代码全部删除，发现360无法扫描出来

上面这个就是网络分离免杀的一个场景