diff --git "a/md/\345\205\215\346\235\200\351\251\254\344\270\272\344\275\225\346\227\240\346\263\225\345\234\250\344\273\226\344\272\272\346\234\272\345\231\250\344\270\212\347\272\277\357\274\237.md" "b/md/\345\205\215\346\235\200\351\251\254\344\270\272\344\275\225\346\227\240\346\263\225\345\234\250\344\273\226\344\272\272\346\234\272\345\231\250\344\270\212\347\272\277\357\274\237.md" new file mode 100644 index 00000000..b1bc5a1e --- /dev/null +++ "b/md/\345\205\215\346\235\200\351\251\254\344\270\272\344\275\225\346\227\240\346\263\225\345\234\250\344\273\226\344\272\272\346\234\272\345\231\250\344\270\212\347\272\277\357\274\237.md" @@ -0,0 +1,93 @@ +> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码, 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/oTiqSayXIJ0HznGxD1AYjA) + +免责声明 + +由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! + +**前言:** + +*     编写好的免杀马本地双击执行运行没有问题,但是通过 webshell 传输或远程下载到对方主机后,执行却没有任何上线反应。 + +*     出现这类情况主要有两种情况:第一类是进程链问题,第二类是主机环境问题。这篇文章里每种问题都给师傅两种解决手段。 + + +* **进程链:** + + +    当我们正常双击运行的时候进程链父进程是 explorer.exe,而当我们通过 webshell 上线时父进程往往是中间件,这两种执行方式受对杀毒软件来说受信任程度是不同,webshell 执行上线拦截如图。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykKLgf3cticEib6u7uIgEDW8Yk2iaaN80CEMOlicuZlz5yfmrjib3ictGCRI1ibw/640?wx_fmt=png&from=appmsg) + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykK05gPYj0KECqABpGDRBYicQVUua9Atub0UBhI3Fye0NXyPgR1RdgIZIw/640?wx_fmt=png&from=appmsg)**OK 现在说一下解决方法!!!** + +**方法一:**找一个杀毒软件认可的白程序加黑 dll 运行上线,也就是说随便在网上找的 exe 加 dll 即便做到免杀,webshell 下运行依旧拦截上线上图就是例子。 + +    那么什么样的软件是杀毒软件认可的,签名尽量是微软或者 oracle 等等大厂程序。 + +**示例:** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykK1LXlSgnrSRy99nYzDhfoT8wk3NpzgibBlD4vAOKSaI0e8zLS9R5jpHA/640?wx_fmt=png&from=appmsg) + +[视频详情](javascript:;) + +**方法二:**第二种解决办法就是用白程序拉取 exe,也算是一种另类的白加黑。这里主要找带有大厂签名且能够拉取 exe 的程序。此处使用 Microsoft teams,因为该程序 Update.exe 带有微软签名且可拉动其他 exe。 + +    此处工具我已经打包具体使用如下 (后台发送 20241117),将木马文件放在 current 即可。 + +``` + current + xxx.exe(木马文件) + packages + RELEASES + Update.exe + +``` + +执行以下命令: + +``` +update.exe --processStart xxx.exe(木马文件) + +``` + +[视频详情](javascript:;) + +**OK 现在开始说另外一种不能上线的原因:** + +* **主机环境问题:** + + +    最常见的就是缺少 dll 文件。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykK715faic8eNUIcdaNJydzFMdm4agJpcSmyRaXUicetNeljiaibJyh2GBibcA/640?wx_fmt=png&from=appmsg) + +**解决办法一:** + +**![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykKOkNAIlujCeeqSAViart6l0Lty64Cd5VTwVYpOXVwPibUd5zjnjfyWhkw/640?wx_fmt=png&from=appmsg)** + +**附上 Chagpt 对 MT 和 MD 运行库的解释:** + +    MT 是静态链接运行时库,会将运行时库的代码直接编译到可执行文件中,可执行文件较大但独立性强,不依赖外部的运行时库文件。MD 是动态链接运行时库,可执行文件较小,但在运行时需要系统中有相应的运行时库文件支持。 + +**解决办法二:** + +    简单粗暴的方法就是把缺少的相关 dll 也下载到木马文件目录下。 + +* ****总结**:** + + +    实战情况下后续操作使用 CS 的 bof 加载即可。这里主要针对 php 的 webshell 或命令执行无法上传 webshell 的情况下,因为 jsp 和 aspx 直接内存加载上线要省事的多。 + +**参考文章:** + +https://www.freebuf.com/articles/system/232074.html + +https://zone.huoxian.cn/d/2929-webshellcs + +另外感谢师傅: + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/1znIwPOw2JIQa2wIBZhnaKib84Ae1yykKRhZUHEesKiacscmxUTxOB8SG3LFtVq6pPtsm3JUMvqqqqTjMg24uY3Q/640?wx_fmt=png&from=appmsg) + +白程序下载公众号回复:20241117 + +![](https://mmbiz.qpic.cn/mmbiz_gif/ibZ6uZjjH3v7LQZwTb4qED3KvozKicnJd9ejpVoCntCRqf53IiaK2T3myzcUn5sswkUPfpQj1KHAALFcMFNYjfriaw/640?wx_fmt=gif&tp=wxpic&wxfrom=5&wx_lazy=1) \ No newline at end of file