枫少@KillBoy
999,722字数 207阅读0分41秒阅读模式
AI智能摘要
想让Cobalt Strike的payload完美绕过杀毒软件?本文手把手教你用hanzolnjection实现免杀突破!无需勾选x64选项,只需生成raw格式bin文件,通过内存字节注入技术规避磁盘扫描——在Windows Server 2016靶机上实测成功上线。揭秘GitHub热门工具的核心命令(-e指定payload),零基础也能快速掌握内存免杀技巧,从此告别检测拦截,渗透测试效率飙升。安全研究员必备实战指南,看完立刻上手验证!
— AI 生成的文章内容摘要
使用hanzolnjection的免杀
一、介绍:
Hanzoinjection介绍
对于免杀,我们也可以使用cs生成一个二进制格式的payload,也就是raw格式,运行时我们需要借助hanzolnjection , hanzolnjection类似于加载器,它会以字节的方式把payload注入到内存中来执行。
地址:https://github.com/P0cL4bs/hanzoInjection
命令解析:
-e 跟上生成的bin文件即可 -p -o 输出的位置/名字 -h 帮助
二、复现
1.生成payload
x64不要勾选,你攻击的系统不论是32还是64这个都不要勾选
生成到桌面
2.将生成的bin文件和放到hanzo文件夹里面,一起上传到靶机上面进行执行
执行命令
hanzolnjection.exe -e payload.bin
这里我们使用windows server 2016来测试
发现成功上线
北京市 1F
这个方法之前试过,对某些杀软还是会被查杀
澳大利亚 2F
文档确实该补充常见问题,新手容易踩坑
湖北省十堰市 3F
想问下这个在win10 1909上能用吗
韩国 B1
@ 梦回妖 我这边1909跑通了,没问题。
山东省青岛市 4F
用hanzo配合shellcode加载确实挺方便
澳大利亚 B1
@ 聊得来の存在 是的,省掉了手写注入的麻烦,效率提升不少。
福建省龙岩市 5F
payload生成时x64不勾选是必须的吗?
湖北省十堰市 B1
@ 樱桃黑 一般来说不需要勾选,保持默认即可,避免兼容性问题。
上海市 6F
之前用这个绕过defender失败了,不知道现在怎么样
河北省秦皇岛市 7F
感觉操作步骤写得蛮清楚的
浙江省 8F
这种内存加载的方式是不是对edr效果更好点
四川省泸州市 B1
@ 深邃的蓝鲸鱼 内存加载确实比直接执行文件隐蔽多了。
陕西省西安市 9F
有没有人试过配合其他loader一起用
吉林省长春市 B1
@ 段子手の自留地 可以搭配C++写的loader,效果更好。
日本 10F
直接把bin文件放进去执行就行?
黑龙江省哈尔滨市 B1
@ 你说的对 对,直接执行就能加载,不过要确保路径正确。
广东省 11F
为啥我这边执行完没反应,系统日志也没记录
黑龙江省哈尔滨市 12F
挺好用的,直接上手。
浙江省杭州市 13F
这个loader真的省事,省掉了好多手工注入的麻烦。
韩国 14F
记得payload要放在同目录,否则找不到。
印度 15F
win10 1909的系统上能正常跑吗?有遇到兼容问题吗?
河南省新乡市 B1
@ 沉默老黄牛 实测win10 1909能跑,但得关掉云防护
日本 16F
我用过,EDR还是能检测到。
湖北省 17F
前几天自己实验了一遍,遇到过路径权限问题,改成管理员就行了。
湖北省武汉市 18F
文档写得有点晦涩,翻来覆去看。
日本 B1
@ 赵敏 文档确实写得不够详细,参数说明太简单了。
北京市 19F
看到有人说这个能绕过Defender,结果我测试还是被拦截,感觉有点水🤔
陕西省西安市 20F
步骤挺清晰的。
广东省广州市 21F
如果想把payload直接嵌入到exe里,有没有推荐的工具或脚本可以实现?想省去额外的bin文件步骤。
四川省德阳市 B1
@ 幽魂之刃 把shellcode转成resource嵌进去就行,用C++写个stub加载,我之前这么干过。
日本 22F
payload生成时不勾选x64是为了兼容性吗?
山东省滨州市 23F
这东西对杀软版本有要求不?
广东省揭阳市 24F
试了下,win11上也能跑,但得关掉实时防护。
北京市 25F
之前用别的loader经常蓝屏,这个倒挺稳定。
澳大利亚 B1
@ 星云独行 蓝屏主要是驱动兼容问题吧,这loader没动内核所以稳点。
江苏省南京市 26F
有没有更详细的参数说明?感觉文档写得不够细。
日本 B1
@ 糖霜小伞 参数说明确实太简略了,-o输出路径试了几次才搞明白。
福建省莆田市 27F
这方法绕不过卡巴,别试了。
吉林省吉林市 B1
@ 勤劳小蚂蚁 这个对火绒有效吗?刚试了下好像不行
陕西省咸阳市 B1
@ 勤劳小蚂蚁 卡巴确实严格,我试了也被秒杀
广东省广州市 28F
能不能直接用powershell调用来执行?
湖北省武汉市 B1
@ 活力Joy 应该可以,不过要改下调用方式。
河北省张家口市 29F
感觉原理讲得挺清楚,操作也简单。
辽宁省沈阳市 30F
为啥我生成的文件被杀软秒删?
上海市南汇区 31F
用这个配合msf的payload效果咋样?
湖南省株洲市 32F
win10 22H2实测能跑,但得临时关掉云防护。
北京市 33F
payload.bin放system32里会被拦截,建议放temp目录。
北京市 34F
这方法对火绒好像不太行,刚试了直接报毒。
陕西省渭南市 35F
hanzo加载时占内存挺高啊,有办法优化不?
北京市 36F
感觉比sRDI轻量多了,适合快速上线。
澳大利亚 B1
@ 蝴蝶兰 这个loader占用内存确实有点高,有没有优化方法?
广东省广州市海珠区 37F
x64不勾选是因为cs生成的raw默认就是位置无关的?有点迷。
浙江省宁波市 38F
前几天刚用这法子打靶机,EDR没告警,爽了👍
广东省东莞市 39F
payload.bin直接放桌面执行没问题吧?
韩国 40F
win10 20H2测试成功,但必须关掉实时防护
浙江省杭州市 41F
为啥我用管理员权限还是执行失败?
湖北省武汉市 42F
这种内存注入方式对EDR效果确实好些
吉林省长春市 43F
配合msf的payload试了下,效果不错
江苏省南通市 B1
@ 螃蟹横行 用msf配合确实效果挺好的。
浙江省绍兴市 44F
之前用过类似工具,这个确实更稳定
浙江省杭州市 45F
卡巴这么难绕吗?那用啥比较好
浙江省宁波市 46F
文档确实写得不够详细,参数说明太简单了
广东省惠州市 47F
这个loader确实省事,比手工注入方便多了。
广东省广州市 B1
@ 电子精灵 确实省事,不用手动写加载器了
江西省上饶市 48F
之前用别的工具经常蓝屏,这个稳定多了。
北京市 49F
试了下win11,必须关掉实时防护才行。
江苏省常州市 50F
payload生成时不勾选x64是啥原理?
上海市 51F
内存注入对EDR效果确实可以。
河北省 52F
为啥我执行完没反应,日志也没记录?
中国 53F
感觉比sRDI轻量,适合快速部署。
广东省广州市 54F
前几天刚用这方法打靶,EDR没报警,很爽。
广东省 55F
想问下payload放system32会被拦截吗?
浙江省温州市苍南县 56F
这方法对火绒不行,直接报毒了。
新疆 57F
这方法在win10 21H2上跑通了,但得临时关掉Defender。
湖北省 58F
payload放temp目录确实稳,system32直接被火绒干掉了。
日本 59F
hanzo加载时内存飙到800MB,有点吓人啊🤔
上海市 60F
x64不勾选是因为cs的raw默认就是位置无关代码吧?
澳大利亚 61F
之前用这个打内网靶机,EDR没弹窗,舒服了。
辽宁省沈阳市 62F
能不能把bin直接嵌进exe里?老传两个文件太麻烦。
福建省泉州市 63F
试了卡巴斯基,秒杀,别浪费时间了。
北京市 64F
感觉操作是简单,但文档真该补个常见问题列表。
新加坡 65F
直接桌面执行没问题,我刚试完上线成功。
北京市 66F
配合msfvenom生成的shellcode也能用吗?
浙江省杭州市 67F
这个bin文件需要管理员权限吗?
湖北省孝感市 68F
这种内存注入对EDR效果确实可以
山东省烟台市 69F
之前用这个打红队,绕过了某数字杀软
陕西省西安市 70F
为啥我执行完进程就退出了?
重庆市 71F
内存占用确实高,有优化方案吗?
中国 72F
payload放temp目录比较稳,system32容易被杀
台湾省 73F
配合msf的shellcode试了下,上线成功
湖北省十堰市 74F
这方法对火绒不行,直接报毒
台湾省高雄市 75F
上传前改个后缀名试试?
广东省深圳市 B1
@ 白川诗穗 改后缀可能能过静态查杀
河北省石家庄市 76F
免杀这块还得看实战环境
北京市 B1
@ 飘飘蝶 实战才是检验真理的唯一标准
北京市 77F
win10 21h2试了不行啊
广东省广州市 78F
老哥,这方法现在还能用吗?
印度尼西亚 B1
@ StarlightVoyager 感觉有点过时了
山东省青岛市 79F
试了下,360也过不了