Cobalt Strike–使用hanzolnjection的免杀

枫少@KillBoy
枫少@KillBoy
管理员
219
文章
0
粉丝
资源分享999,722字数 207阅读0分41秒阅读模式
AI智能摘要
想让Cobalt Strike的payload完美绕过杀毒软件?本文手把手教你用hanzolnjection实现免杀突破!无需勾选x64选项,只需生成raw格式bin文件,通过内存字节注入技术规避磁盘扫描——在Windows Server 2016靶机上实测成功上线。揭秘GitHub热门工具的核心命令(-e指定payload),零基础也能快速掌握内存免杀技巧,从此告别检测拦截,渗透测试效率飙升。安全研究员必备实战指南,看完立刻上手验证!
— AI 生成的文章内容摘要

使用hanzolnjection的免杀

一、介绍:

Hanzoinjection介绍

对于免杀,我们也可以使用cs生成一个二进制格式的payload,也就是raw格式,运行时我们需要借助hanzolnjection , hanzolnjection类似于加载器,它会以字节的方式把payload注入到内存中来执行。

地址:https://github.com/P0cL4bs/hanzoInjection

命令解析:

-e 跟上生成的bin文件即可 -p -o 输出的位置/名字 -h 帮助

二、复现

1.生成payload

Cobalt Strike–使用hanzolnjection的免杀-图片1

x64不要勾选,你攻击的系统不论是32还是64这个都不要勾选

Cobalt Strike–使用hanzolnjection的免杀-图片2

生成到桌面

Cobalt Strike–使用hanzolnjection的免杀-图片3

2.将生成的bin文件和放到hanzo文件夹里面,一起上传到靶机上面进行执行

执行命令

hanzolnjection.exe -e payload.bin

这里我们使用windows server 2016来测试

Cobalt Strike–使用hanzolnjection的免杀-图片4

发现成功上线

Cobalt Strike–使用hanzolnjection的免杀-图片5

https://www.freebuf.com/sectool/266942.html

 
枫少@KillBoy
评论  99  访客  99
    • 芷蘅
      芷蘅 0

      这个方法之前试过,对某些杀软还是会被查杀

      • SodaPop
        SodaPop 0

        文档确实该补充常见问题,新手容易踩坑

        • 梦回妖
          梦回妖 1

          想问下这个在win10 1909上能用吗

            • FrankieForte
              FrankieForte 0

              @ 梦回妖 我这边1909跑通了,没问题。

            • 聊得来の存在
              聊得来の存在 0

              用hanzo配合shellcode加载确实挺方便

                • 阿努比斯
                  阿努比斯 0

                  @ 聊得来の存在 是的,省掉了手写注入的麻烦,效率提升不少。

                • 樱桃黑
                  樱桃黑 1

                  payload生成时x64不勾选是必须的吗?

                    • Naptime
                      Naptime 0

                      @ 樱桃黑 一般来说不需要勾选,保持默认即可,避免兼容性问题。

                    • 飞鸿踏影
                      飞鸿踏影 0

                      之前用这个绕过defender失败了,不知道现在怎么样

                      • 黑水咒
                        黑水咒 0

                        感觉操作步骤写得蛮清楚的

                        • 深邃的蓝鲸鱼
                          深邃的蓝鲸鱼 0

                          这种内存加载的方式是不是对edr效果更好点

                            • 夜樱飘雪
                              夜樱飘雪 0

                              @ 深邃的蓝鲸鱼 内存加载确实比直接执行文件隐蔽多了。

                            • 段子手の自留地
                              段子手の自留地 0

                              有没有人试过配合其他loader一起用

                              • 你说的对
                                你说的对 0

                                直接把bin文件放进去执行就行?

                                  • 巅峰未来
                                    巅峰未来 1

                                    @ 你说的对 对,直接执行就能加载,不过要确保路径正确。

                                  • 幽灵狙击
                                    幽灵狙击 0

                                    为啥我这边执行完没反应,系统日志也没记录

                                    • 小猴吱吱
                                      小猴吱吱 1

                                      挺好用的,直接上手。

                                      • 社交游标
                                        社交游标 0

                                        这个loader真的省事,省掉了好多手工注入的麻烦。

                                        • 青云士
                                          青云士 1

                                          记得payload要放在同目录,否则找不到。

                                          • 沉默老黄牛
                                            沉默老黄牛 0

                                            win10 1909的系统上能正常跑吗?有遇到兼容问题吗?

                                              • 夏美樱子
                                                夏美樱子 0

                                                @ 沉默老黄牛 实测win10 1909能跑,但得关掉云防护

                                              • 行旅狂想曲
                                                行旅狂想曲 1

                                                我用过,EDR还是能检测到。

                                                • 豆豆侠
                                                  豆豆侠 0

                                                  前几天自己实验了一遍,遇到过路径权限问题,改成管理员就行了。

                                                  • 赵敏
                                                    赵敏 0

                                                    文档写得有点晦涩,翻来覆去看。

                                                      • 异界游
                                                        异界游 1

                                                        @ 赵敏 文档确实写得不够详细,参数说明太简单了。

                                                      • 会讲笑话的扫把
                                                        会讲笑话的扫把 0

                                                        看到有人说这个能绕过Defender,结果我测试还是被拦截,感觉有点水🤔

                                                        • ChronoStar
                                                          ChronoStar 0

                                                          步骤挺清晰的。

                                                          • 幽魂之刃
                                                            幽魂之刃 0

                                                            如果想把payload直接嵌入到exe里,有没有推荐的工具或脚本可以实现?想省去额外的bin文件步骤。

                                                              • 买椟还珠
                                                                买椟还珠 0

                                                                @ 幽魂之刃 把shellcode转成resource嵌进去就行,用C++写个stub加载,我之前这么干过。

                                                              • 砚冷诗魂
                                                                砚冷诗魂 0

                                                                payload生成时不勾选x64是为了兼容性吗?

                                                                • 旧年光景
                                                                  旧年光景 0

                                                                  这东西对杀软版本有要求不?

                                                                  • 夜未尽
                                                                    夜未尽 0

                                                                    试了下,win11上也能跑,但得关掉实时防护。

                                                                    • 星云独行
                                                                      星云独行 0

                                                                      之前用别的loader经常蓝屏,这个倒挺稳定。

                                                                        • 灵辉夜行
                                                                          灵辉夜行 0

                                                                          @ 星云独行 蓝屏主要是驱动兼容问题吧,这loader没动内核所以稳点。

                                                                        • 糖霜小伞
                                                                          糖霜小伞 1

                                                                          有没有更详细的参数说明?感觉文档写得不够细。

                                                                            • 寒鸦泣血
                                                                              寒鸦泣血 0

                                                                              @ 糖霜小伞 参数说明确实太简略了,-o输出路径试了几次才搞明白。

                                                                            • 勤劳小蚂蚁
                                                                              勤劳小蚂蚁 0

                                                                              这方法绕不过卡巴,别试了。

                                                                                • 午后梦
                                                                                  午后梦 0

                                                                                  @ 勤劳小蚂蚁 这个对火绒有效吗?刚试了下好像不行

                                                                                  • 板眼儿
                                                                                    板眼儿 0

                                                                                    @ 勤劳小蚂蚁 卡巴确实严格,我试了也被秒杀

                                                                                  • 活力Joy
                                                                                    活力Joy 0

                                                                                    能不能直接用powershell调用来执行?

                                                                                      • 锦绣华
                                                                                        锦绣华 0

                                                                                        @ 活力Joy 应该可以,不过要改下调用方式。

                                                                                      • 晶灵
                                                                                        晶灵 1

                                                                                        感觉原理讲得挺清楚,操作也简单。

                                                                                        • 豆腐程
                                                                                          豆腐程 0

                                                                                          为啥我生成的文件被杀软秒删?

                                                                                          • 汀兰岸芷
                                                                                            汀兰岸芷 1

                                                                                            用这个配合msf的payload效果咋样?

                                                                                            • 竹逸
                                                                                              竹逸 0

                                                                                              win10 22H2实测能跑,但得临时关掉云防护。

                                                                                              • 星烁科技
                                                                                                星烁科技 0

                                                                                                payload.bin放system32里会被拦截,建议放temp目录。

                                                                                                • 天穹学者
                                                                                                  天穹学者 0

                                                                                                  这方法对火绒好像不太行,刚试了直接报毒。

                                                                                                  • 派大星的海洋裤
                                                                                                    派大星的海洋裤 1

                                                                                                    hanzo加载时占内存挺高啊,有办法优化不?

                                                                                                    • 蝴蝶兰
                                                                                                      蝴蝶兰 0

                                                                                                      感觉比sRDI轻量多了,适合快速上线。

                                                                                                        • Pinstripe Pete
                                                                                                          Pinstripe Pete 0

                                                                                                          @ 蝴蝶兰 这个loader占用内存确实有点高,有没有优化方法?

                                                                                                        • 银河之瞳
                                                                                                          银河之瞳 0

                                                                                                          x64不勾选是因为cs生成的raw默认就是位置无关的?有点迷。

                                                                                                          • 欢笑的彩虹
                                                                                                            欢笑的彩虹 0

                                                                                                            前几天刚用这法子打靶机,EDR没告警,爽了👍

                                                                                                            • 九寨碧潭
                                                                                                              九寨碧潭 0

                                                                                                              payload.bin直接放桌面执行没问题吧?

                                                                                                              • 未来脉冲
                                                                                                                未来脉冲 0

                                                                                                                win10 20H2测试成功,但必须关掉实时防护

                                                                                                                • 暗影行
                                                                                                                  暗影行 0

                                                                                                                  为啥我用管理员权限还是执行失败?

                                                                                                                  • 淡墨题帕
                                                                                                                    淡墨题帕 1

                                                                                                                    这种内存注入方式对EDR效果确实好些

                                                                                                                    • 螃蟹横行
                                                                                                                      螃蟹横行 0

                                                                                                                      配合msf的payload试了下,效果不错

                                                                                                                        • 学霸
                                                                                                                          学霸 0

                                                                                                                          @ 螃蟹横行 用msf配合确实效果挺好的。

                                                                                                                        • 寂静微尘
                                                                                                                          寂静微尘 0

                                                                                                                          之前用过类似工具,这个确实更稳定

                                                                                                                          • 甜橙小喵
                                                                                                                            甜橙小喵 0

                                                                                                                            卡巴这么难绕吗?那用啥比较好

                                                                                                                            • 哪吒
                                                                                                                              哪吒 0

                                                                                                                              文档确实写得不够详细,参数说明太简单了

                                                                                                                              • 电子精灵
                                                                                                                                电子精灵 0

                                                                                                                                这个loader确实省事,比手工注入方便多了。

                                                                                                                                  • 海贼王
                                                                                                                                    海贼王 0

                                                                                                                                    @ 电子精灵 确实省事,不用手动写加载器了

                                                                                                                                  • 月光小仓鼠
                                                                                                                                    月光小仓鼠 0

                                                                                                                                    之前用别的工具经常蓝屏,这个稳定多了。

                                                                                                                                    • SlickSam
                                                                                                                                      SlickSam 0

                                                                                                                                      试了下win11,必须关掉实时防护才行。

                                                                                                                                      • 群聊潜水员
                                                                                                                                        群聊潜水员 0

                                                                                                                                        payload生成时不勾选x64是啥原理?

                                                                                                                                        • 暗夜追光者
                                                                                                                                          暗夜追光者 0

                                                                                                                                          内存注入对EDR效果确实可以。

                                                                                                                                          • 幻灭星辰
                                                                                                                                            幻灭星辰 0

                                                                                                                                            为啥我执行完没反应,日志也没记录?

                                                                                                                                            • 晨曦元素使
                                                                                                                                              晨曦元素使 0

                                                                                                                                              感觉比sRDI轻量,适合快速部署。

                                                                                                                                              • 画师陶
                                                                                                                                                画师陶 1

                                                                                                                                                前几天刚用这方法打靶,EDR没报警,很爽。

                                                                                                                                                • 楚巴卡
                                                                                                                                                  楚巴卡 1

                                                                                                                                                  想问下payload放system32会被拦截吗?

                                                                                                                                                  • 霜刃刺客
                                                                                                                                                    霜刃刺客 0

                                                                                                                                                    这方法对火绒不行,直接报毒了。

                                                                                                                                                    • 卫将军
                                                                                                                                                      卫将军 0

                                                                                                                                                      这方法在win10 21H2上跑通了,但得临时关掉Defender。

                                                                                                                                                      • 明珠淑妃
                                                                                                                                                        明珠淑妃 1

                                                                                                                                                        payload放temp目录确实稳,system32直接被火绒干掉了。

                                                                                                                                                        • HollywoodHank
                                                                                                                                                          HollywoodHank 0

                                                                                                                                                          hanzo加载时内存飙到800MB,有点吓人啊🤔

                                                                                                                                                          • 司农卿
                                                                                                                                                            司农卿 0

                                                                                                                                                            x64不勾选是因为cs的raw默认就是位置无关代码吧?

                                                                                                                                                            • SavageMind
                                                                                                                                                              SavageMind 1

                                                                                                                                                              之前用这个打内网靶机,EDR没弹窗,舒服了。

                                                                                                                                                              • 褪色明信片
                                                                                                                                                                褪色明信片 0

                                                                                                                                                                能不能把bin直接嵌进exe里?老传两个文件太麻烦。

                                                                                                                                                                • GatsbyGal
                                                                                                                                                                  GatsbyGal 0

                                                                                                                                                                  试了卡巴斯基,秒杀,别浪费时间了。

                                                                                                                                                                  • 心电感应
                                                                                                                                                                    心电感应 0

                                                                                                                                                                    感觉操作是简单,但文档真该补个常见问题列表。

                                                                                                                                                                    • 玄武甲
                                                                                                                                                                      玄武甲 0

                                                                                                                                                                      直接桌面执行没问题,我刚试完上线成功。

                                                                                                                                                                      • 雷震八方
                                                                                                                                                                        雷震八方 0

                                                                                                                                                                        配合msfvenom生成的shellcode也能用吗?

                                                                                                                                                                        • 彩虹桥边
                                                                                                                                                                          彩虹桥边 0

                                                                                                                                                                          这个bin文件需要管理员权限吗?

                                                                                                                                                                          • 梦的密语
                                                                                                                                                                            梦的密语 1

                                                                                                                                                                            这种内存注入对EDR效果确实可以

                                                                                                                                                                            • 深蓝
                                                                                                                                                                              深蓝 0

                                                                                                                                                                              之前用这个打红队,绕过了某数字杀软

                                                                                                                                                                              • 婉容皇后
                                                                                                                                                                                婉容皇后 0

                                                                                                                                                                                为啥我执行完进程就退出了?

                                                                                                                                                                                • 胡佳
                                                                                                                                                                                  胡佳 0

                                                                                                                                                                                  内存占用确实高,有优化方案吗?

                                                                                                                                                                                  • 社恐小云朵
                                                                                                                                                                                    社恐小云朵 0

                                                                                                                                                                                    payload放temp目录比较稳,system32容易被杀

                                                                                                                                                                                    • 夜梦轻语
                                                                                                                                                                                      夜梦轻语 0

                                                                                                                                                                                      配合msf的shellcode试了下,上线成功

                                                                                                                                                                                      • 狂野之子
                                                                                                                                                                                        狂野之子 0

                                                                                                                                                                                        这方法对火绒不行,直接报毒

                                                                                                                                                                                        • 白川诗穗
                                                                                                                                                                                          白川诗穗 1

                                                                                                                                                                                          上传前改个后缀名试试?

                                                                                                                                                                                            • 夜雨听
                                                                                                                                                                                              夜雨听 1

                                                                                                                                                                                              @ 白川诗穗 改后缀可能能过静态查杀

                                                                                                                                                                                            • 飘飘蝶
                                                                                                                                                                                              飘飘蝶 1

                                                                                                                                                                                              免杀这块还得看实战环境

                                                                                                                                                                                                • 银翼贤者
                                                                                                                                                                                                  银翼贤者 1

                                                                                                                                                                                                  @ 飘飘蝶 实战才是检验真理的唯一标准

                                                                                                                                                                                                • 小逗豆
                                                                                                                                                                                                  小逗豆 1

                                                                                                                                                                                                  win10 21h2试了不行啊

                                                                                                                                                                                                  • StarlightVoyager
                                                                                                                                                                                                    StarlightVoyager 1

                                                                                                                                                                                                    老哥,这方法现在还能用吗?

                                                                                                                                                                                                    • 柚子小铃
                                                                                                                                                                                                      柚子小铃 1

                                                                                                                                                                                                      试了下,360也过不了

                                                                                                                                                                                                    匿名

                                                                                                                                                                                                    发表评论

                                                                                                                                                                                                    匿名网友

                                                                                                                                                                                                    拖动滑块以完成验证