远控免杀从入门到实践（2）工具总结篇(8)

SharpShooter 算是比较复杂的一个框架，支持多种 payload，能在.NET 框架的 v2、v3 和 v4 版本上都能执行，涵盖了绝大部分的 Windows 系统。但也因为 SharpShooter 的知名度比较高，默认生成的 payload 已经被查杀的比较严重，但其实现方式和思路是比较值得人学习的。

而且在 2019 年 1 月 Sharpshooter 加入了 AMSI 的 bypass 模板，使用参数–amsi amsienable 可以使用该模块来 Kill 掉 AMSI，感兴趣的可以试一下。

操作便利★★★★

免杀效果★★

推荐指数★★★

详细文章链接：https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

在 2017 年 4 月由 James Forshaw 开源了一个工具 DotNetToJScript，能够利用 JS 或者 Vbs 等脚本加载.Net 程序。在 DotNetToJScript 发布后，有几款工具根据其原理开发出来，比如 CACTUSTORCH、SharpShooter、StarFighters 等等。

而 CACTUSTORCH 和 SharpShooter 都同一个组织开发，2017 年发布，主要使用 vbs 或 js 执行 C# 的二进制 payload，提供多种方式绕过杀软，支持 js、vbs、vbe、vba、hta 等多种格式，还提供了支持 Cobalt Strike 的 cna 文件。

CACTUSTORCH 生成的脚本可以用于执行 C# 的二进制文件，CACTUSTORCH 在免杀方面有以下几个特性：

1、在 payload 中不使用 Kernel32 API 声明，避免被杀软检测

2、可以在 C＃二进制内机械能混淆

3、可任意指定目标二进制程序进行注入

4、允许指定任意 shellcode

5、不产生 PowerShell.exe

6、不需要 Powershell

7、不需要 office

8、不调用 WScript.Shell

9、不需要分段，因为完整的无阶段 shellcode 可以包含在传送的 payload 内

10、没有静态父对子进行生成，用户可以更改 wscript.exe 生成的内容

以生成 js 脚本为例进行测试,virustotal.com 上查杀率为 27/57，这个查杀率还是挺高的。

生成 vbs 脚本,virustotal.com 上查杀率为 23/57

因为 CACTUSTORCH 也是基于 DotNetToJScript 来实现免杀的工具，同类工具里知名度比较高，所以被查杀的有些惨不忍睹，不过能直接过 360 和火绒也算一个小亮点了。杀软查杀其脚本主要是里面很多代码关键字都被列入了特征字符，感兴趣的可以尝试修改其脚本代码做二次免杀。

操作便利★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/YTXT31mCOWhMZEbCg4Jt0w

Winpayloads，2019 年开源的免杀 payload 生成工具，可以和 Msf 无缝对接，自身也可以作为独立远控软件来试用。主要是使用 python 对 shellcode 进行处理，然后编译成 exe 文件，从而达到免杀的效果。

Winpayloads 的常规安装比较复杂，依赖的软件比较多，需要安装 winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto 等等，所以官方后来直接把常规安装给去掉了，直接建议使用 docker，docke 安装起来就非常简单了。

生成独立可执行后门 exe 文件，virustotal.com 平台查杀率也为 18/70

Winpayloads 使用比较简便，生成的 payload 免杀效果也是不错的，使用了多种技术来免杀和实施后渗透，唯一的缺点就是生成的 payload 都有点偏大，大约 2.7M 左右。