记录下跟着别人文章做一个简单的python免杀cs马。

原文链接:sec某python-bypass av马

大体理一下制作的思路:

先用cs->python马->把python的shellcode先进行base64加密->送入python脚本进行Pickle.dump序列化->序列化的shellcode再使用pickle.load(解密(shellcode))反序列化即可进行执行上线。

最后利用的话使用pyinstaller进行打包。

开始制作

把cs生成马的shellcode送入base64加密

1615859625290

这儿。加密用本地的cyber加密,有些在线的不知道为什么加密出来不对:

1615859721011

紧接着存txt放vps上,python脚本是大佬写的直接用:

就不粘贴脚本了,开头文章有:

1615859801275

生成这个之后放入python中的pickle.load进行反序列化加载:

1615859984676

使用python直接运行可以看到上线了:

1615818904277

最后把它打包成exe:

pyinstaller -F make_shellcode.py --noconsole

最后在dist文件下就会生成:

python的马。真大:

1615858701324

所以我感觉这东西如果钓鱼伪装视频可能更好一点,如果是doc也太大了。

最后是点击上线:

1615861669769

这儿我发现了一个问题这个点开的exe不会自动关闭,所以钓鱼不太好会被意识到中招了。。

解决问题篇:

然后就是我做完了这些我再去试着执行python,exe发现上线不了了。

其实上面的加载cs的shellcode是从vps上远程加载的,所以我把9999的监听断掉就没了。

后续优化

解决木马过大的问题

解决双击后保持黑框的问题。