⑨BIE

手头买了一个500G的SSD移动硬盘，带外壳的。虽然感觉翻车风险挺高，但是到手了，容量是真的也不是清零盘，速度也还ok，也就那样吧。
然后想了想，可不可以把这弄成一个工具包呢？
因为某些原因，要接触到各种大数据处理，所以想内置各代各种环境。
原本是想用音速启动的，后来想了想算了，还不如直接用文件管理，然后用各种ini魔改美化一下就差不多了。
接下来就是环境的问题，然后，就在这短短几天内，咱成为了bat小天才了。
自动识别盘符，自动提升权限。自动加环境变量以及启动服务。
使用方法，就是放在你的盘符下然后修改里面的变量为相对路径就行。
同理也可以制作其他的绿色版的玩意，比如窝目前整了个postgresql啊，mongodb啊什么的。。。
脚本如下：

cls 
@echo off
chcp 65001
:设置窗口字体颜色
color 0a 
:设置窗口标题
TITLE MySQL管理程序
set MYSQL_HOME=%~dp0LIB\mysql5.7\ :这里改成你Mysql的路径
echo MYSQL_HOME=%MYSQL_HOME%LIB\mysql5.7\
set PATH=%MYSQL_HOME%/bin;%PATH%
goto :init
  
goto menu
:菜单
:menu
cls
echo. 
echo.=-=-=-=-请选择您要对MySQL的操作-=-=-=-=-
echo.
echo.1: 启动MySQL
echo.
echo.2: 关闭MySQL
echo. 
echo.3: 命令行
echo. 
echo.4: 退 出
echo.
echo.=-=-=-=-请输入您要选择的项目序号↓-=-=-=-
set /p id=
if "%id%"=="1" goto startup
if "%id%"=="2" goto close
if "%id%"=="3" goto console
if "%id%"=="4" exit
pause
  
:启动
:startup

del /F LIB\mysql5.7\my.ini
echo [client] >> LIB\mysql5.7\my.ini
echo port = 3306 >> LIB\mysql5.7\my.ini
echo default_character_set=gbk >> LIB\mysql5.7\my.ini
echo [mysqld] >> LIB\mysql5.7\my.ini
rem echo default_character_set=utf8 >> LIB\mysql5.7\my.ini
echo default_storage_engine=InnoDB >> LIB\mysql5.7\my.ini
echo basedir=%MYSQL_HOME%>>LIB\mysql5.7\my.ini
echo datadir=%MYSQL_HOME%data>> LIB\mysql5.7\my.ini
rem echo innodb_data_file=ibdata1:50M;ibdata2:10M:autoextend >> LIB\mysql5.7\my.ini
echo transaction-isolation=READ-COMMITTED >> LIB\mysql5.7\my.ini
echo port=3306 >> LIB\mysql5.7\my.ini
echo max_allowed_packet = 64M >> LIB\mysql5.7\my.ini
echo "my.ini in %MYSQL_HOME% created."
set PATH=%MYSQL_HOME%/bin;%PATH%
rem if exist "%MYSQL_HOME%/bin/mysqld-nt.exe" call mysqld-nt --install-manual mysql57 --defaults-file="%MYSQL_HOME%/my.ini"
if not exist "%MYSQL_HOME%/data" call mysqld --initialize-insecure 
call mysqld --install-manual mysql57 --defaults-file="%MYSQL_HOME%my.ini"
call net start mysql57
echo.启动Mysql成功.....
pause
goto menu

:停止
:close
echo.
echo.关闭MySQL......
net stop "mysql57"
sc delete mysql57
echo.关闭MySQL成功！
pause 
goto menu
  
:重启
:console
echo.
cmd /k
  
:退出
:goout
pause
goto menu

  
:检查是否是以管理员身份运行
:init
setlocal DisableDelayedExpansion
set "batchPath=%~0"
for %%k in (%0) do set batchName=%%~nk
set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
setlocal EnableDelayedExpansion

:checkPrivileges
NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

:getPrivileges
if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
ECHO.
ECHO **************************************
ECHO Invoking UAC for Privilege Escalation
ECHO **************************************

ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
ECHO args = "ELEV " >> "%vbsGetPrivileges%"
ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
ECHO Next >> "%vbsGetPrivileges%"
ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
"%SystemRoot%\System32\WScript.exe" "%vbsGetPrivileges%" %*
exit /B

:gotPrivileges
setlocal & pushd .
cd /d %~dp0
if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)
goto menu

自己写马子太痛苦了。
然后发现了，cs，msf这些工具又很香。只是碍于这些东西。
没办法，重！启！上！线！
免杀什么的其实都是小意思。主要还是重启上线等一堆功能。
所以就打算在这里记录一下，从零开始的，打造一款无弹窗免杀的shellcode吧。
为了不吊大家胃口，我就直接写出原理吧。
其实也不难。

就是一个写一个shellcode带有socket+rc4加密跑远端加密后的cs的payload下载下来后执行。然后利用启动项劫持技术，绕过杀软的启动保护。

再高级一点的话，就是把启动项劫持，改成用masm编写超迷你型的shellcode装载器，然后插入目标的PE空隙中，然后修改OEP指向我们的空隙然后执行完shellcode后再跳转到入口点。

启动项劫持的原理就是，360虽然禁止对启动项进行增改，但是删和查是可以的，并且对于启动项/服务项中的目标程序并没有进行保护。所以我们可以对启动项的程序进行劫持替换修改都是没问题的。或者不对启动项劫持进行替换，而是找到一个运行中的服务，kill掉它的进程，然后对服务源程序进行劫持也是可以的。原理都差不多。

总之就是这样，考完了应该会去研究一波。

至于payload，有两个方案。

可以自己写，难度有点高，可以参考

二进制入门-打造Linux shellcode基础篇

但是这种东西，一般顶天给你整个下载者。和cs那种全部功能纯shellcode还是不一样的。你下载者最终还是需要下载的你的二进制文件，达不到“负载无文件”（不是纯无文件，毕竟你的shellcode还是需要的），可能会导致你的马子被检测到。

payload难主要难在，对于API地址的定位，不过一般只要找到LoadLibrary的地址，其实还算是好说的啦。
还有难就难在栈平衡这些。
下次研究一波。
实在不行，直接整个PELOADER，自建一个RVA导入，不过传输EXE的话可能会被杀软拦截emmm，但是都能传shellcode了，传个加密的PE到内存理论上也是没关系的吧，

所以还是推荐直接使用cs或者msf，简单粗暴。

最后研究出的地址在这里

shellcode-9bie

带有直接运行和服务启动效果。
怎么用我懒得说了，只能说不添加 启动的话，能无弹窗过360+主防吧。
目前发现还不能过诺顿，待我研究一波。

同时吐槽一下遇到的一些坑。

c++的string，是非常的香的。不需要free(char );(char)malloc();这种操作的。
但是，还是碍于X问题，0会被截断。
千万不要使用str开头的函数来处理std::string.c_str()的东西。str开头的函数遇到0会自动截断，被这东西坑了好久= =
建议使用mem开头的，而且带_s，指定长度，合理控制内存。

学到了一个新的技巧。
和lpk.dll类似，有些文件会自动加载目录下面的dll。
并且这些文件是经过授权且加入白名单的程序。
例如WINWORD.exe。
其他的待收集，只是记录一下