记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

实战案例:如何使用Speakeasy轻松模拟恶意Shellcode

一、概述为了能够大规模模拟恶意软件样本,研究人员近期开发了Speakeasy模拟框架。这一框架能够帮助非恶意软件分析人员的用户能轻松自动获取分类报告,同时可以帮助逆向工程师为难以分类的恶意软件系列编写自定义插件。Speakeasy最初是为了模拟Windows内核模式的恶意软件而创建的,现在也开始支持用户模式样本。这一项目的主要目标是针对x86和amd64平台进行动态恶意软件分析的Windows操作系统的高度模拟。
发布时间:2020-09-25 09:57 | 阅读:5570 | 评论:0 | 标签:shellcode shell

Hacking8安全信息流新增签到,shellcode在线免杀,自定义域名监控功能

收录于话题 最近给信息流折腾了很多功能,所以忍不住写篇文章介绍介绍~签到与邀请码注册用户的很多功能都需要金币,我也不喜欢金币这个系统,但是为了更好的宣传还是需要一个奖励机制,之前每个新用户可以获得5个金币,然后没有获得途径了。所以做了一个签到系统,每日签到就能随机获得1~5个金币,希望增加信息流的日活数量。
发布时间:2020-09-18 08:18 | 阅读:8230 | 评论:0 | 标签:shellcode shell hack 安全

【红队神器】cs shellcode一键bypass 99% AV

收录于话题 老规矩,开局先放几张图:【微步在线云沙箱】【腾讯哈勃分析系统】【完美上线】【平台说明】本系统采用php+python+golang开发,稳定免杀99%的AV。在CS中生成X64的c shellcode,按照平台指定格式提交,即可一键生成免杀后门【承诺与说明】1.平台生成的文件不含任何后门,自助选择是否使用。2.平台不会收集使用者的c2 ip,平台运营者并不参加今年的hvv,也不会将数据泄露给任何第三方。
发布时间:2020-09-13 21:05 | 阅读:14447 | 评论:0 | 标签:shellcode shell

七夕-带你玩转 Linux Shellcode

 本篇主要是以x64系统为例对系统调用中一些功能性函数的解读和实际运用。目前网络上流传的通用shellcode,均使用系统调用实现,在记录整个学习过程的同时分享给大家一起学习探讨。 0x01 Shellcode 简介0x1 shellcodeShellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中注入到目标程序中从而被执行,在比赛或者是实战中栈溢出漏洞使用的更为频繁,编写Shellcode比编写RopGagdet更为简单,栈溢出的最经典的利用方式是Ret2Shellcode。
发布时间:2020-09-02 12:12 | 阅读:7474 | 评论:0 | 标签:linux shellcode shell

利用图片隐写术来远程动态加载shellcode

0x01 前言将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免杀性和隐匿性。
发布时间:2020-08-18 14:02 | 阅读:16309 | 评论:0 | 标签:shellcode shell 远程

请教一个关于加密shellcode的py脚本

我想问一下,为什么用原作者带的shellcode执行就不会报错,但是我自己用msf或者c2生成的shellcode就会报 问了一个python大佬,他说代码没问题,问题出现在数据。
发布时间:2020-08-14 20:42 | 阅读:17278 | 评论:0 | 标签:加密 shellcode shell

远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题
发布时间:2020-07-16 15:27 | 阅读:28472 | 评论:0 | 标签:工具 bash编写 c代码 msfvenom NET程序 SHELLCODE zirikatu 免杀 远控

远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 文章导
发布时间:2020-07-15 21:11 | 阅读:16898 | 评论:0 | 标签:工具 Green-Hat-Suite Green-m msfvenom msfvenom命令 msf无缝对接 SHELL

ShellCode远程加载器改造计划

前言shellcode加载器加载shellcode实现免杀上线,目前可能是使用最多的方法了。现有的加载器也特别多,但是改造轮子的心总是在骚动,所以就开始了Shellcode远程加载器改造计划。Winhttp实现HTTP请求所谓远程加载shellcode,第一部得实现远程的功能,这里用Winhttp实现http请求来获取我们文件服务器上的shellcode。
发布时间:2020-06-10 23:29 | 阅读:27586 | 评论:0 | 标签:shellcode

探索如何使用C#在Windows中利用系统调用执行Shellcode注入

前言在通过Sektor7恶意软件开发必修课程学习了如何使用C语言编写Shellcode注入工具之后,我希望尝试如何在C#中执行相同的操作。实际上,使用P/Invoke来运行类似的Win32 API调用,并编写一个与Sektor7类似的简单注入工具非常容易。我注意到其中的最大区别是,没有直接等效的方法来混淆API调用。在对BloodHound Slack频道进行了一些研究和提问之后,在@TheWover和@NotoriousRebel的帮助下,我发现有两个主要的领域可以进行研究,一个是使用本地Windows系统调用(syscall),另一个是使用动态调用。
发布时间:2020-06-10 14:22 | 阅读:20133 | 评论:0 | 标签:注入 shellcode

MIPS 指令集 Shellcode 编写入门

H4lo@海特实验室前言Shellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中,尤其是栈溢出漏洞,我们一般都会使用调用 shellcode 的方法来进行攻击(ret2shellcode)。MIPS 架构的 shellcode 和 x86 架构下的 shellcode 也会有一些差异,同时在实际利用 MIPS 的 shellcode 时可能会有坏字符的问题,因此还是需要掌握一些 shellcode 编写的技巧,这样在实际利用时才能比较灵活的运用。 MIPS 系统调用我们在写 shellcode 过程中,都会用到系统调用。
发布时间:2020-04-15 16:19 | 阅读:36290 | 评论:0 | 标签:shellcode

红队基本操作:通用Shellcode加载器

Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。 博客系列的第一部分将介绍使用Shellcode进行后期开发payload的基本要领。在第二部分中,我们将为加载器实现其他功能,并查看某些功能的一些优点和缺点。
发布时间:2020-03-18 17:09 | 阅读:35339 | 评论:0 | 标签:网络安全 shellcode 加载器 红队

远控免杀从入门到实践(8)-shellcode免杀实践

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《
发布时间:2020-03-08 14:19 | 阅读:73385 | 评论:0 | 标签:系统安全 shellcode 免杀 远控

Powershell免杀(shellcode加载器)

加载器(loader) loader就是分离免杀的一种,从远程文件或本地其他文件读取shellcode,并加载到内存执行。 网络上很多语言的加载器都有,但是powershell的感觉不太常见,powershell版的loader也是在学习过程中的一个产物,只是一种思路,因为powershell完全可以实现无文件落地。两种形式: loader + shellcode loader + bin文件 本文采用的是loader + bin文件的形式。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
发布时间:2020-03-01 19:47 | 阅读:49728 | 评论:0 | 标签:shellcode

Powershell免杀(远程加载shellcode)

远程加载 远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。 但是经过简单的测试我发现卡巴斯基对downloadstring方法检测的比较严格,因此考虑换一种方法。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。 通过翻阅.net的官方文档我找到了这个方法:system.net.webclient.downloaddata。 与常用的downloadstring类似,只不过该方法是直接从uri读取字节数组。这正好解决了我们的麻烦,并且使得事情变得更简单了。
发布时间:2020-03-01 19:47 | 阅读:38068 | 评论:0 | 标签:shellcode

通过Boolang语言执行shellcode的利用分析

0x00 前言在之前的文章《SILENTTRINITY利用分析》学习了C#利用IronPython引擎从内存加载payload的方法,我在byt3bl33d3r的GitHub上又看到了利用Boolang语言执行shellcode的代码,于是对这项技术做了研究。本文将要介绍Boolang语言的特点和用法,分析通过Boolang语言执行shellcode的优点,给出防御检测的建议。0x01 简介本文将要介绍以下内容:· Boolang语言简介。· Boolang语言的用法。· 通过Boolang语言执行shellcode的实现代码。· 利用分析。
发布时间:2020-02-26 14:20 | 阅读:29508 | 评论:0 | 标签:shellcode

C# Shellcode Loader

静态免杀项目地址https://github.com/Y4er/shellcode-loadershellcode loadercsharp 5632 byte xor 静态免杀,过Windows defender.免杀效果测试于 2020/2/24 23:30http://r.virscan.org/language
发布时间:2020-02-26 00:03 | 阅读:34450 | 评论:0 | 标签:shellcode

免杀shellcode并绕过杀毒添加自启动

免杀shellcode并绕过杀毒添加自启动首先得处理好shellcode,尽量把添加自启动的操作独立成一个Loader,可以避免杀毒软件检测到特征并拦截,这边选择的是利用Javascript来处理Shellcode,而添加自启动的操作由C#来控制,并成功实现了绕过360核晶防护添加计划任务完成木马自启动。
发布时间:2020-02-17 22:03 | 阅读:40595 | 评论:0 | 标签:shellcode

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。
发布时间:2019-05-19 12:25 | 阅读:106364 | 评论:0 | 标签:技术 shellcode

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。
发布时间:2017-09-28 13:55 | 阅读:152562 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。
发布时间:2017-06-08 21:25 | 阅读:175723 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

Windows Shellcode学习笔记——Shellcode的提取与测试

0x00 前言之前在《Windows Shellcode学习笔记——通过VisualStudio生成shellcode》介绍了使用C++编写(不使用内联汇编),实现动态获取API地址并调用,对其反汇编提取shellcode的方法,并开源了测试代码。接下来在对shellcode进行提取的过程中,发现了当时开源代码的一些bug,所以本文着重解决测试代码的bug,并介绍使用C++开发shellcode需要考虑的一些问题。
发布时间:2017-03-15 12:30 | 阅读:166314 | 评论:0 | 标签:技术 shellcode

Shellcode Compiler:一款易用的 Shellcode 编译工具

项目主页 https://github.com/NytroRST/ShellcodeCompiler 简介 Shellcode Compiler 是一款能将 C/C++ 代码编译成体积小,位置无关和无 NULL 字节的 Windows shellcode 的工具。它能以用户友好的方式调用任何 Windows API 函数。 Shellcode Compiler 将输入的源文件用自己的编译器来解释代码,并生成一个由 NASM(http://www.nasm.us/)汇编生成的汇编文件。 Shellcode Compiler 与 2016 年 11 月在罗马尼亚的 DefCamp 安全会议上发布。
发布时间:2016-12-06 23:40 | 阅读:134283 | 评论:0 | 标签:工具 shellcode Shellcode Compiler Shellcode编译

Firefox远程代码执行漏洞技术分析与防护方案

阅读: 7火狐浏览器上暴露出一个 JavaScript 0Day漏洞CVE-2016-9079,而且已经被用于攻击 Tor 用户。据绿盟科技预警通告称,“该漏洞是一个存在于SVG Animation模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平台包括Windows,Mac OS以及Linux。这个漏洞利用程序据说包含一个HTML文件和一个CSS文件,最初被报告出现在Tor项目的邮件列表中  。
发布时间:2016-12-06 08:25 | 阅读:217675 | 评论:0 | 标签:漏洞分析 CVE-2016-9079 Firefox 漏洞 Firefox远程代码执行漏洞 shellcode UAF

Use MSBuild To Do More

0x00 前言 最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。 本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild
发布时间:2016-10-12 06:05 | 阅读:159227 | 评论:0 | 标签:系统安全 mimikatz MSBuild poc powershell shellcode

谈一谈SQLite Load_Extension的妙用

什么是load_extension? 这个接口加载一个SQLite扩展库的文件 更多信息:https://www.sqlite.org/c3ref/load_extension.html 你可以用这个函数来加载一个SQLite扩展。但是在默认情况下sqlite3_enable_load_extension()默认是关闭的,以防止这种情况的SQL注入攻击。
发布时间:2016-10-12 06:05 | 阅读:152520 | 评论:0 | 标签:网络安全 DLL GameOver html load_extension Meterpreter shellcode

Windows提权基础

介绍 这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。 在这篇文章的底部有一个非常好的资源列表。 操作系统 让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。 确定操作系统的名字以及版本: 检查系统的体系结构: 注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。
发布时间:2016-09-19 13:30 | 阅读:181912 | 评论:0 | 标签:内网渗透 FTP shellcode VBS Windows提权 WMIC 工具 提权 权限提升 漏洞库 规则 路由表

Android内核漏洞利用初探

0x00 环境介绍:Nexus5+Kernel3.4.0-gd59db4e+Android4.4.3。 编译Kernel的时候打开LKM(Loadable Kernel Modules),方法很简单:make hammerhead_defconfig后往.config文件加入以下配
发布时间:2016-08-25 15:15 | 阅读:215076 | 评论:0 | 标签:终端安全 Android内核漏洞 CVE-2013-1763 Kernel Linux设备驱动 shellcode 内核

工具推荐:Shellsploit,ShellCode生成器

0×00 简介Shellsploit让你生成定制shellcodes、后门、各种操作系统的攻击代码。同时可以使用它来进行代码混淆工作。0×01 安装或卸载如果你想使用She
发布时间:2016-02-03 22:30 | 阅读:167289 | 评论:0 | 标签:工具 shellcode Shellsploit 生成器

Windows平台shellcode开发入门(二)

在本系列第一部分中,我们学习了Shellcode的定义及其工作原理。为能够正确地编写 Windows 平台的 Shellcode ,作者将会在本文中讲述所需要的信息:进程环境块 、PE 文件格式及 X86 汇编。一、进程环境块(PEB)在Windows操作系统中,PEB是一个位于所有进程内存中固定位置的结构体。此结构体包含关于进程的有用信息,如可执行文件加载到内存的位置,模块列表(DLL),指示进程是否被调试的标志,还有许多其他的信息。 重要的是理解操作系统如何调用这个结构体。
发布时间:2016-01-29 20:30 | 阅读:120862 | 评论:0 | 标签:系统安全 shellcode windows

ADS

标签云