记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ShellCode远程加载器改造计划

前言shellcode加载器加载shellcode实现免杀上线,目前可能是使用最多的方法了。现有的加载器也特别多,但是改造轮子的心总是在骚动,所以就开始了Shellcode远程加载器改造计划。Winhttp实现HTTP请求所谓远程加载shellcode,第一部得实现远程的功能,这里用Winhttp实现http请求来获取我们文件服务器上的shellcode。1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
发布时间:2020-06-10 23:29 | 阅读:11529 | 评论:0 | 标签:shellcode

探索如何使用C#在Windows中利用系统调用执行Shellcode注入

前言在通过Sektor7恶意软件开发必修课程学习了如何使用C语言编写Shellcode注入工具之后,我希望尝试如何在C#中执行相同的操作。实际上,使用P/Invoke来运行类似的Win32 API调用,并编写一个与Sektor7类似的简单注入工具非常容易。我注意到其中的最大区别是,没有直接等效的方法来混淆API调用。在对BloodHound Slack频道进行了一些研究和提问之后,在@TheWover和@NotoriousRebel的帮助下,我发现有两个主要的领域可以进行研究,一个是使用本地Windows系统调用(syscall),另一个是使用动态调用。这两种方法都各有其优缺点,针对系统调用,Jack Halon和badBounty曾经解释过其工作
发布时间:2020-06-10 14:22 | 阅读:8832 | 评论:0 | 标签:注入 shellcode

MIPS 指令集 Shellcode 编写入门

H4lo@海特实验室前言Shellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中,尤其是栈溢出漏洞,我们一般都会使用调用 shellcode 的方法来进行攻击(ret2shellcode)。MIPS 架构的 shellcode 和 x86 架构下的 shellcode 也会有一些差异,同时在实际利用 MIPS 的 shellcode 时可能会有坏字符的问题,因此还是需要掌握一些 shellcode 编写的技巧,这样在实际利用时才能比较灵活的运用。 MIPS 系统调用我们在写 shellcode 过程中,都会用到系统调用。和 x86 的系统调用相似,MIPS 系统调用也会用到系统调用号。调用过程使用系统调用的过程依旧是先赋值好参数($a0、$a
发布时间:2020-04-15 16:19 | 阅读:21809 | 评论:0 | 标签:shellcode

红队基本操作:通用Shellcode加载器

Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。 博客系列的第一部分将介绍使用Shellcode进行后期开发payload的基本要领。在第二部分中,我们将为加载器实现其他功能,并查看某些功能的一些优点和缺点。因为我们使用shellcode来避免基于签名的检测,所以重要的是限制安全解决方案创建启动程序签名的可能性。二进制混淆是避免基于签名的检测的一种潜在解决方案,我们将编写
发布时间:2020-03-18 17:09 | 阅读:25260 | 评论:0 | 标签:网络安全 shellcode 加载器 红队

远控免杀从入门到实践(8)-shellcode免杀实践

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby 8、远控免杀从入门到实践(8)-shellcode免杀实践 前言 最近在研究shellcode的免杀技术,因本人以前主要是搞逆向的,shellcode免杀方面还是个小白,所以就想着去看
发布时间:2020-03-08 14:19 | 阅读:48105 | 评论:0 | 标签:系统安全 shellcode 免杀 远控

Powershell免杀(shellcode加载器)

加载器(loader) loader就是分离免杀的一种,从远程文件或本地其他文件读取shellcode,并加载到内存执行。 网络上很多语言的加载器都有,但是powershell的感觉不太常见,powershell版的loader也是在学习过程中的一个产物,只是一种思路,因为powershell完全可以实现无文件落地。两种形式: loader + shellcode loader + bin文件 本文采用的是loader + bin文件的形式。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。 实现过程 很常见的思路,利用亦或xor混淆生成新的bin文件,再用加载器读取bin中的字节数组并在内存执行(直接用cs原生的payload)。 Set-St
发布时间:2020-03-01 19:47 | 阅读:30263 | 评论:0 | 标签:shellcode

Powershell免杀(远程加载shellcode)

远程加载 远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。 但是经过简单的测试我发现卡巴斯基对downloadstring方法检测的比较严格,因此考虑换一种方法。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。 通过翻阅.net的官方文档我找到了这个方法:system.net.webclient.downloaddata。 与常用的downloadstring类似,只不过该方法是直接从uri读取字节数组。这正好解决了我们的麻烦,并且使得事情变得更简单了。 # remoteshell.ps1 Set-StrictMode -Version 2 function get_deleg
发布时间:2020-03-01 19:47 | 阅读:26834 | 评论:0 | 标签:shellcode

通过Boolang语言执行shellcode的利用分析

0x00 前言在之前的文章《SILENTTRINITY利用分析》学习了C#利用IronPython引擎从内存加载payload的方法,我在byt3bl33d3r的GitHub上又看到了利用Boolang语言执行shellcode的代码,于是对这项技术做了研究。本文将要介绍Boolang语言的特点和用法,分析通过Boolang语言执行shellcode的优点,给出防御检测的建议。0x01 简介本文将要介绍以下内容:· Boolang语言简介。· Boolang语言的用法。· 通过Boolang语言执行shellcode的实现代码。· 利用分析。· 防御检测。0x02 Boolang语言简介学习资料:https:
发布时间:2020-02-26 14:20 | 阅读:18781 | 评论:0 | 标签:shellcode

C# Shellcode Loader

静态免杀项目地址https://github.com/Y4er/shellcode-loadershellcode loadercsharp 5632 byte xor 静态免杀,过Windows defender.免杀效果测试于 2020/2/24 23:30http://r.virscan.org/language/zh-cn/report/5583273543afd24b387833e86c22a798 0/49https://www.virustotal.com/gui/file/08d02c54c910ad9d26d4f42aa59f785aad9468c3687be4d2b3575c689c18102c/detection 2/69使用方法cobalt strike 或者 metasploit 生成
发布时间:2020-02-26 00:03 | 阅读:22226 | 评论:0 | 标签:shellcode

免杀shellcode并绕过杀毒添加自启动

免杀shellcode并绕过杀毒添加自启动首先得处理好shellcode,尽量把添加自启动的操作独立成一个Loader,可以避免杀毒软件检测到特征并拦截,这边选择的是利用Javascript来处理Shellcode,而添加自启动的操作由C#来控制,并成功实现了绕过360核晶防护添加计划任务完成木马自启动。Shellcode的部分用CACTUSTORCH完成,链接:CACTUSTORCH也可以自己C#编译一个再用DotNetToJScript转Javascript语言,教程:免杀 MSF Windows Payload 的方法与实践处理完的js脚本,推荐使用sojson的混淆代码,可以实现virustotal的57引擎0报毒,链接:Js加密,我一个18年处理的msf shellcode到现在还是0报毒。因为混淆了
发布时间:2020-02-17 22:03 | 阅读:26906 | 评论:0 | 标签:shellcode

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。这提供了一种粗略的方法,可以衡量出P
发布时间:2019-05-19 12:25 | 阅读:99402 | 评论:0 | 标签:技术 shellcode

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。那怎么办? 为了解决这个问题,网络犯罪分子经常利用一些专门的漏洞(尤其喜欢利用文档漏洞),这样做就可以在不需要用户交互(除了打开附件)的情况下完成对受害目标的感染操
发布时间:2017-09-28 13:55 | 阅读:144072 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。在渗透测试指南的案例中,DLL入口点名为“Control_RunDLL”,而这可能会在白名单之外,而且我们也了解这个把戏已经用过,也不抱有过多期望了。 Casey Smith曾发表过一
发布时间:2017-06-08 21:25 | 阅读:167234 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

Windows Shellcode学习笔记——Shellcode的提取与测试

0x00 前言之前在《Windows Shellcode学习笔记——通过VisualStudio生成shellcode》介绍了使用C++编写(不使用内联汇编),实现动态获取API地址并调用,对其反汇编提取shellcode的方法,并开源了测试代码。接下来在对shellcode进行提取的过程中,发现了当时开源代码的一些bug,所以本文着重解决测试代码的bug,并介绍使用C++开发shellcode需要考虑的一些问题。存在bug的测试代码下载地址:https://github.com/3gstudent/Shellcode-Generater/blob/master/shellcode.cpp0x01 简介简单的shellcode提取流程:使用c++开发代码更改VisualStudio编译配置生成exe在IDA下打
发布时间:2017-03-15 12:30 | 阅读:155343 | 评论:0 | 标签:技术 shellcode

Shellcode Compiler:一款易用的 Shellcode 编译工具

项目主页 https://github.com/NytroRST/ShellcodeCompiler 简介 Shellcode Compiler 是一款能将 C/C++ 代码编译成体积小,位置无关和无 NULL 字节的 Windows shellcode 的工具。它能以用户友好的方式调用任何 Windows API 函数。 Shellcode Compiler 将输入的源文件用自己的编译器来解释代码,并生成一个由 NASM(http://www.nasm.us/)汇编生成的汇编文件。 Shellcode Compiler 与 2016 年 11 月在罗马尼亚的 DefCamp 安全会议上发布。 使用 命令行示例 -h (--help) : Show this help message -v (--verb
发布时间:2016-12-06 23:40 | 阅读:126386 | 评论:0 | 标签:工具 shellcode Shellcode Compiler Shellcode编译

Firefox远程代码执行漏洞技术分析与防护方案

阅读: 7火狐浏览器上暴露出一个 JavaScript 0Day漏洞CVE-2016-9079,而且已经被用于攻击 Tor 用户。据绿盟科技预警通告称,“该漏洞是一个存在于SVG Animation模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平台包括Windows,Mac OS以及Linux。这个漏洞利用程序据说包含一个HTML文件和一个CSS文件,最初被报告出现在Tor项目的邮件列表中  。企业安全公司Trail of Bits 分析了这个漏洞利用程序  ,确定它利用了影响火狐SVG解析器的一个释放后使用(Use-after-Free)漏洞。其他人说这是一个堆缓存溢出漏洞,但Trail o
发布时间:2016-12-06 08:25 | 阅读:208837 | 评论:0 | 标签:漏洞分析 CVE-2016-9079 Firefox 漏洞 Firefox远程代码执行漏洞 shellcode UAF

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云