记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Cobaltstrike4.0 —— shellcode分析

#审计 4 个 #java 6 个 原文由作者授权转载,首发于:奇安信攻防社区https://forum.butian.net/share/20170x01 本文主要内容本文主要对cobaltstrike4.0中的shellcode的运作原理的分析。
发布时间:2022-12-07 11:51 | 阅读:63036 | 评论:0 | 标签:shellcode shell 分析

[原创]从NCTF 2022 ezshellcode入门CTF PWN中的ptrace代码注入

首先了解一下ptrace函数ptraceptrace即process tracer(进程跟踪),ptrace系统调用是 Linux 提供的一个调试进程的工具,其提供了一种可以观察和控制另一个进程(tracee)的方法,并检查和更改tracee的存储器和跟踪器,主要用于实施断点调试和系统调用跟踪,linux下常见的调试工具GDB原理就是基于ptrace。
发布时间:2022-12-07 11:36 | 阅读:22153 | 评论:0 | 标签:注入 shellcode shell CTF

神兵利器 | 分享个最新更新的内存加载shellcode绕过WAF(附下载)

一、工具介绍 内存加载shellcode绕过waf ,2022年7月24日更新 二、安装与使用 1、IOX_NEW 略微修改iox,使其在以shellcode形式加载时能正确接收参数: 2
发布时间:2022-11-21 17:07 | 阅读:136629 | 评论:0 | 标签:SHELLCODE waf 内存 绕过 WAF shellcode shell

速查!HW 热门免杀工具 ShellCodeLoader 加载器确认投毒!

经分析确认,HW 热门免杀工具 ShellCodeLoader 加载器投毒!涉及工具地址:https://github.com/ByPassAVTeam/ShellcodeLoader目前工具已经被删除!投毒内容文件名称: Ma
发布时间:2022-10-23 08:36 | 阅读:238466 | 评论:0 | 标签:shellcode shell HW

JAVA加载DLL或Shellcode方法学习

本文如题,是为了学习JAVA的一个使用技巧,加载DLL或者Shellcode直接上线CS或者执行一些操作。现在按我所知,加载DLL或者Shellcode方法有四种:基于JNI、基于JNA、基于JDK自带的Native方法、基于HotSpot虚拟机(后面在学习)所以本篇文章将以这些方法进行学习记录。0x01 基于JNI JNI是Java Native Interface的缩写,即Java本地接口。 它定义了一种虚拟机中的Java代码与用C/C++编写的本地代码交互的方式。支持从动态库中加载代码。使用JNI技术可以通过JAVA调用C/C++代码,也可以通过C/C++的代码调用Java的代码。
发布时间:2022-10-12 08:37 | 阅读:140601 | 评论:0 | 标签:java 学习 shellcode shell

CobaltStrike免杀ShellCode加载器

#网络完全 3 个 #bypass 2 个 #漏洞利用 13 个 项目作者:Axx8项目地址:https://github.com/Axx8/ShellCode_Loader0x01 工具介绍ShellCode_Loader - MsfCobaltStrike免杀ShellCode加载器Shellcode_encryption - 免杀Shellcode加密生成工具目前测试免杀360&火绒&电脑管家&Windows Defender(其他杀软未测试)。
发布时间:2022-09-13 05:55 | 阅读:221183 | 评论:0 | 标签:shellcode shell

免杀ShellCode加载器 ,360、火绒、Windows Defender

Bypass_AV msf免杀,ShellCode免杀加载器 ,免杀shellcode执行程序 ,360&火绒&Windows Defender代码够简单,估计要不了多久就进特征库了,被杀了再去改几个特征码照样又可以免杀,作者的github保持更新,可以去瞅瞅。
发布时间:2022-08-29 09:46 | 阅读:189890 | 评论:0 | 标签:shellcode windows shell 360

.NET简单分离免杀加载Shellcode

STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
发布时间:2022-08-19 13:14 | 阅读:152030 | 评论:0 | 标签:下载 shellcode shell

远控免杀专题(71)-Donut免杀任意可执行文件(VT免杀率30-67)

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 2020年初,从网上搜集了多种免杀工具和方式,汇总整理了远控免杀专题文章的工具篇、代码篇、白名单篇等,共70篇文章。现时隔一年,听到不少免杀爱好者的追更诉求,同时也看到了很多新的bypassAV的工具和技巧,于是想把这个系列继续补充一些,内容也都是来自互联网,汇总到一起只是方便大家查阅参考。
发布时间:2022-08-11 18:35 | 阅读:418573 | 评论:0 | 标签:内网渗透 dll Donut msf SHELLCODE 免杀 编译 远控 执行

一次手动修改shellcode过火绒

### 前言 最近在学习病毒分析,在玉师傅的指导下完成了一次小实验,遂发出来纪念一下。 ### 环境 kali :192.168.0.108win10:192.168.0.103 ### 开始 1,首先使
发布时间:2022-08-04 18:41 | 阅读:165004 | 评论:0 | 标签:SHELLCODE 抓取 火绒 编译 shellcode shell

内存加载shellcode绕过waf -- shc_bypass​

#内存 5 个 #waf 6 个 项目作者:passer-W项目地址:https://github.com/passer-W/shc_bypass一、工具介绍内存加载shellcode绕过waf ,2022年7月24日更新二、安装与
发布时间:2022-07-28 05:09 | 阅读:168815 | 评论:0 | 标签:WAF shellcode shell 内存

GO免杀shellcode加载器 — go-shellcode-loader​

项目作者:HZzz 项目地址:https://github.com/HZzz2/go-shellcode-loader 一、工具介绍 GO混淆免杀shellcode加载器AES加密,混淆反检测 过DF、360和火绒。 二、安装与
发布时间:2022-07-27 17:07 | 阅读:179704 | 评论:0 | 标签:下载 shellcode shell

X-AV Shellcode静态免杀框架

前言这是前几年写的一个小工具,不参加护网了,留着也没用,QWQX-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替
发布时间:2022-07-27 13:40 | 阅读:131062 | 评论:0 | 标签:shellcode shell

GO免杀shellcode加载器 -- go-shellcode-loader​

#shell 10 个 #网络安全 156 个 #渗透测试 130 个 项目作者:HZzz项目地址:https://github.com/HZzz2/go-shellcode-loader一、工具介绍GO混淆免杀shellcode加载器AES加密,混淆反检测 过DF、360和火绒。
发布时间:2022-07-22 01:46 | 阅读:160607 | 评论:0 | 标签:shellcode shell

Windows通用免杀加载器 -- ShellcodeLoader

#windows 6个 项目作者:ByPassAVTeam项目地址:https://github.com/ByPassAVTeam/ShellcodeLoader一、工具介绍Windows通用免杀shellcode加载器。使用MFC框架编写shellcodeLoader模
发布时间:2022-07-21 01:43 | 阅读:328100 | 评论:0 | 标签:shellcode windows shell

im 中使用 EDR 规避技术的 WIP shellcode 加载器

通过将资源拼凑在一起创建一个实现常见 EDR/AV 规避技术的 shellcode 加载器。loader.nim用您自己的 x64 shellcode替换字节数组编译 EXE 并运行它:nim c -d:danger -
发布时间:2022-07-20 13:41 | 阅读:139629 | 评论:0 | 标签:shellcode shell

Java利用技巧——通过jsp加载Shellcode

0x00 前言 本文基于rebeyond的《Java内存攻击技术漫谈》,以Tomcat环境为例,介绍通过jsp加载Shellcode的方法,开源代码,记录细节。 0x01 简介 本文将要介绍
发布时间:2022-07-11 23:05 | 阅读:132216 | 评论:0 | 标签:红队技术 java shellcode shell

Frida调试shellcode

    我在以前讲过几篇shellcode调试的文章,有《汇编:定位 EIP/RIP》《如何调试shellcode》《识别和分析 shellcode的一些方法》等。这篇文章也是和shellcode有关,这次我们结合Frida来看看效果。一、思路.用工具RunShell加载起来shellcode,但不执行;.将Frida附加到工具进程中,Frida 将允许我们在不修改代码的情况下拦截 Win32 API。工具及shellcode放在文后的网盘中供下载。二、安装Frida安装12.8.0版本,虽然不是最新的,但稳定。
发布时间:2022-07-02 22:36 | 阅读:177011 | 评论:0 | 标签:shellcode shell

【技术原创】Java利用技巧——通过jsp加载Shellcode

0x00 前言本文基于rebeyond的《Java内存攻击技术漫谈》,以Tomcat环境为例,介绍通过jsp加载Shellcode的方法,开源代码,记录细节。0x01 简介本文将要介绍以
发布时间:2022-05-06 16:06 | 阅读:242914 | 评论:0 | 标签:java shellcode shell

Shellcode 技术

Shellcode 加密 减少熵 逃离(本地)反病毒沙箱 导入表混淆 禁用 Windows 事件跟踪 (ETW) 规避常见的恶意 API 调用模式 直接系统调用和规避“系统调用标记” 拆除挂钩ntdll.dll 欺骗线程调用堆栈 信标的内存加密 自定义反射加载器 可扩展配置文件中的 OpSec 配置 1、Shellcode加密 让我们从一个基本但重要的话题开始,静态 shellcode 混淆。在我的加载程序中,我利用了 XOR 或 RC4 加密算法,因为它易于实现并且不会留下大量加载程序执行的加密活动的外部指标。
发布时间:2022-04-29 02:20 | 阅读:689218 | 评论:0 | 标签:红队技术 shellcode shell

滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入

0x00 前言常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemory 和 CreateRemoteThread 来实现的,但是这种方式是被安全软件重点监控的,同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入,并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。
发布时间:2022-04-26 12:25 | 阅读:160636 | 评论:0 | 标签:注入 shellcode shell

PE文件结构从初识到简单shellcode注入

0x00 前言​ 将自己学习的PE文件结构进行总结形成文章这件事情,一直躺在我的Notion TodoList里,但是一直是未完成的状态哈哈,拖了那么久也该让它状态变成已完成了。0x01 PE文件简介​ PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
发布时间:2022-04-22 12:24 | 阅读:168145 | 评论:0 | 标签:注入 shellcode shell

Shellcodeloader免杀过火绒

题记    今天脑子里面蹦出来个想法,免杀木马然后cs上线,本来想让cs与msf联动的,但是出了点小问题,还是先研究免杀火绒吧。环境    Kali:192.168.0.119 win10:192.168.0.200     工具地址:https://github.com/knownsec/shellcodeloader步骤1、在kali生成3.bin木马。
发布时间:2022-03-29 12:20 | 阅读:105475 | 评论:0 | 标签:shellcode shell

利用keystone进行shellcode开发

阅读:22一、引言IoT、ICS的设备除了可以利用较为简单的一些命令注入之类的漏洞外,其他堆栈溢出漏洞的利用往往离不开shellcode的开发,尤其是在运行着大量RTOS系统的工控设备上。这类设备基本不存在命令注入类漏洞,编写不同架构上的shellcode成为了高级漏洞利用的一个重要技术点,本篇文章会简单介绍如何使用Keystone进行shellcode开发。二、Keystone框架介绍Keystone是一个基于LLVM轻量级的多平台、多架构的汇编程序框架。
发布时间:2022-03-14 19:03 | 阅读:186908 | 评论:0 | 标签:安全分享 keystone shellcode shell

免杀笔记之 aes 加 lazy_importer 加 shellcode 分离

0x00 前言今天写一篇静态免杀的文章。思路来自于:https://captmeelo.com/redteam/maldev/2021/12/15/lazy-maldev.html 核心是 AES 加密 shellcode + lazy_importer 去符号+shellcode 分离。
发布时间:2022-01-15 09:38 | 阅读:184568 | 评论:0 | 标签:shellcode shell

走进shellcode

前言在做红蓝攻防时,常常要用到cs、msf等工具,使用工具生成shellcode或可执行程序,那么小小的shellcode为何能做这么多事情,拿到shellcode后又该怎么分析。希望这篇文章能给大家带来答案,文章中不正确的地方请及时指出。shellcode定义shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制之机械码,以其经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。在寄存器eip溢出后,加入一段可让CPU执行的shellcode机械码,让电脑可以执行攻击者的任意指令。
发布时间:2021-12-31 14:59 | 阅读:136589 | 评论:0 | 标签:shellcode shell

shellcode免杀初探

收录于话题 01前言       奇安信重庆分区安服团队,每周开展的技术赋能会议如期举行。本会议将技术分享和内部培训相结合,帮助团队小伙伴们尽快提升工作中所需要的技术,进行查漏补缺。        本次技术分享主题:shellcode免杀初探,以下内容为技术赋能知识要点。子曰:“三人行,必有我师焉;择其善者而从之,其不善者而改之。
发布时间:2021-11-23 23:20 | 阅读:339270 | 评论:0 | 标签:shellcode shell

Go 语言项目图片中隐藏Shellcode

前言最近在 Github 上发现一个有趣的项目:https://github.com/Hangingsword/HouQing该项目是用 Go 语言编写的免杀项目,可以将生成的 Shellcode 隐藏进图片中,然后让目标主机进行远程加载调用。项目中有两个两个主要文件:image-20210926172410513•code.go:用于生成含有 Shellcode 的图片。•Loader.go:用于远程加载图片里的 Shellcode。
发布时间:2021-09-29 11:40 | 阅读:148494 | 评论:0 | 标签:shellcode shell

免杀|利用RGB隐写隐藏Shellcode

前言本篇文章将演示利用隐写术将 Shellcode 隐写入 PNG 图片 RGB 像素中,从而隐藏后门代码,并进行远程加载控制目标主机。实战演示需要使用 Invoke-PSImag
发布时间:2021-09-26 10:51 | 阅读:351024 | 评论:0 | 标签:shellcode shell

Metasploit生成的Shellcode的导入函数解析以及执行流程分析(下)

密码破解的利器——彩虹表(rainbow table) 确定 shellcode 依赖于哪些导入将使研究人员进一步了解其其余逻辑。不用动态分析shellcode,并且考虑到研究人员已经弄清楚了上面的哈希算法,研究人员可以自己构建一个彩虹表。彩虹表是一个预先计算好的表,用于缓存加密哈希函数的输出,通常用于破解密码哈希。以下 Python 代码段计算位于最常见系统位置的 DLL 导出的“Metasploit”哈希值。例如,下面的PowerShell命令生成一个彩虹表,然后搜索下图中首先观察到的726774Ch哈希值。
发布时间:2021-09-14 11:46 | 阅读:279084 | 评论:0 | 标签:shellcode shell 执行 分析

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁