记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。这提供了一种粗略的方法,可以衡量出P
发布时间:2019-05-19 12:25 | 阅读:75074 | 评论:0 | 标签:技术 shellcode

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。那怎么办? 为了解决这个问题,网络犯罪分子经常利用一些专门的漏洞(尤其喜欢利用文档漏洞),这样做就可以在不需要用户交互(除了打开附件)的情况下完成对受害目标的感染操
发布时间:2017-09-28 13:55 | 阅读:120913 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。在渗透测试指南的案例中,DLL入口点名为“Control_RunDLL”,而这可能会在白名单之外,而且我们也了解这个把戏已经用过,也不抱有过多期望了。 Casey Smith曾发表过一
发布时间:2017-06-08 21:25 | 阅读:142497 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

Windows Shellcode学习笔记——Shellcode的提取与测试

0x00 前言之前在《Windows Shellcode学习笔记——通过VisualStudio生成shellcode》介绍了使用C++编写(不使用内联汇编),实现动态获取API地址并调用,对其反汇编提取shellcode的方法,并开源了测试代码。接下来在对shellcode进行提取的过程中,发现了当时开源代码的一些bug,所以本文着重解决测试代码的bug,并介绍使用C++开发shellcode需要考虑的一些问题。存在bug的测试代码下载地址:https://github.com/3gstudent/Shellcode-Generater/blob/master/shellcode.cpp0x01 简介简单的shellcode提取流程:使用c++开发代码更改VisualStudio编译配置生成exe在IDA下打
发布时间:2017-03-15 12:30 | 阅读:127781 | 评论:0 | 标签:技术 shellcode

Shellcode Compiler:一款易用的 Shellcode 编译工具

项目主页 https://github.com/NytroRST/ShellcodeCompiler 简介 Shellcode Compiler 是一款能将 C/C++ 代码编译成体积小,位置无关和无 NULL 字节的 Windows shellcode 的工具。它能以用户友好的方式调用任何 Windows API 函数。 Shellcode Compiler 将输入的源文件用自己的编译器来解释代码,并生成一个由 NASM(http://www.nasm.us/)汇编生成的汇编文件。 Shellcode Compiler 与 2016 年 11 月在罗马尼亚的 DefCamp 安全会议上发布。 使用 命令行示例 -h (--help) : Show this help message -v (--verb
发布时间:2016-12-06 23:40 | 阅读:110677 | 评论:0 | 标签:工具 shellcode Shellcode Compiler Shellcode编译

Firefox远程代码执行漏洞技术分析与防护方案

阅读: 7火狐浏览器上暴露出一个 JavaScript 0Day漏洞CVE-2016-9079,而且已经被用于攻击 Tor 用户。据绿盟科技预警通告称,“该漏洞是一个存在于SVG Animation模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平台包括Windows,Mac OS以及Linux。这个漏洞利用程序据说包含一个HTML文件和一个CSS文件,最初被报告出现在Tor项目的邮件列表中  。企业安全公司Trail of Bits 分析了这个漏洞利用程序  ,确定它利用了影响火狐SVG解析器的一个释放后使用(Use-after-Free)漏洞。其他人说这是一个堆缓存溢出漏洞,但Trail o
发布时间:2016-12-06 08:25 | 阅读:187717 | 评论:0 | 标签:漏洞分析 CVE-2016-9079 Firefox 漏洞 Firefox远程代码执行漏洞 shellcode UAF

Use MSBuild To Do More

0x00 前言 最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。 本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild的应用技巧: Execute PowerShell Commands Execute PE file Execute Shellcode VisualStudio Persistence 0x01 简介 MSBuild是Microsoft Build Engine的缩写,代表Microsoft和Visual Studio的新的生成平台 MSBuild可在未安装Visual Studio的环境中编译.net的工程文件 MSBuild可编译特定格式的xml文件 更多基本知识可参照以下链接: https://msdn.micro
发布时间:2016-10-12 06:05 | 阅读:124576 | 评论:0 | 标签:系统安全 mimikatz MSBuild poc powershell shellcode

谈一谈SQLite Load_Extension的妙用

什么是load_extension? 这个接口加载一个SQLite扩展库的文件 更多信息:https://www.sqlite.org/c3ref/load_extension.html 你可以用这个函数来加载一个SQLite扩展。但是在默认情况下sqlite3_enable_load_extension()默认是关闭的,以防止这种情况的SQL注入攻击。 你可以从这里了解更多:https://www.sqlite.org/c3ref/enable_load_extension.html 语法: 这个路径const char *zFile可以是一个SMB共享 自定义DLL 我们可以定义自己的恶意DLL文件并执行我们自己的恶意代码。#include <windows.h> /*
发布时间:2016-10-12 06:05 | 阅读:128633 | 评论:0 | 标签:网络安全 DLL GameOver html load_extension Meterpreter shellcode

Windows提权基础

介绍 这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。 在这篇文章的底部有一个非常好的资源列表。 操作系统 让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。 确定操作系统的名字以及版本: 检查系统的体系结构: 注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。 查看所有环境变量: 查看计算机上所有用户的列表: 或查看某个用户的详细信息: 网络 查看系统的网络设置—基本网络、路由、防火墙等。 查看可用的网络接口: 查看路由表: 查看ARP缓存: 查看防火墙
发布时间:2016-09-19 13:30 | 阅读:139249 | 评论:0 | 标签:内网渗透 FTP shellcode VBS Windows提权 WMIC 工具 提权 权限提升 漏洞库 规则 路由表

Android内核漏洞利用初探

0x00 环境介绍:Nexus5+Kernel3.4.0-gd59db4e+Android4.4.3。 编译Kernel的时候打开LKM(Loadable Kernel Modules),方法很简单:make hammerhead_defconfig后往.config文件加入以下配置项: 编写以下测试代码#include <linux/module.h> #include <linux/kernel.h> int init_module(void) { printk(KERN_ALERT "Hello android kernel...n"); return 0; } void cleanup_module(void)
发布时间:2016-08-25 15:15 | 阅读:171793 | 评论:0 | 标签:终端安全 Android内核漏洞 CVE-2013-1763 Kernel Linux设备驱动 shellcode 内核

工具推荐:Shellsploit,ShellCode生成器

0×00 简介Shellsploit让你生成定制shellcodes、后门、各种操作系统的攻击代码。同时可以使用它来进行代码混淆工作。0×01 安装或卸载如果你想使用Shellsploit,你首先得先安装CapstoneCapstone’s安装如下:sudo pip install capstone同样得安装readlineroot$ sudo pip install readline安装好以上程序后,你就可以开始安装shellsploit了root$ python setup.py -s/--setup install root$ chmod +x shellsploit (if you are using windows just pass this s
发布时间:2016-02-03 22:30 | 阅读:101267 | 评论:0 | 标签:工具 shellcode Shellsploit 生成器

Windows平台shellcode开发入门(二)

在本系列第一部分中,我们学习了Shellcode的定义及其工作原理。为能够正确地编写 Windows 平台的 Shellcode ,作者将会在本文中讲述所需要的信息:进程环境块 、PE 文件格式及 X86 汇编。一、进程环境块(PEB)在Windows操作系统中,PEB是一个位于所有进程内存中固定位置的结构体。此结构体包含关于进程的有用信息,如可执行文件加载到内存的位置,模块列表(DLL),指示进程是否被调试的标志,还有许多其他的信息。 重要的是理解操作系统如何调用这个结构体。这个结构在不同Windows操作系统版本上并不是固定的,所以它可能随着新的Windows发行版发生改变,但一些通用信息会保持不变。 正如第1部分中讨论的,DLL(由于ASLR机制)可以加载到不同的
发布时间:2016-01-29 20:30 | 阅读:90212 | 评论:0 | 标签:系统安全 shellcode windows

Windows平台shellcode开发入门(一)

本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。一、介绍比方说你手头上有一个IE或Flash Playerd现成的漏洞利用代码,但它只能够打开计算器calc.exe。但是这实际上并没有什么卵用,不是吗?你真正想要的是可以执行一些远程命令或实现其他有用的功能。在这种情况下,你可能想要利用已有的标准shellcode,比如来自Shell Storm数据库或由Metasploit的msfvenom工具生成。不过,你必须先理解编写shellcode的基本原则,才可以在自己的漏洞利用代码中有效地使用它们。对于不熟悉这个术语的同学们,可以参考一下维基百科:在计算机安全中,shel
发布时间:2016-01-22 20:45 | 阅读:145006 | 评论:0 | 标签:系统安全 shellcode

Shellcode分析工具PyAna

背景介绍Shellcode分析非常重要。然而,静态分析效果不佳,并且很容易失败。另外,静态分析工具通常不是免费的。而动态分析需要在适当的环境中,将shellcode加载到另一个进程中,通常是一个虚拟机。PyAna原理本文中我们将介绍一款新工具PyAna,该工具旨在使得分析shellcode更容易。PyAna使用Unicorn框架来模拟CPU,并创建一个虚拟的Windows进程,shellcode就是注入到该进程中来分析的。这使得它能够做到自动化分析,并能够提供一个灵活的轻量级环境,而不需要一个虚拟机。在未来,PyAna将可以应用于其他领域的安全研究,如fuzzing或漏洞利用检测。使用方法命令行类型:PyAna.py [shellcode]例如:PyAna.py Samples/UrlDo
发布时间:2016-01-14 15:25 | 阅读:108494 | 评论:0 | 标签:工具 系统安全 PyAna shellcode 注入 虚拟机

Kali Shellter 5.1:动态ShellCode注入工具 绕过安全软件

或许你还在为无法绕过反病毒软件获得Meterpreter shell而懊恼,试试Shellter 5.1吧。首先需要获取一个正常的Windows exe可执行文件,然后它会将shellcode添加进去,这样就可以成功地修改这个文件并且使其绕过反病毒软件的监测了。Shellter有一个自动模式,该模式会使整个操作过程变得十分的简单。在这篇文章中,我使用Kali 2.0作为主机,另外一台Windows作为靶机。0×01 磨刀:Kali中不包含最新版本的Shellter,如果要获取最新版本需要下载、解压ZIP文件。1.下载安装shellter https://www.shellterproject.com/download/原文作者把下载下来的文件保存在了/root/Desktop 目
发布时间:2015-10-20 16:15 | 阅读:90765 | 评论:0 | 标签:工具 系统安全 shellcode shellter 免杀 后门 杀软Bypass 注入

使用C编写shellcode

背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代 码仅能靠它自己,作者无法使用现 代软件开发的实践来推进shellcode的编写。 汇编常用于编写shellcode,特别是对代码大小挑剔的时候,汇编就是不错的选择。对我个人而言,多数项目都需要一段类似可以注入到其他进 程的代码。这 时候我就不是特别在意代码大小了,反而是开发效率以及调试能力显得尤为重要。一开始,我用NASM编写独立的汇编程序,把获得的输出文件转换为C数组,然 后整合到我的程序中。这正是你在milw0rm这样的网站上所看到的,大
发布时间:2014-07-23 15:55 | 阅读:92869 | 评论:0 | 标签:ShellCode&Poc shellcode

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云