记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

如何实现一款 shellcodeLoader

作者:m0ngo0se@知道创宇404实验室时间:2020年11月30日1.前言shellcode由于可以随意地进行变化和还原,杀软的查杀难度较大。因此将木马shellcode化,再进行shellcode免杀是目前最流行的免杀方式之一。但是就以Cobalt Strike的shellcode免杀载荷常规的制作方式来说,需要将shellcode文本加密编码,放入源码想办法免杀,编译等过程太过繁琐,其中不少步骤耗时耗力,更换shellcode之后不少过程又需要重复进行。本工具旨在解决shellcode载荷生成过程中多数重复性工作,降低免杀的工作时间,将更多的精力放在渗透或者发现新的免杀利用方式上。
发布时间:2020-11-30 15:16 | 阅读:3253 | 评论:0 | 标签:shellcode shell

Shellcode Runner Bypass AV

收录于话题 rundll32执行.Net程序集前言原理:https://blog.xpnsec.com/undersanding-and-evading-get-injectedthread/Start先使用CSharpSetThreadContext[1]生成dll用crpto.exe生成加密后
发布时间:2020-11-21 19:28 | 阅读:7006 | 评论:0 | 标签:shellcode shell

ShellCode生成框架

收录于话题 这里先写个简单的静态加载到exe文件中,明天再来写个动态的因为vs编译后自己会生成很多东西,我们稍微配置下先获取kernel32基址__declspec(n
发布时间:2020-11-07 15:18 | 阅读:12179 | 评论:0 | 标签:shellcode shell

ShellCode注入原理

收录于话题 shellcode注入原理我们直接写入可能无法执行unsigned char data[130] = { 0x55, 0x8B, 0xEC, 0x83, 0xEC, 0x0C, 0xC7, 0x45, 0xF8, 0x00, 0x00, 0x40, 0x00, 0x8B, 0x45, 0xF8, 0x0
发布时间:2020-11-06 16:07 | 阅读:10047 | 评论:0 | 标签:注入 shellcode shell

shellcode C/C++ 加载总结

C/C++ 利用动态申请内存 #include <windows.h> #include <stdio.h> typedef void (_stdcall *CODE)(); #pragma comment(linker,"/subsystem:"windows" /entry:"mainCRTStar
发布时间:2020-10-20 04:52 | 阅读:19916 | 评论:0 | 标签:shellcode shell

黑客利用Metasploit Shellcode攻击暴露的Docker API

Trendmicro研究人员近日发现有攻击者利用Metasploit Framework (MSF)的payload来攻击暴露的Docker API。攻击可以引发DDoS攻击、远程代码执行漏洞、非授权的加密货币挖矿活动。技术分析研究人员发现攻击者在攻击活动中使用了“alpine:latest”作为基准容器镜像。Snyk 并不能检测到镜像中的安全漏洞。图 1  Snyk扫描alpine 镜像的结果研究人员发现最近针对容器蜜罐的攻击大多数都利用了知名的和已经建立的基准镜像。这样做的目的是绕过恶意软件检测和漏洞检测。容器以权限flag执行,意味着payload有root权限。
发布时间:2020-10-16 11:18 | 阅读:9731 | 评论:0 | 标签:攻击 shellcode 黑客 shell

免杀简述1(花指令/改特征码/shellcode加载器)

收录于话题 #免杀 1个 原创作者:Shanfenglan7,一个刚步入安全行业的人,乐意分享技术,乐意接受批评,乐意交流。希望自己能把抽象的技术用尽量具体的语言讲出来,让每个人都能看懂,并觉得简单。最后希望大家可以关注我的博客:shanfenglan.blog.csdn.net杀毒软件查杀思路杀软常见扫描方式与技术1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。3、修复技术:即是对恶意程序所损坏的文件进行还原4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。
发布时间:2020-10-05 12:28 | 阅读:14569 | 评论:0 | 标签:shellcode shell 特征

实战案例:如何使用Speakeasy轻松模拟恶意Shellcode

一、概述为了能够大规模模拟恶意软件样本,研究人员近期开发了Speakeasy模拟框架。这一框架能够帮助非恶意软件分析人员的用户能轻松自动获取分类报告,同时可以帮助逆向工程师为难以分类的恶意软件系列编写自定义插件。Speakeasy最初是为了模拟Windows内核模式的恶意软件而创建的,现在也开始支持用户模式样本。这一项目的主要目标是针对x86和amd64平台进行动态恶意软件分析的Windows操作系统的高度模拟。
发布时间:2020-09-25 09:57 | 阅读:24937 | 评论:0 | 标签:shellcode shell

Hacking8安全信息流新增签到,shellcode在线免杀,自定义域名监控功能

收录于话题 最近给信息流折腾了很多功能,所以忍不住写篇文章介绍介绍~签到与邀请码注册用户的很多功能都需要金币,我也不喜欢金币这个系统,但是为了更好的宣传还是需要一个奖励机制,之前每个新用户可以获得5个金币,然后没有获得途径了。所以做了一个签到系统,每日签到就能随机获得1~5个金币,希望增加信息流的日活数量。
发布时间:2020-09-18 08:18 | 阅读:44695 | 评论:0 | 标签:shellcode shell hack 安全

【红队神器】cs shellcode一键bypass 99% AV

收录于话题 老规矩,开局先放几张图:【微步在线云沙箱】【腾讯哈勃分析系统】【完美上线】【平台说明】本系统采用php+python+golang开发,稳定免杀99%的AV。在CS中生成X64的c shellcode,按照平台指定格式提交,即可一键生成免杀后门【承诺与说明】1.平台生成的文件不含任何后门,自助选择是否使用。2.平台不会收集使用者的c2 ip,平台运营者并不参加今年的hvv,也不会将数据泄露给任何第三方。
发布时间:2020-09-13 21:05 | 阅读:43818 | 评论:0 | 标签:shellcode shell

七夕-带你玩转 Linux Shellcode

 本篇主要是以x64系统为例对系统调用中一些功能性函数的解读和实际运用。目前网络上流传的通用shellcode,均使用系统调用实现,在记录整个学习过程的同时分享给大家一起学习探讨。 0x01 Shellcode 简介0x1 shellcodeShellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中注入到目标程序中从而被执行,在比赛或者是实战中栈溢出漏洞使用的更为频繁,编写Shellcode比编写RopGagdet更为简单,栈溢出的最经典的利用方式是Ret2Shellcode。
发布时间:2020-09-02 12:12 | 阅读:13977 | 评论:0 | 标签:linux shellcode shell

利用图片隐写术来远程动态加载shellcode

0x01 前言将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免杀性和隐匿性。
发布时间:2020-08-18 14:02 | 阅读:41733 | 评论:0 | 标签:shellcode shell 远程

请教一个关于加密shellcode的py脚本

我想问一下,为什么用原作者带的shellcode执行就不会报错,但是我自己用msf或者c2生成的shellcode就会报 问了一个python大佬,他说代码没问题,问题出现在数据。
发布时间:2020-08-14 20:42 | 阅读:36900 | 评论:0 | 标签:加密 shellcode shell

远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题
发布时间:2020-07-16 15:27 | 阅读:44438 | 评论:0 | 标签:工具 bash编写 c代码 msfvenom NET程序 SHELLCODE zirikatu 免杀 远控

远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 文章导
发布时间:2020-07-15 21:11 | 阅读:28555 | 评论:0 | 标签:工具 Green-Hat-Suite Green-m msfvenom msfvenom命令 msf无缝对接 SHELL

ShellCode远程加载器改造计划

前言shellcode加载器加载shellcode实现免杀上线,目前可能是使用最多的方法了。现有的加载器也特别多,但是改造轮子的心总是在骚动,所以就开始了Shellcode远程加载器改造计划。Winhttp实现HTTP请求所谓远程加载shellcode,第一部得实现远程的功能,这里用Winhttp实现http请求来获取我们文件服务器上的shellcode。
发布时间:2020-06-10 23:29 | 阅读:38422 | 评论:0 | 标签:shellcode

探索如何使用C#在Windows中利用系统调用执行Shellcode注入

前言在通过Sektor7恶意软件开发必修课程学习了如何使用C语言编写Shellcode注入工具之后,我希望尝试如何在C#中执行相同的操作。实际上,使用P/Invoke来运行类似的Win32 API调用,并编写一个与Sektor7类似的简单注入工具非常容易。我注意到其中的最大区别是,没有直接等效的方法来混淆API调用。在对BloodHound Slack频道进行了一些研究和提问之后,在@TheWover和@NotoriousRebel的帮助下,我发现有两个主要的领域可以进行研究,一个是使用本地Windows系统调用(syscall),另一个是使用动态调用。
发布时间:2020-06-10 14:22 | 阅读:26976 | 评论:0 | 标签:注入 shellcode

MIPS 指令集 Shellcode 编写入门

H4lo@海特实验室前言Shellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中,尤其是栈溢出漏洞,我们一般都会使用调用 shellcode 的方法来进行攻击(ret2shellcode)。MIPS 架构的 shellcode 和 x86 架构下的 shellcode 也会有一些差异,同时在实际利用 MIPS 的 shellcode 时可能会有坏字符的问题,因此还是需要掌握一些 shellcode 编写的技巧,这样在实际利用时才能比较灵活的运用。 MIPS 系统调用我们在写 shellcode 过程中,都会用到系统调用。
发布时间:2020-04-15 16:19 | 阅读:48415 | 评论:0 | 标签:shellcode

红队基本操作:通用Shellcode加载器

Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。 博客系列的第一部分将介绍使用Shellcode进行后期开发payload的基本要领。在第二部分中,我们将为加载器实现其他功能,并查看某些功能的一些优点和缺点。
发布时间:2020-03-18 17:09 | 阅读:46279 | 评论:0 | 标签:网络安全 shellcode 加载器 红队

远控免杀从入门到实践(8)-shellcode免杀实践

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《
发布时间:2020-03-08 14:19 | 阅读:90521 | 评论:0 | 标签:系统安全 shellcode 免杀 远控

Powershell免杀(shellcode加载器)

加载器(loader) loader就是分离免杀的一种,从远程文件或本地其他文件读取shellcode,并加载到内存执行。 网络上很多语言的加载器都有,但是powershell的感觉不太常见,powershell版的loader也是在学习过程中的一个产物,只是一种思路,因为powershell完全可以实现无文件落地。两种形式: loader + shellcode loader + bin文件 本文采用的是loader + bin文件的形式。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
发布时间:2020-03-01 19:47 | 阅读:56759 | 评论:0 | 标签:shellcode

Powershell免杀(远程加载shellcode)

远程加载 远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。 但是经过简单的测试我发现卡巴斯基对downloadstring方法检测的比较严格,因此考虑换一种方法。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。 通过翻阅.net的官方文档我找到了这个方法:system.net.webclient.downloaddata。 与常用的downloadstring类似,只不过该方法是直接从uri读取字节数组。这正好解决了我们的麻烦,并且使得事情变得更简单了。
发布时间:2020-03-01 19:47 | 阅读:48261 | 评论:0 | 标签:shellcode

通过Boolang语言执行shellcode的利用分析

0x00 前言在之前的文章《SILENTTRINITY利用分析》学习了C#利用IronPython引擎从内存加载payload的方法,我在byt3bl33d3r的GitHub上又看到了利用Boolang语言执行shellcode的代码,于是对这项技术做了研究。本文将要介绍Boolang语言的特点和用法,分析通过Boolang语言执行shellcode的优点,给出防御检测的建议。0x01 简介本文将要介绍以下内容:· Boolang语言简介。· Boolang语言的用法。· 通过Boolang语言执行shellcode的实现代码。· 利用分析。
发布时间:2020-02-26 14:20 | 阅读:36471 | 评论:0 | 标签:shellcode

C# Shellcode Loader

静态免杀项目地址https://github.com/Y4er/shellcode-loadershellcode loadercsharp 5632 byte xor 静态免杀,过Windows defender.免杀效果测试于 2020/2/24 23:30http://r.virscan.org/language
发布时间:2020-02-26 00:03 | 阅读:44132 | 评论:0 | 标签:shellcode

免杀shellcode并绕过杀毒添加自启动

免杀shellcode并绕过杀毒添加自启动首先得处理好shellcode,尽量把添加自启动的操作独立成一个Loader,可以避免杀毒软件检测到特征并拦截,这边选择的是利用Javascript来处理Shellcode,而添加自启动的操作由C#来控制,并成功实现了绕过360核晶防护添加计划任务完成木马自启动。
发布时间:2020-02-17 22:03 | 阅读:49038 | 评论:0 | 标签:shellcode

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。
发布时间:2019-05-19 12:25 | 阅读:111609 | 评论:0 | 标签:技术 shellcode

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。
发布时间:2017-09-28 13:55 | 阅读:161545 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。
发布时间:2017-06-08 21:25 | 阅读:182678 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

Windows Shellcode学习笔记——Shellcode的提取与测试

0x00 前言之前在《Windows Shellcode学习笔记——通过VisualStudio生成shellcode》介绍了使用C++编写(不使用内联汇编),实现动态获取API地址并调用,对其反汇编提取shellcode的方法,并开源了测试代码。接下来在对shellcode进行提取的过程中,发现了当时开源代码的一些bug,所以本文着重解决测试代码的bug,并介绍使用C++开发shellcode需要考虑的一些问题。
发布时间:2017-03-15 12:30 | 阅读:171720 | 评论:0 | 标签:技术 shellcode

Shellcode Compiler:一款易用的 Shellcode 编译工具

项目主页 https://github.com/NytroRST/ShellcodeCompiler 简介 Shellcode Compiler 是一款能将 C/C++ 代码编译成体积小,位置无关和无 NULL 字节的 Windows shellcode 的工具。它能以用户友好的方式调用任何 Windows API 函数。 Shellcode Compiler 将输入的源文件用自己的编译器来解释代码,并生成一个由 NASM(http://www.nasm.us/)汇编生成的汇编文件。 Shellcode Compiler 与 2016 年 11 月在罗马尼亚的 DefCamp 安全会议上发布。
发布时间:2016-12-06 23:40 | 阅读:141269 | 评论:0 | 标签:工具 shellcode Shellcode Compiler Shellcode编译

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云