无可执行权限加载 ShellCode

最新推荐文章于 2024-09-05 11:30:11 发布
最新推荐文章于 2024-09-05 11:30:11 发布
阅读量294 收藏 5
点赞数 5
文章标签: 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/136153352
版权
本文介绍了一种在不进行内存属性修改和解密的情况下,通过编码、提取、机器码转汇编和解释器运行的方式加载加密ShellCode,以规避查杀。作者详细阐述了实现原理,包括构建虚拟环境、解析内联汇编和调用WindowsAPI的过程。
摘要由CSDN通过智能技术生成

简单来说就是可以直接加载可读内存中的加密 ShellCode,不需要解密,不需要申请新的内存,也不需要改可执行权限。应用不仅仅在上线,上线后的各种功能都可以通过 ShellCode 实现

1.查杀点

现状

在加载 ShellCode、使用 BOF 等时候,经常需要将机器码密文解密写入可写权限的内存,再改为可执行权限来运行

弊端

需要经常进行内存属性修改的敏感行为,并且机器码明文处于可执行权限的内存中,迟早会被查杀

2.规避查杀点

目标

不使用 RWX、不修改内存属性、不解密 ShellCode,就可以加载 ShellCode

解决方案

代码编写 -> 提取 ShellCode -> 机器码转汇编 -> 汇编转换自定义语言 -> 通过解释器运行

3.解释器实现

解释器和编译器的区别

编译器就类似常规的 ShellCode 加载方式,去运行机器码

解释器是去解析你自定义的语言来进行对应的操作

实现原理

一步一步讲

获取 ShellCode 汇编

ShellCode.c:

生成 ShellCode.exe 后提取 ShellCode (ctrl+shift+c),粘贴至 asm.txt

机器码转汇编.py:

输出 (保存到 ShellCode.txt):

分析 ShellCode 调用过程

ShellCodeLoader.c:

调试转到反汇编

发现在进入 ShellCode 内联汇编前将 MessageBox 地址和 call 的下一行地址入栈了

进入内联汇编后,除了平栈就是继续构造 Windows API 的栈区域

实现调用过程

只要能将 Windows API 的栈区域正确构建出来,就可以正确调用 Windows API

实现一个虚拟环境,包含虚拟寄存器、虚拟栈

将进入内联汇编前的真实环境状态复制到虚拟环境

解析内联汇编的指令文本,在虚拟环境中构建出正确的 Windows API 栈区域

 

调用 call 前,已经将 Windows API 的栈区域正确构建出来了
 

之后想成功 call Windows API 只需要将真实环境中的栈移到虚拟环境中,调用完再移回来就可以了
 

 

步骤总结
 

ShellCode 汇编指令文本 -> ShellCode.txt
 

解释器:构造初始虚拟环境 -> 读取汇编指令文本 -> 遍历指令 -> 解析指令调用对应指令的处理器 -> 处理器继续构造栈区域 -> 栈进入虚拟环境调用 Windows API -> 处理器继续收尾工作

                

        

        

    

  


    

      

        

            

              
                
                  网安星星
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    5
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
前端开发及面试http状态码详解

				
			

			

				

					MJ1314MJ的博客
				

				

					10-12
					
					383
					
				

			

		

		

			
				
状态码(Status Codes)
服务器向用户返回的状态码和提示信息,常见的有以下一些(方括号中是该状态码对应的HTTP动词)。
200 OK - [GET]:服务器成功返回用户请求的数据,该操作是幂等的(Idempotent)。
201 CREATED - [POST/PUT/PATCH]:用户新建或修改数据成功。
202 Accepted - []:表示一个请求已经进入后台排队(异步任务)
204 NO CONTENT - [DELETE]:用户删除数据成功。
400 INVALID REQUEST 

			
		

	



                

              
                



	

		

			

				
					
红队专题-Perm权限提升与维持隐匿Privilege Escalation

				
			

			

				

					aming小老弟
				

				

					10-27
					
					866
					
				

			

		

		

			
				
权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息,
system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。


完美,它指向我们的有效负载。
使用net(也是默认安装的)启动此服务以获得

			
		

	



                


  
              

                


	

		

			

				
					
对某个T-CODE 没有权限的时候怎么办?

				
			

			

				

					小峰的ABAP博客
				

				

					11-01
					
					1441
					
				

			

		

		

			
				
现在我们对SM04 没有权限。..









用函数: C160_TRANSACTION_CALL  




写T-CODE




执行。






不过有些T-CODE还是进不去的,比如 MM01,CO01,等等。 
有待考察...

			
		

	





	

		

			

				
					
TCODE权限解决办法

				
			

			

				

					BIRDMAN
				

				

					03-24
					
					534
					
				

			

		

		

			
				

			
		

	



		

			
		



	

		

			

				
					
解决系统接口报错 “没有权限,请联系管理员授权“ 的问题

				
			

			

				

					pleaseprintf的博客
				

				

					07-17
					
					4708
					
				

			

		

		

			
				
在使用系统接口时,有时会遇到错误信息 “{ “msg”: “没有权限,请联系管理员授权”, “code”: 403 }”,表示当前用户没有足够的权限访问该接口。本文将介绍如何解决这个问题,确保正确获取接口权限并避免权限访问错误。通过本文的介绍,你学习了如何解决系统接口报错 “没有权限,请联系管理员授权” 的问题。你了解了检查登录状态、检查接口权限配置、检查接口访问规则、检查系统配置以及联系管理员授权等方法。根据实际情况,逐步排查问题并采取相应的措施,确保正确获取接口权限,并避免因权限问题导致的访问错误。

			
		

	





	

		

			

				
					
(转)常见的HTTP状态码(HTTP Status Code)说明

				
			

			

				

					Elvis写代码
				

				

					06-28
					
					3977
					
				

			

		

		

			
				
原地址:http://blog.sina.com.cn/s/blog_540701bf0101a05m.html


Response Code状态码一览表" title="常用的Http Response Code状态码一览表" style="margin:0px; padding:0px; border:0px; list-style:none">

Response Code状态码

			
		

	





	

		

			

				
					
探索未来安全领域新星:无执行权限ShellCode加载

				
			

			

				

					gitblog_00034的博客
				

				

					06-10
					
					304
					
				

			

		

		

			
				
探索未来安全领域新星:无执行权限ShellCode加载器
项目地址:https://gitcode.com/HackerCalico/No_X_Memory_ShellCode_Loader
在当今网络安全的战场上,一个革命性的项目横空出世——《No_X_Memory_ShellCode_Loader》。该项目由一位充满激情的安全研究者推出,旨在解决传统ShellCode加载方式所面临的种种挑战...

			
		

	





	

		

			

				
					
利用图片隐写术来远程动态加载shellcode1

				
			

			

				

					08-03
				

			

		

		

			
				
本篇文章主要探讨如何利用这种技术将shellcode隐藏在BMP图片中,从而实现远程动态加载,增加隐蔽性和免杀性。Shellcode是攻击者常用的代码片段,通常用于绕过系统安全机制执行特定操作。  首先,我们要了解BMP文件的...

			
		

	





	

		

			

				
					
java 加载shellcode_通用Shellcode加载

				
			

			

				

					weixin_35780426的博客
				

				

					02-26
					
					957
					
				

			

		

		

			
				
Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。博客系列的第一部分将介...

			
		

	





	

		

			

				
					
shellcode加载

				
			

			

				

					10-02
				

			

		

		

			
				
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...

			
		

	





	

		

			

				
					
第六十八课:基于Ruby内存加载shellcode第一季.docx

				
			

			

				

					09-15
				

			

		

		

			
				
接下来的部分展示了如何在Ruby中使用`fiddle`库将上述shellcode加载到内存中,并调用相应的Windows API函数来执行shellcode。  #### 加载内核32位动态链接库  首先需要加载Windows的`kernel32.dll`库,这个库包含...

			
		

	





	

		

			

				
					
基于Go加载shellcode

				
			

			

				

					Le1a's Blog
				

				

					10-21
					
					2328
					
				

			

		

		

			
				
这里通过TideSec的go免杀项目来从0开始学习首先导个包,需要用到如下几个包。io/ioutil  文件操作os           系统操作syscall    syscall包含一个指向底层操作系统原语的接口unsafe    Go指针的操作非常有限,仅支持赋值和取值,不支持指针运算,可以通过unsafe包来达到效果这里定义一下变量,然后需要通过syscall来加载两个dll,和ntdll.dll。然后这里有一个检查报错的函数,如果有报错就退出并打印报错信息。

			
		

	





	

		

			

				
					
RK3588开发板利用udp发送和接收数据

				
			

			

				

					cumtchw
				

				

					09-01
					
					677
					
				

			

		

		

			
				
RK3588开发板利用udp发送和接收数据

			
		

	





	

		

			

				
					
TCP/IP网络编程:第18章聊天室

				
			

			

				

					weixin_57112913的博客
				

				

					09-02
					
					472
					
				

			

		

		

			
				
其他两个客户端也是类似的,分别发送Hi Yoon反正就是基本上实现了一个群聊的功能。客户端:发送信息给服务端,接收服务端传来的其他客户的信息。服务端:负责连接客户端,转发客户端的信息给其他客户。

			
		

	





	

		

			

				
					
网络第五章:多路转接

					
最新发布

				
			

			

				

					qincjun的博客
				

				

					09-05
					
					414
					
				

			

		

		

			
				
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。

			
		

	





	

		

			

				
					
gateway + websocket 实现权限校验

				
			

			

				

					一只没有脚的鸟
				

				

					09-03
					
					454
					
				

			

		

		

			
				
gateway + websocket 实现权限校验

			
		

	





	

		

			

				
					
计算机网络-VRRP工作原理

				
			

			

				

					Linux基础知识、计算机网络基础学习分享。
				

				

					09-03
					
					598
					
				

			

		

		

			
				
初始化状态就是在设备上配置完成时的状态,Master状态为主设备的状态,Nackup状态为备份设备的状态,备份设备会监听主设备发送的Advertisement报文,当定时器超时都没有收到主设备的报文时则备份设备切换为Master状态。R1与R2交换VRRP报文,优先级一样,通过比较接口IP地址选举Master路由器,由于R2的接口IP地址大于R1的接口IP地址,因此R2被选举为Master路由器。进行比较,先比较优先级,优先级大的优先,优先级相等则比较接口IP地址,IP地址大的优先,

			
		

	





	

		

			

				
					
观测云核心技术解密:eBPF Tracing 实现原理

				
			

			

				

					观测云的博客
				

				

					09-03
					
					925
					
				

			

		

		

			
				
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。

			
		

	





	

		

			

				
					
python shellcode加载

				
			

			

				

					09-19
				

			

		

		

			
				
2. 构建可执行载体:加载器需要构建一个可执行的载体程序,用于将Shellcode加载到内存中执行。这个载体程序可以是Python脚本,也可以是其他编程语言编写的程序。  3. 加载执行Shellcode加载器将Shellcode加载到...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值