渗透工具NimPackt:基于 Nim 的打包程序,用于 .NET 可执行文件和原始外壳代码

最新推荐文章于 2023-09-28 16:43:19 发布
最新推荐文章于 2023-09-28 16:43:19 发布
阅读量497 收藏 2
点赞数 2
分类专栏: 渗透工具 文章标签: 测试工具 系统安全 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phpppppppppp/article/details/124148310
版权

Git地址:

chvancooten/NimPackt-v1:基于 Nim 的装配打包器和 shellcode 加载器,用于 opsec 和利润 (github.com)

描述

NimPackt是一个基于Nim的打包程序,用于针对Windows的.NET(C#)可执行文件和shellcode。它会自动将有效负载包装在编译为本机C的Nim二进制文件中,因此更难检测和逆向工程。有两种主要的执行方法:

  • Execute-Assembly重新打包 .NET 可执行文件并运行它,可以选择应用规避措施,如 API 取消挂钩、AMSI 修补或禁用 ETW。
  • Shinject使用原始的、与位置无关的 shellcode 获取.bin文件,并在本地或远程进程中执行它,可以选择使用直接系统调用来触发 shell 代码或修补 API 钩子来逃避 EDR。

目前,NimPackt具有以下功能。

  • 使用静态系统调用来修补执行以规避 EDR
  • 通过使用 ShellyCoat 刷新来取消生成线程的用户模式 API 的钩子NTDLL.dll
  • 修补程序 Windows 事件跟踪 (ETW)
  • 修补反恶意软件扫描接口 (AMSI)
  • AES 使用随机密钥对有效负载进行加密,以防止静态分析或指纹识别
  • 编译为或exedll
  • 支持跨平台编译(来自 Linux 和 Windows)
  • 与 CobaltStrike 集成,用于生成 ezpz 有效载荷😎

可以在此处找到用于进攻性工具的基于 C# 的二进制文件的重要来源。强烈建议您自己编译 C# 二进制文件。即使嵌入式二进制文件已加密,也应对敏感二进制文件(如 Mimikat

最低0.47元/天 解锁文章
风过留不留声
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows端之Python3.9及以上高版本工程打包得到的exe逆向工程解包得到pyc文件进而得到py文件的流程实现
blink182007的博客
05-07 1245
此时还需要返回刚刚的bucket文件夹,解压这个base_library.zip的压缩包,然后使用刚安装好的UltraEdit去打开其中任意一个pyc文件,这样就会在原来的基础之上多出一行,然后将刚刚从abc.pyc复制来的那行代码,复制过来替换FileBeta.pyc新增的第一行即可。找到这个文件夹内容唯一一个无后缀的.file文件,将其加上后缀更改为pyc文件,这里有一个细节,建议直接复制这个文件,复制一份出来更改其后缀为pyc即可。将这个abc.pyc的第一行选中后右键复制,建议直接Ctrl+C。
⼀款新的C2攻击⼯具-Link
Ms08067安全实验室
01-05 1006
文章来源|MS08067 内网攻防知识星球本文作者:清风(Ms08067内网小组核心成员)学内网 认准Ms08067⼀、⼯具简介在翻看公众号的时候发现有⼤佬简单介绍了下这款⼯具,⽹上的教程...
nimgen:Nimgen是c2nim的助手,可简化和自动包装C库
02-03
nimgen:Nimgen是c2nim的助手,可简化和自动包装C库
nim资源
ScutKevinYzy的博客
05-18 962
官方 网站:项目入口 https://nim-lang.org/ 源代码:GitHub项目地址 https://github.com/nim-lang/nim nimble:Nim包管理器 https://github.com/nim-lang/nimble choosenim工具链安装 https://github.com/dom96/choosenim 社区 论坛:异步的讨论组 https:...
Windows打包可执行程序exe工具
12-04
在Windows系统下,打包可执行程序成exe,将一些库文件统一打包在一起,方便使用
SharpKatz:mimikatz sekurlsa的移植
03-19
夏普·卡兹 mimikatz sekurlsa :: logonpasswords,sekurlsa :: ekeys和lsadump :: dcsync命令的移植 用法 钥匙 SharpKatz.exe --Command ekeys列出Kerberos加密密钥 MV SharpKatz.exe --Command msv从Msv提供程序检索用户凭据 的Kerberos SharpKatz.exe --Command kerberos从Kerberos提供程序检索用户凭据 茶匙 SharpKatz.exe --Command tspkg从Tspkg提供程序检索用户凭据 克雷德曼 SharpKatz.exe --Command credman从Credman提供程序中检索用户凭据 文摘 SharpKatz.exe --Command wdigest从WDigest提供程序检索用户凭据
NimSvg:基于Nim的DSL,允许生成SVG文件和GIF动画
02-03
NimSvg是一个强大的工具,它基于Nim编程语言构建,为开发者提供了一种领域特定语言(DSL)来创建和操作SVG(Scalable Vector Graphics)文件以及生成GIF动画。这个项目的核心理念是将SVG和GIF的创建过程简化,使得...
csvtable:Nim工具用于使用类似于Python的CSVDictReader和-Writer的API处理CSV文件
02-03
`csvtable` 是一个基于Nim编程语言的库,它为处理CSV(逗号分隔值)文件提供了方便且强大的工具Nim是一种现代、静态类型的系统编程语言,设计目标是高效、优雅和灵活。`csvtable` 的设计灵感来源于Python的`csv`...
ConIO:•Nim.NET控制台•
02-02
.NET框架的核心部分是Common Language Runtime (CLR),它是应用程序执行的环境,负责垃圾回收、类型安全和异常处理等。 ConIO库就是在这个背景下诞生的,它为Nim开发者在.NET平台上提供了类似于BASIC语言中的...
nlvm:用于Nim语言的基于LLVM的编译器
01-31
LLVM是一个开放源代码的编译基础设施项目,提供了优化的中间表示(IR)和一套工具,可以用于构建编译器和工具链。通过使用LLVM,NLVM能够为Nim程序提供高度优化和跨平台的支持。 **LLVM的优势** 1. **代码优化**:...
nimlevenshtein:Levenshtein Nim模块包含用于快速计算Levenshtein距离和字符串相似度的函数
02-04
Nimlevenshtein是一个基于Nim编程语言的模块,专为高效地计算Levenshtein距离和评估字符串之间的相似度而设计。Levenshtein距离是衡量两个字符串差异程度的一种标准,它定义了从一个字符串转换成另一个字符串所需的...
netkit:由纯Nim编写的开箱即用,稳定且安全的网络设施和实用程序
04-15
网络套件 Netkit希望充当通用的网络开发工具包,提供网络编程中常用的工具。 Netkit应该是开箱即用的,稳定且安全的。 Netkit包含许多常用的网络编程工具,例如TCP,UDP,TLS,HTTP,HTTPS,WebSocket和相关实用程序。 Netkit并不是要成为高级生产力开发工具,而应该是可靠且高效的网络基础结构。 Netkit由几个子模块组成,每个子模块提供一些网络工具。 现在,Netkit正在积极开发中。 受Netty启发的新IO引擎正在devel分支中开发,该引擎具有处于多线程非阻塞模式的(选择器)循环池。 实际上,我们不再对标准库中的IO引擎感到满意。 运行测试 有一个脚本可以自动运行测试。 检查config.nims以获取详细信息。 $ nim test -d:modules=<file>文件$ nim test -d:modules=<file_n
nim安装过程及配置
12-18
AIX环境下, Nim servicer 安装配置.
Nimbo-C2:一款功能强大的轻量级C2 框架
dzqxwzoe的博客
08-16 335
1、构建EXE、DLL、ELF Payload;2、使用NimProtect加密植入物配置和字符串;3、使用UPX封装Payload,并对PE代码进行混淆处理以增加检测和解包的难度;4、HTTP通信加密;5、C2命令行终端支持命令自动补全;6、在内存中执行PowerShell命令;7、提供文件上传和下载命令;8、内置扫描发现命令;9、支持屏幕截图、剪贴板数据窃取和音频记录;10、LSASS和SAM Hive转储;11、Shellcode注入;12、内联.NET程序集执行;
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 1891
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
免杀对抗-Nim语言免杀-加载工具+加载方式
最新发布
xiaoheizi的博客
09-28 682
shellcodeCallback.nim下载:https://github.com/5598ca98-f0c8-4594-befe-330b23c2b7c4。nimcrypto,在有nimcrypto.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。1.下载nimPNG,在有nimPNG.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。4.再次执行:./lsp.exe de 生成的图片.png shellcode文件 密码。
【逆向工程笔记】第13章PE文件——给定一个exe文件,如何找到第一个IID文件
wuwuhe99的博客
05-31 484
第1个IID的函数地址列表(76324906为文件的入口地址,不真实,要找内存的入口地址)在winhex里导航至6EAC,第1个IID的库名字 comdlg32.dll。WINHEX跳转至6EFA,找到库名字为SHELL32.dll。第1个IID:(从6A04向右数20个字节,为下图黄色区域)在PE中计算:RVA=00007AAC,RAW=6EAC。找到真正的入口地址,PE-数据目录表-IAT表-入口地址。WINHEX导航至6D90:(数40个字节)打开Winhex,导航至6A04。
windows软件打包工具_Windows实用软件推荐(1)——实用小工具
weixin_39770226的博客
12-07 4666
给大家介绍一些Windows平台实用的小工具。1、Clipber 快贴快贴是一款跨平台的云剪贴板应用,简单、便捷,只需简单的复制便可实现电脑到电脑、电脑到手机、或手机到手机的传送。支持Windows、Mac OS、Android、iOS等常用平台。快贴官网介绍2、Defraggler 磁盘碎片整理Defraggler是由英国软件公司Piriform(就是著名的垃圾清理软件CCleaner开发商)所...
《逆向工程核心原理》读书笔记——第6章 汇编编写的exe程序入口
Onlyone_1314的博客
09-15 404
第6章一级目录6.1abex' crackme #16.1.1 开始调试6.3 将参数压入栈 一级目录 6.1abex’ crackme #1   调试前先运行abex’crackme #1这个程序,大致了解一下它。 如图6-1所示,双击运行程序后弹出一个消息窗口,显示“Make me think your HD is a CD-Rom"消息。我刚开始并不理解这句英文。 图6-1运行程序   消息的最后部分出现了“CD-Rom”这个词,我们只能根据它大致推测出前面的HD为HDD(Hard Disk Dri

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风过留不留声

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值