C2远控Loader红队技巧

已于 2024-03-09 15:55:09 修改
阅读量402 收藏 7
点赞数 7
文章标签: linux 服务器 前端
于 2024-03-03 20:09:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29948489/article/details/136437157
版权
inlineHook技术(钩子技术)

MessageBoxA C++自带弹窗函数

test_MessageBoxA 代码中自定义函数

InlineHook技术:testA原本插入jmp指令跳转到testB,实现testB自定义的函数

实现方式:

X86:
// 方式一,使用jmp相对地址跳转
jmp <相对地址>   ; E9 <相对地址>

// 方式二,使用寄存器jmp绝对地址跳转
mov eax, <绝对地址>   ; B8 <绝对地址>
jmp eax             ; FF E0

// 方式三,使用push ret绝对地址跳转
push <绝对地址>   ; 68 <绝对地址>
ret             ; C3


X64:
// 方式二,使用寄存器jmp绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
jmp r12             ; 41 FF E4


// 方式三,使用push ret绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
push r12             ; 41 54 <绝对地址>
ret                 ; C3



注意事项:
1.E9方式替换5个字节,B8方式替换7个字节。
2.原函数的内存保护属性在代码替换后要进行恢复,不然可能导致hook不成功。
3.保证原函数可正常运行,需在hook执行目标函数中执行原函数并把返回值进行返回。
4.为了保证下次原函数被调用时继续执行hook,所以在执行完原函数后再次进行替换使得下次原函数被调用时再次进入hook函数。


拓展技术:
API hook大致有以下几种方式:
1、Inline hook,应用层的注入hook,通过在内存中找到想要hook函数地址,并在其之前加入自己构造的跳转指令,当被hook位置执行时,便可以跳转到hook使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。
2、IAT hook,导入表hook,通过修改导入表中某函数的地址到自己补丁函数来实现。
3、SSDT hook,内核层的hook技术,通过修改系统服务表中某个服务函数的地址到自己的补丁函数来实现。
4、IRP hook,内核层的hook技术,通过修改IRP结构体中某个成员变量指向自己的补丁函数来实现。

一步步测试,这是两个弹窗

#include <Windows.h>
#include <stdio.h>
#include <iostream>

int main() {

	
	//调用MessageBoxA函数,将触发hook函数
	MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);

	//再次调用testA函数,将触发hook函数
	MessageBoxA(NULL, "2 hello world", "Tile", MB_OK);

	return 0;

}

image-20240228233824654

image-20240228233910175

执行流程

MessageBoxA -》

mov eax, Jmpaddress

jmp eax



DWORD Jmpaddress = (DWORD )test_MessageBoxA ;

jmp test_MessageBoxA;

好,烂尾了

经过测试,只能上线win7不在研究




红队技能-进程镂空(傀儡进程)

进程镂空(Process Hollowing)或称为傀儡进程

是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法

1、创建一个挂起合法进程
2、读取执行代码
3、获取挂起进程上下文与环境信息
4、卸载挂起进程内存
5、写入执行代码
6、恢复挂起进程

生成一个helloworld.exe

#include <Windows.h>
#include <stdio.h>
#include <iostream>

int main() {


	//调用MessageBoxA函数
	MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);


	return 0;

}

image-20240303183521578

当我们执行代码时,原本的进程会启动cmd进程运行,并调用helloworld.exe

image-20240303182507946

查看变化流程,启动process进行监控!
image-20240303182656284

进程变化,会发现调用的cmd

image-20240303183801360

image-20240303183825933

image-20240303183837688

当然如果执行免杀🐎呢,会发现只有cmd.exe没有文件的名字了。

image-20240303184722540

image-20240303184741878

拿tcpview查看

第一下是找不到的,只有等到cs回联时会看到

image-20240303190838429

image-20240303192749988

如果直接执行马子呢,会发现这个文件的

image-20240303184929023






红队技能-APC注入&进程欺骗

APC全称为Asynchronous Procedure Call,叫异步过程调用,

是指函数在特定线程中被异步执行,在操作系统中是并发机制。

同步调用:

我们需要去烧水,首先我们先去需要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。这就是同步。

异步调用:

就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。

1、获取父进程PID
2、获取当前进程权限
3、创建并分配写入内存
4、写入SC并APC进行调用

image-20240303192534735image-20240303200552991

APC注入配合傀儡进程实现父进程欺骗

就上边结合就完了,不过360
GG

相关成果

过火绒
过360+核晶+qvm
过亚信

zzz的安全之路
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队技巧:隐藏windows服务1
08-03
本文将探讨一种红队技巧,即如何使用PowerShell隐藏Windows服务,以提高在后渗透测试阶段的持久性和隐蔽性。 首先,创建一个Windows服务是维持权限的关键步骤。使用命令行工具`sc`,我们可以创建一个名为`mrxn`的...
红队渗透打点工具-FindUpload
03-07
红队渗透打点工具-FindUpload】 在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络...
C2远控之初探shellcode
qq_29948489的博客
02-20 1137
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
免杀对抗-C2远控篇&Golang&Rust&冷门语言&Loader加载器&对抗优势&减少熵值特征
qq_45087791的博客
03-20 986
cpu:指定架构,如:nim cc -cpu amd64 , nim cc -cpu:arm。–cpu参数有:i386, m68k, alpha, powerpc, powerpc64, powerpc64el, sparc, vm, hppa, ia64, amd64, mips, mipsel, arm, arm64, js, nimvm, avr, msp430, sparc64, mips64, mips64el, riscv64, esp, wasm32。例如:nim c test.nim。
红队专题-从零开始VC++C/S远程控制软件RAT-MFC-远控介绍及界面编写
aming小老弟
10-28 1204
服务启动 ---- 注销 模式 可以自动启动服务 上线编写前 功能了解分析界面 运行模式// 两个消息 上线 下线信息typedef struct tagMSGINFO //传输消息结构体int Msg_id;}MSGINFO;typedef struct tagSYSTEMINFO //上线信息int os;bool Cam;//摄像头double ver;
红队笔记之go语言远控初探
明光札记
01-07 3607
本文为笔者学习go与远控所写简单demo。客户端go,服务端Ncat,后续有空可能会继续编写go服务端与完善一些基本功能,感兴趣的可以点关注一下。
【内网星球3.0】红队之靶场集中营(聊聊都是哪60个靶场)
Ms08067安全实验室
12-12 1245
2019年11月我们选择了知识星球,星球给我们带来了第一批忠实的粉丝,也带来了很多快乐的时光,今年因为主要精力放在培训上面,而忽略了星球,这也让很多星友很是失望,不过我们不会放弃星球。目前星球大概可以分为二种:一种是星主分享的资源多,不管是哪个安全方向的。说实话,在如今这个互联网时代,只要不是你亲自撰写录制的,而是从网上收集的。只要你用心去搜索、整理,相信这些资料你都可以从各个方面找到。再者你保存...
红队攻防手册,红队攻防教程
04-20
红队攻防教程是指针对网络和系统安全的实践性培训,旨在模拟真实的攻击场景并提供相关的防御技术。红队是一个模拟攻击团队,通过模拟真实的黑客攻击来测试组织的安全性,而蓝队则是负责防御和应对这些攻击的团队。 ...
从实战看红队进攻技巧.pdf
03-06
2023网络安全创新大会(PPT下载)
058-红队渗透下的tp技巧.pdf
09-20
红队渗透下的TP技巧 title: 红队渗透下的TP技巧 本文主要讨论红队渗透下的TP技巧,包括TP5的渗透要点、Debug模式下的数据连接、Log文件的利用、 Cache文件名的猜测等技术细节。 一、TP5的渗透要点 在红队渗透中...
Linux】进程间通信——匿名管道
2201_76024104的博客
07-08 1146
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
建立共享linux第三方软件仓库
Znj1421304181的博客
07-08 217
【代码】建立共享linux第三方软件仓库。
nginx安装(win和linux
f552126506的博客
07-07 578
nginx安装(win和linux
Linux 安装 Docker Compose
最新发布
m0_63004677的博客
07-12 209
Linux 系统安装 Docker Compose
Linux系列2】Cmake安装记录
kewaqi618的博客
07-08 1036
主要介绍Cmake的安装方法,及自己安装的过程
保姆级教程:Linux (Ubuntu) 部署流光卡片开源 API
梦染 * 星尘 的博客
07-09 840
流光卡片 API 开源地址 Github:https://github.com/ygh3279799773/streamer-card流光卡片 API 开源地址 Gitee:https://gitee.com/y-gh/streamer-card流光卡片在线使用地址:https://fireflycard.shushiai.com/想要使用 api 调用服务,需要有一个服务器来时刻监听请求。服务器终端界面阅读不方便,因此需要使用宝塔面板进行管理。
Linux】:程序替换
Yikefore的博客
07-09 1075
程序替换的详细介绍以及各种程序替换接口介绍以及使用!
Linux workqueue介绍
l00102795的博客
07-08 901
不是所有的驱动程序都必须有自己的工作队列。驱动程序可以使用内核提供的缺省工作队列。由于这个工作队列由很多驱动程序共享,任务可能会需要比较长一段时间才能开始执行。为了解决这一问题,工作函数中的延迟应该保持最小或者不要延时。
linux积累-core文件是干啥的
hebtu666
07-09 3187
核心转储(core dump)文件是一个程序崩溃时所产生的文件,它记录了程序崩溃时的内存状态,包括程序计数器和寄存器内容等信息。此外,如果程序是在特定的库或者环境中运行时崩溃的,你可能还需要安装那些库的调试符号,并在调试器中设置相应的环境变量。: 当你有了核心转储文件后,你可以使用像GDB(GNU调试器)这样的调试器来分析它。首先,你需要确保你有相应的程序的带调试符号的可执行文件。: 根据调试器提供的信息,你可以检查源代码中可能导致问题的部分,例如无效的指针引用、数组越界或其他违反程序逻辑的操作。
各大厂商护网面试题汇总
06-26
"各大厂商护网面试题汇总" 在网络安全领域,面试往往涉及到各种技术细节,涵盖攻防两端。以下是一些重要的知识点,基于提供的面试题进行...掌握这些技术对于网络安全专业人员来说至关重要,尤其是在防御和红队行动中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值