红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改

已于 2024-06-30 21:51:03 修改
阅读量406 收藏
点赞数 7
分类专栏: 红队攻防渗透技术研习室 文章标签: 安全 网络安全 系统安全
于 2024-05-27 22:47:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43422402/article/details/139247293
版权
本文详细介绍了红队在目标上线过程中如何进行Webshell免杀,涉及基础准备、免杀对象、杀毒产品、流量检测等多个方面。实验展示了通过代码混淆、行为调用改变及流量魔改等方式绕过安全防护产品的检测,同时提到了Suricata流量工具在Webshell检测中的应用。
摘要由CSDN通过智能技术生成

红队攻防免杀实战

1. 红队目标上线-Webshell免杀-基础准备

- 1、环境准备-单机系统&杀毒产品&流量产品
- 2Webshell-静态对抗&动态对抗&工具对抗
- 3Webshell-代码混淆&流量绕过
了解本专栏 订阅专栏 解锁全文 超级会员免费看
HACKNOE
关注
专栏目录
订阅专栏
红队攻防策略:基于免杀网络安全防护
IiwEngine的博客
09-19 128
为了有效应对基于免杀的攻击,组织需要采取综合的防护措施,包括更新防护设备、建立多层次的防护策略、加强员工培训和意识提升,以及进行安全审计和漏洞管理。d. 安全审计和漏洞管理:定期进行安全审计和漏洞管理,及时发现和修补系统中的漏洞,以防止攻击者利用这些漏洞进行免杀攻击。b. 多层次防护策略:采用多种防护技术和策略,如网络隔离、应用白名单、行为监测等,形成多层次的网络安全防护体系。a. 更新和维护防护设备:定期更新杀毒软件、入侵检测系统和防火墙等防护设备的规则和引擎,以适应新型威胁的变化。
红蓝对抗红队免杀开发实践
悦分享
08-04 1979
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
红队作业 | 免杀Meterpreter java马
Ms08067安全实验室
01-17 988
文章来源|MS08067 红队培训班 第5期本文作者:aeqaq(红队培训班5期学员)按老师要求尝试完成布置的作业如下:目标:分析msf meterpreter java马的原理,然后自己...
红队专用免杀
逍遥小哥的博客
09-01 949
Phobos 是一款红队专用免杀木马生成器,采用 PEM 加密动态嵌入 XOR 的方式生成木马,生成木马可以自定义名称和ICO图标。大家好,最近一段时间在忙着写文档,今天空出来的点时间跟大家分享一款好用的免杀器。因为要输入shellcode 我们先暂停住 我们去用cs生成shellcode。应一位大佬的话 能过win10的马才是牛,我们去过一下win10。回到我们刚才的页面输入shellcode。这有一个在线转换ico图标的网站。打开cs的过程我就不演示了。输入ico的路径即可生成。
红队在线免杀-护网行动必备【附工具
jijisaq的博客
03-14 983
1、轻松使用 通过简单的上传操作,用户可以生成免杀 Payload,无需手动配置和编码。 2、时间节省 减少协作时的环境配置和手动操作,提高效率。 3、模板化 用户可以通过配置文件快速应用不同的载入方式,增加生成的 Payload 的多样性。 生成的压缩包密码为 yutian 支持编译 nim、go、c 语言 支持 3 种 shellcode 存储方式(内嵌、本地、远程) 8 种加载方式 (Golang):
网络安全红队攻防之基础免杀
heikeyouyou的博客
05-16 143
记一次【网络安全红队攻防之基础免杀
红队开发基础-基础免杀
include_voidmain的博客
06-28 977
红队开发基础-基础免杀
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 1060
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
红队眼中主要的安全防御能力怎样突破
maoguan121的博客
10-13 5555
蓝队作为实战攻防演练中的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练中攻击阶段 的划分、各阶段主要工作内容、攻击中主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具
weixin_46280935的博客
09-10 5703
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9217
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
红队免杀培训第一章-不可执行的shellcode
Gamma_lab的博客
03-05 642
临近全国hw,后面会陆续推出红队免杀培训文章,希望能到诸君能在赛场上乱免,不会把现成的加载器放出来,但是例子改一下就是一个好的加载器,强调一遍,免杀并不是一种技术的一支独秀,而是百花齐放! 前言: ​ 这里照常去做CS的免杀加载器的实现,因为用先有的c2框架是非常方便顺手,当然你自己开发的c2框架也行,肯定也有生成shellcode这个功能,也需要进行内存执行的需求。 ​ 今天要讲的这种原理是根据ntdll.dll先有的指令来执行我们的代码,恶意代码保存在于数据部分中,这种的好处是我们绕过了不可执行的内
红队笔记之杀软原理介绍与免杀技术总结
明光札记
01-07 2191
本文将分别分析杀软的常用引擎原理,并介绍绕过思路。
红队免杀必会-进程注入--注册表-全局钩
Gamma_lab的博客
03-12 4453
前言 ​ 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段. ​ 进程的注入方式可以分为DLL注入和shellcode注入,这两种方式本质上没有区别,在操作系统层面上,dll也就是shellcode的汇编代码代码框架 ​ 想法是尽量用一个通用的注入框架,有异常接收,令牌权限开启,获取进程PID的功能,只需要在main函数中调用不同的注入方式: #include "public.h" int main() { DWORD
红队安全研发系列之免杀原理和绕过研究——静态查杀实现与绕过
weixin_46236101的博客
10-14 1263
前言 这文章我们将介绍一款开源杀毒软件Clamav,通过学习开源杀毒软件病毒查杀原理来绕过其查杀技术。 环境配置 1.下载Clamav,建议下载portable版本。 2.运行下列命令配置Clamav。 cd “解压的目录\clamav” copy .\conf_examples\freshclam.conf.sample .\freshclam.conf copy .\conf_examples\clamd.conf.sample .\clamd.conf write.exe .\freshclam.c
红队搬运工-github有趣的免杀项目分享
Gamma_lab的博客
03-17 1878
前言: ​ github一直是it行业最大的同性交流网站,上面的开源好项目非常之多,不少的渗透工具都出自github上面的大佬,尤其是免杀的loader,github一直是好免杀的藏宝阁,拿来就能用,拿来就能免,除非被杀软标记很多的项目,大部分免杀效果都很好的。 分享: 1.DPlant github链接:https://github.com/trickster0/UDPlant 介绍:UDP版本的反向shell工具,在 windows 和 linux 中都能完美运行 开发语言:rust 推荐理由:rus
红队武器库--在线Shellcode免杀平台(2020年老文)
J0o1ey Blog
10-04 2963
和几位dalao忙了几天 利用PHP+Python+GO三门语言写了一个在线shellcode免杀平台 在CS中生成X64的c shellcode,按照平台指定格式提交,即可一键生成免杀exe后门(过所有国产) 本人郑重承诺,不含任何后门!因为代码写的太烂,就不开源出来了 我也不会收集大佬们的c2 ip,今年hw我并不参加 本在线平台仅限攻防演练、授权渗透测试中使用,严禁用于非法用途(居心叵测之人自重,本系统带有溯源机制) 使用注册码进行账号注册后,会自动获取最近两次登录的ip并进行绑定,其他ip无法登
零基础学安全--shell脚本学习(1)脚本创建执行及变量使用
最新发布
qq_66164763的博客
11-24 792
Shell又称命令解释器,它能识别用户输入的各种命令,并传递给操作系统。它的作用类似于Windows操作系统中的命令行,但是,Shell的功能远比命令行强大的多。在UNIX或者localhost中,Shell既是用户交互的界面,也是控制系定义:变量名=变量内容使用:$变量名(一般来说这里加不加引号效果是相同的,但是如果你在引用变量时加''就会直接把这个$变量名当作字符串输出,相当于一个转义字符)双引号和花括号括起来可以进行字符串的拼接。
零基础学安全--HTML
qq_66164763的博客
11-24 372
是用于创建网页和网页应用的标准标记语言。它使用一系列标签(tags)来描述网页的内容和结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HACKNOE

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值