CS 4.7 Stager 逆向及 Shellcode 重写

最新推荐文章于 2024-06-21 16:22:49 发布
最新推荐文章于 2024-06-21 16:22:49 发布
阅读量625 收藏 1
点赞数
文章标签: 单片机 stm32 嵌入式硬件 开发语言 python 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stopys6/article/details/132922803
版权

1. 概述

一直很想有一个自己的控,奈何实力不允许,CS 仍然是目前市面上最好用的控,但是也被各大厂商盯得很紧,通过加载器的方式进行免杀效果有限,后来看到有人用 go 重写了 CS 的 beacon,感觉这个思路很好,但是 go 编译的也有很多问题,加载起来会有很多受限的地方,所以想着能不能用 C 去重写一个,不过 beacon 的功能很多,短时间去重写有点费劲,所以想先重写 CS 的 stager 部分,并能转化成 shellcode 通过加载器进行加载。CS 4.7出来有段时间了,本文尝试对 CS 的 stager 进行逆向,并尝试用 C 重写 stager 的 shellcode 。

2. 样本信息

样本名:artifact.exe (通过CS的Windows Stager Payload生成的64位exe)
在这里插入图片描述在这里插入图片描述

3. Stager 逆向

CS 生成的 exe 格式的 stager 本质上就是一个 shellcode 加载器,真正实现 stager 的拉取 beacon 功能的是其中的 shellcode 部分,因为加载器我们可以通过很多方式去实现,且4.7版本的 stager 加载流程并没有较大变化,所以对 stager 的加载部分只做简单的分析。

3.1 Shellcode加载部分:

进入主函数,直接进 sub_4017F8 函数看它的功能实现:
在这里插入图片描述

进入 sub_4017F8 函数,先获取系统时间戳,然后创建线程通过管道读取 shellcode 并执行:
在这里插入图片描述

拼接的管道名:\.\pipe\MSSE-3410-server:
在这里插入图片描述

跟进 CreateThread 中的线程执行函数:
在这里插入图片描述

跟进 WriteShellcodeToPipe_401630,创建管道并循环写入 shellcode:

在这里插入图片描述

shellcode 内容如下:
在这里插入图片描述

写入 shellcode:
在这里插入图片描述

跟进 ShellcodeExec_4017A6 函数,该函数实现从管道接收 shellcode 并解密执行:
在这里插入图片描述

从管道中读取 shellcode 到内存:

在这里插入图片描述

将读取到的 shellcode 在 DecryptAndExecShellcode_401595 函数中解密执行:
在这里插入图片描述

解密后的 shellcode 可以通过 CreateThread 的传参找到,起始地址保存在 R9 寄存器中:
在这里插入图片描述

3.2 Shellcode执行部分:

Shellcode 是一段地址无关代码,不能直接调用 Win32Api,CS 的 shellcode 是通过遍历 PEB 结构和 PE 文件导出表并根据导出函数的 hash 值查找需要的模块和 API 函数:

3.2.1 遍历PEB获取Win32API

遍历PEB:
在这里插入图片描述

计算模块哈希:
在这里插入图片描述

查找导出函数:
在这里插入图片描述

该部分的完整汇编如下:

| mov rdx,qword ptr gs:[rdx+60] | 查找PEB
| mov rdx,qword ptr ds:[rdx+18] | 查找LDR链表
| mov rdx,qword ptr ds:[rdx+20] | 访问InMemoryOrderModuleList链表
| mov rsi,qword ptr ds:[

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
shellex:C-shellcode 到十六进制转换器,在 gdb、windbg、radare2、ollydbg、x64dbg、免疫调试器和 010 编辑器中粘贴和执行 shellcode 的便捷工具
05-31
Shellex 警告:世界上最丑的代码 C-shellcode 到十六进制转换器。 在 gdb、windbg、radare2、ollydbg、x64dbg、immunity debugger 和 010 编辑器中粘贴和执行 shellcode 的便捷工具。 您在将 C-shellcode 转换为 HEX 时遇到问题(可能是 c-comments+ASCII 混合?) 这是shellex。 如果 shellcode 可以在 C 编译器中编译,shellex 可以转换它。 只需执行 shellex,粘贴 shellcode c 字符串,然后按 ENTER。 结束使用 Control+Z(Windows)/Control+D(Linux) 转换c-shellcode-multi-line-hex+mixed_ascii(注意混合部分\x68//sh\x68/bin\x89 ):
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 4675
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
cobaltstrike4.7安装教程
最新发布
m0_75047805的博客
06-21 258
cobaltstrike搭建
免杀对抗-ShellCode上线+回调编译执行+混淆变异算法
xiaoheizi的博客
09-10 2986
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。因为shellcode的免杀手段多,损坏的可能性小,能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中,使用。
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2512
个人shellcode相关网络资源学习记录
渗透测试框架进阶-拓展应用
weixin_53747497的博客
05-01 964
扩展是 Cobaltstrike 一个极为重要的模块,它有效地丰富了 Cobaltstrike 的功能。
Veil-Ordnance:Veil-Ordnance是一种旨在快速生成MSF Stager Shellcode的工具
05-09
Veil-Ordnance旨在快速生成可用于漏洞利用或有效载荷的shellcode。 在@ christruncer,@ themightyshiv和@ harmj0y之间进行了多次讨论之后,我们得到了灵感。在这些讨论中,我们确定了需要一种生成shellcode的工具,...
chef-stager:厨师食谱来设置 stager https
07-14
属性stager::默认钥匙类型描述默认['stager']['用户'] 细绳以什么用户身份运行 stager 码头工人['stager']['hostname'] 细绳nginx 响应的主机名stager.test.com ['stager']['包裹'] 大批要安装的软件包数组ruby1.9.1...
web_热血江湖web_热血江湖_WAP手机文字网游_wap_stager68_
09-29
【标题】"web_热血江湖web_热血江湖_WAP手机文字网游_wap_stager68_" 暗示了这是一个关于“热血江湖”游戏的Web版本,特别适配于WAP(无线应用协议)手机用户,由stager68可能进行开发或维护。 【描述】"热血江湖...
Stager:连续部署Github存储库到主机
02-09
**Stager:连续部署Github存储库到主机** 在IT行业中,持续部署(Continuous Deployment, CD)是一种自动化的软件发布流程,它确保代码更改一旦通过所有测试阶段,就会自动部署到生产环境。`Stager` 是一个工具或...
stager-server:使用sinatra,docker和nginx的自动化登台环境
05-22
通过协调nginx虚拟主机的创建和销毁与docker容器的创建和销毁,Stager可以自动执行Web应用程序的暂存过程。 ##安装 ###先决条件 # install docker curl -s https://get.docker.io/ubuntu/ | sudo sh # on ubuntu ...
CS结合python3混淆shellcode制作免杀脚本
m0_48108919的博客
03-19 7383
文章参考自:Cobalt Strike免杀操作 - 技术文章 - 90Sec 0x00基础知识 Cobalt Strike简介 Cobalt Strike是一款功能强大的渗透工具,集成了端口转发、提权、凭据导出、服务扫描、文件捆绑、木马生成,钓鱼等多种功能。Cobalt Strike作为一款协同工具,主要用于团队作战,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 Shellcode介绍 简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反
C/C++ 通用ShellCode的编写与调用
热门推荐
CSDN
09-23 1万+
首先,我们的ShellCode代码需要自定位,因为我们的代码并不是一个完整的EXE可执行程序,他没有导入表无法定位到当前系统中每个函数的虚拟地址,所以我们直接获取到Kernel32.dll的基地址,里面的GetProcAddr这个函数,获取的方式有很多,第一种是暴力搜索,第二种通过遍历进程的TEB结构来实现,我们使用第二种方式尝试,一旦获取到该函数,就可以动态的调用任何想要的函数了。
认识ShellCode
xlsj雪松的博客
09-21 279
shellcode的本质其实就是一段可以自主运行的代码。它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,因此需要通过控制程序流程跳转到shellcode地址上去执行shellcode。exploit主要强调执行控制权,而shellcode更关注于有了控制权之后的功能。因此shellcode更像是exploit的载荷,往往对于不同漏洞来讲exploit是特殊的,而shellcode会具有一些通用性。可以看到生成一个payload_x64.c。
Cobalt Strike (CS) 逆向初探
悦分享
08-03 682
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...
11-25 2477
#zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...
Python反序列化免杀上线CS
qq_57686163的博客
08-20 801
简单免杀上线cs
CS 4.7 Stager 逆向Shellcode
stopluox的博客
09-25 1015
一直很想有一个自己的控,奈何实力不允许,CS 仍然是目前市面上最好用的控,但是也被各大厂商盯得很紧,通过加载器的方式进行免杀效果有限,后来看到有人用 go 重写CS 的 beacon,感觉这个思路很好,但是 go 编译的也有很多问题,加载起来会有很多受限的地方,所以想着能不能用 C 去重写一个,不过 beacon 的功能很多,短时间去重写有点费劲,所以想先重写 CSstager 部分,并能转化成 shellcode 通过加载器进行加载。
metasploit下载
09-22
您可以在Metasploit官网(https://www.metasploit.com/)注册后进行下载。您还可以在Rapid7官网(https://www.rapid7.com/products/metasploit/download.jsp#msf)下载Metasploit。在Metasploit中,Payload的类型可以通过名称和使用格式进行推断,其中单一Payload的格式为<target>/<single>,例如windows/powershell_bind_tcp,而Stager/Stage Payload的格式为<target>/<stage>/<stager>,例如windows/meterpreter/reverse_tcp。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值