一、shellcode编程前置知识点介绍shellcode是什么?shellcode的本质其实就是一段可以自主运行的汇编代码,它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行。具体的shellcode介绍大家可自行百度,我这里也就不啰嗦了。为什么要自己编写shellcode?因为最近半年做渗透比较多,使用的shellcode也都是CS或MSF生成的,但是工具自动生成的shellcode毕竟是死的,没办法自己扩展功能,再比如你知道一个新的漏洞,但是给的漏洞利用poc只能弹出个计算
2023-05-28评论:0访问次数:1025
0x01生成shellcode首先通过下列命令生成一个shellcode,使用msfvenom-p选项来指定paylaod,这里选用windows/x64、exec模块接收的参数。使用calc.exe执行弹出计算器的操作。-f选项用来执行生成的shellcdoe的编译语言。msfvenom-pwindows/x64/execCMD='calc.exe'-fpy0x02加载与执行shellcode的程序程序为:#-*-coding:utf-8-*-importcty
2023-05-10评论:0访问次数:981
一、基本信息样本MD5bb3306543ff********9372bb3c72712样本文件大小3.29MB(3,449,856字节)样本类型后门程序样本描述利用Office恶意宏加载木马模块分析时间2019年12月二、分析2.1简介该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。ShellCode部分的功能是从自身中提取出一个DLL木马程序{A96B020F-0000-466F-A96D-A91BBF8EAC96}
2023-06-02评论:0访问次数:1004
linux nx是指“No-eXecute”,是linux中的一种保护机制,也就是数据不可执行,防止因为程序运行出现溢出而使得攻击者的shellcode可能会在数据区尝试执行的情况。
2023-04-10评论:0访问次数:912
I综述重保晚上接到客户的电话,说检测到疑似攻击,请我进行应急处置溯源,无奈的我,只好从床上爬起来拿起笔记本。通过初步分析发现WvEWjQ22.hta执行了一个powershell进程,深入分析研判后发现流量经过2次Base64编码+1次Gzip编码,逆向分析调试解码出的ShellCode,为CS或MSF生成的TCP反弹Shell,最终溯源出攻击IP且结束Powershell进程和TCP反弹shell进程。II攻击手法利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警执行powers
2023-05-23评论:0访问次数:839