C2远控Loader红队技巧

2024-03-04 01:36
文章标签 技巧 loader c2 红队 远控

本文主要是介绍C2远控Loader红队技巧,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

inlineHook技术(钩子技术)

MessageBoxA C++自带弹窗函数

test_MessageBoxA 代码中自定义函数

InlineHook技术:testA原本插入jmp指令跳转到testB,实现testB自定义的函数

实现方式:X86:
// 方式一,使用jmp相对地址跳转
jmp <相对地址>   ; E9 <相对地址>// 方式二,使用寄存器jmp绝对地址跳转
mov eax, <绝对地址>   ; B8 <绝对地址>
jmp eax             ; FF E0// 方式三,使用push ret绝对地址跳转
push <绝对地址>   ; 68 <绝对地址>
ret             ; C3X64:
// 方式二,使用寄存器jmp绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
jmp r12             ; 41 FF E4// 方式三,使用push ret绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
push r12             ; 41 54 <绝对地址>
ret                 ; C3注意事项:
1.E9方式替换5个字节,B8方式替换7个字节。
2.原函数的内存保护属性在代码替换后要进行恢复,不然可能导致hook不成功。
3.保证原函数可正常运行,需在hook执行目标函数中执行原函数并把返回值进行返回。
4.为了保证下次原函数被调用时继续执行hook,所以在执行完原函数后再次进行替换使得下次原函数被调用时再次进入hook函数。拓展技术:
API hook大致有以下几种方式:
1、Inline hook,应用层的注入hook,通过在内存中找到想要hook函数地址,并在其之前加入自己构造的跳转指令,当被hook位置执行时,便可以跳转到hook使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。
2、IAT hook,导入表hook,通过修改导入表中某函数的地址到自己补丁函数来实现。
3、SSDT hook,内核层的hook技术,通过修改系统服务表中某个服务函数的地址到自己的补丁函数来实现。
4、IRP hook,内核层的hook技术,通过修改IRP结构体中某个成员变量指向自己的补丁函数来实现。

一步步测试,这是两个弹窗

#include <Windows.h>
#include <stdio.h>
#include <iostream>int main() {//调用MessageBoxA函数,将触发hook函数MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);//再次调用testA函数,将触发hook函数MessageBoxA(NULL, "2 hello world", "Tile", MB_OK);return 0;}

image-20240228233824654

image-20240228233910175

执行流程

MessageBoxA -》mov eax, Jmpaddressjmp eaxDWORD Jmpaddress = (DWORD )test_MessageBoxA ;jmp test_MessageBoxA;

好,烂尾了

经过测试,只能上线win7不在研究




红队技能-进程镂空(傀儡进程)

进程镂空(Process Hollowing)或称为傀儡进程

是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法

1、创建一个挂起合法进程
2、读取执行代码
3、获取挂起进程上下文与环境信息
4、卸载挂起进程内存
5、写入执行代码
6、恢复挂起进程

生成一个helloworld.exe

#include <Windows.h>
#include <stdio.h>
#include <iostream>int main() {//调用MessageBoxA函数MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);return 0;}

image-20240303183521578

当我们执行代码时,原本的进程会启动cmd进程运行,并调用helloworld.exe

image-20240303182507946

查看变化流程,启动process进行监控!
image-20240303182656284

进程变化,会发现调用的cmd

image-20240303183801360

image-20240303183825933

image-20240303183837688

当然如果执行免杀🐎呢,会发现只有cmd.exe没有文件的名字了。

image-20240303184722540

image-20240303184741878

拿tcpview查看

第一下是找不到的,只有等到cs回联时会看到

image-20240303190838429

image-20240303192749988

如果直接执行马子呢,会发现这个文件的

image-20240303184929023






红队技能-APC注入&进程欺骗

APC全称为Asynchronous Procedure Call,叫异步过程调用,

是指函数在特定线程中被异步执行,在操作系统中是并发机制。

同步调用:

我们需要去烧水,首先我们先去需要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。这就是同步。

异步调用:

就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。

1、获取父进程PID
2、获取当前进程权限
3、创建并分配写入内存
4、写入SC并APC进行调用

image-20240303192534735image-20240303200552991

APC注入配合傀儡进程实现父进程欺骗

就上边结合就完了,不过360
GG

这篇关于C2远控Loader红队技巧的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/771609

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

购买磨轮平衡机时应该注意什么问题和技巧

在购买磨轮平衡机时,您应该注意以下几个关键点: 平衡精度 平衡精度是衡量平衡机性能的核心指标,直接影响到不平衡量的检测与校准的准确性,从而决定磨轮的振动和噪声水平。高精度的平衡机能显著减少振动和噪声,提高磨削加工的精度。 转速范围 宽广的转速范围意味着平衡机能够处理更多种类的磨轮,适应不同的工作条件和规格要求。 振动监测能力 振动监测能力是评估平衡机性能的重要因素。通过传感器实时监

滚雪球学Java(87):Java事务处理:JDBC的ACID属性与实战技巧!真有两下子!

咦咦咦,各位小可爱,我是你们的好伙伴——bug菌,今天又来给大家普及Java SE啦,别躲起来啊,听我讲干货还不快点赞,赞多了我就有动力讲得更嗨啦!所以呀,养成先点赞后阅读的好习惯,别被干货淹没了哦~ 🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,助你一臂之力,带你早日登顶🚀,欢迎大家关注&&收藏!持续更新中,up!up!up!! 环境说明:Windows 10

小技巧绕过Sina Visitor System(新浪访客系统)

0x00 前言 一直以来,爬虫与反爬虫技术都时刻进行着博弈,而新浪微博作为一个数据大户更是在反爬虫上不遗余力。常规手段如验证码、封IP等等相信很多人都见识过…… 当然确实有需要的话可以通过新浪开放平台提供的API进行数据采集,但是普通开发者的权限比较低,限制也比较多。所以如果只是做一些简单的功能还是爬虫比较方便~ 应该是今年的早些时候,新浪引入了一个Sina Visitor Syst

BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。 鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。 一、“大灰狼”的伪装 以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不

PMP–一、二、三模–分类–14.敏捷–技巧–看板面板与燃尽图燃起图

文章目录 技巧一模14.敏捷--方法--看板(类似卡片)1、 [单选] 根据项目的特点,项目经理建议选择一种敏捷方法,该方法限制团队成员在任何给定时间执行的任务数。此方法还允许团队提高工作过程中问题和瓶颈的可见性。项目经理建议采用以下哪种方法? 易错14.敏捷--精益、敏捷、看板(类似卡片)--敏捷、精益和看板方法共同的重点在于交付价值、尊重人、减少浪费、透明化、适应变更以及持续改善等方面。

OpenStack:Glance共享与上传、Nova操作选项解释、Cinder操作技巧

目录 Glance member task Nova lock shelve rescue Cinder manage local-attach transfer backup-export 总结 原作者:int32bit,参考内容 从2013年开始折腾OpenStack也有好几年的时间了。在使用过程中,我发现有很多很有用的操作,但是却很少被提及。这里我暂不直接

PMP–一、二、三模–分类–14.敏捷–技巧–原型MVP

文章目录 技巧一模14.敏捷--原型法--项目生命周期--迭代型生命周期,通过连续的原型或概念验证来改进产品或成果。每个新的原型都能带来新的干系人新的反馈和团队见解。题目中明确提到需要反馈,因此原型法比较好用。23、 [单选] 一个敏捷团队的任务是开发一款机器人。项目经理希望确保在机器人被实际建造之前,团队能够收到关于需求的早期反馈并相应地调整设计。项目经理应该使用以下哪一项来实现这个目标?

VB项目中必需的几点技巧

1.    点击右上角的关闭按钮,要弹出“提示”,是否关闭,但用右键关闭时,不能重复提示 在vb中找到这个事件Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)If MsgBox("是否要退出", vbYesNo + vbDefaultButton2, "提示") = vbNo ThenCancel

编程技巧集--持续更新

windows ==> preferences ==> General ==> Editors ==> file Associations, 在开发中,我们打开文件时,默认的不是我们需要的打开方式. 所以我们就用右键文件,选择打开方式,时间长了很麻烦,其实我们可以设置文件(jsp,xml...)默认打开方式 eclipse一直build project,特别是编译js的时候更慢