C2远控Loader红队技巧

news2024/9/24 7:33:03
inlineHook技术(钩子技术)

MessageBoxA C++自带弹窗函数

test_MessageBoxA 代码中自定义函数

InlineHook技术:testA原本插入jmp指令跳转到testB,实现testB自定义的函数

实现方式:

X86:
// 方式一,使用jmp相对地址跳转
jmp <相对地址>   ; E9 <相对地址>

// 方式二,使用寄存器jmp绝对地址跳转
mov eax, <绝对地址>   ; B8 <绝对地址>
jmp eax             ; FF E0

// 方式三,使用push ret绝对地址跳转
push <绝对地址>   ; 68 <绝对地址>
ret             ; C3


X64:
// 方式二,使用寄存器jmp绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
jmp r12             ; 41 FF E4


// 方式三,使用push ret绝对地址跳转
mov r12, <绝对地址>   ; 49 BC <绝对地址>
push r12             ; 41 54 <绝对地址>
ret                 ; C3



注意事项:
1.E9方式替换5个字节,B8方式替换7个字节。
2.原函数的内存保护属性在代码替换后要进行恢复,不然可能导致hook不成功。
3.保证原函数可正常运行,需在hook执行目标函数中执行原函数并把返回值进行返回。
4.为了保证下次原函数被调用时继续执行hook,所以在执行完原函数后再次进行替换使得下次原函数被调用时再次进入hook函数。


拓展技术:
API hook大致有以下几种方式:
1、Inline hook,应用层的注入hook,通过在内存中找到想要hook函数地址,并在其之前加入自己构造的跳转指令,当被hook位置执行时,便可以跳转到hook使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。
2、IAT hook,导入表hook,通过修改导入表中某函数的地址到自己补丁函数来实现。
3、SSDT hook,内核层的hook技术,通过修改系统服务表中某个服务函数的地址到自己的补丁函数来实现。
4、IRP hook,内核层的hook技术,通过修改IRP结构体中某个成员变量指向自己的补丁函数来实现。

一步步测试,这是两个弹窗

#include <Windows.h>
#include <stdio.h>
#include <iostream>

int main() {

	
	//调用MessageBoxA函数,将触发hook函数
	MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);

	//再次调用testA函数,将触发hook函数
	MessageBoxA(NULL, "2 hello world", "Tile", MB_OK);

	return 0;

}

image-20240228233824654

image-20240228233910175

执行流程

MessageBoxA -》

mov eax, Jmpaddress

jmp eax



DWORD Jmpaddress = (DWORD )test_MessageBoxA ;

jmp test_MessageBoxA;

好,烂尾了

经过测试,只能上线win7不在研究




红队技能-进程镂空(傀儡进程)

进程镂空(Process Hollowing)或称为傀儡进程

是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法

1、创建一个挂起合法进程
2、读取执行代码
3、获取挂起进程上下文与环境信息
4、卸载挂起进程内存
5、写入执行代码
6、恢复挂起进程

生成一个helloworld.exe

#include <Windows.h>
#include <stdio.h>
#include <iostream>

int main() {


	//调用MessageBoxA函数
	MessageBoxA(NULL, "1 hello world", "Tile", MB_OK);


	return 0;

}

image-20240303183521578

当我们执行代码时,原本的进程会启动cmd进程运行,并调用helloworld.exe

image-20240303182507946

查看变化流程,启动process进行监控!
image-20240303182656284

进程变化,会发现调用的cmd

image-20240303183801360

image-20240303183825933

image-20240303183837688

当然如果执行免杀🐎呢,会发现只有cmd.exe没有文件的名字了。

image-20240303184722540

image-20240303184741878

拿tcpview查看

第一下是找不到的,只有等到cs回联时会看到

image-20240303190838429

image-20240303192749988

如果直接执行马子呢,会发现这个文件的

image-20240303184929023






红队技能-APC注入&进程欺骗

APC全称为Asynchronous Procedure Call,叫异步过程调用,

是指函数在特定线程中被异步执行,在操作系统中是并发机制。

同步调用:

我们需要去烧水,首先我们先去需要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。这就是同步。

异步调用:

就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。

1、获取父进程PID
2、获取当前进程权限
3、创建并分配写入内存
4、写入SC并APC进行调用

image-20240303192534735image-20240303200552991

APC注入配合傀儡进程实现父进程欺骗

就上边结合就完了,不过360
GG

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1486840.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于springboot音乐翻唱与分享平台源码和论文

基于springboot音乐翻唱与分享平台源码和论文

1.1研究背景 随着网络不断的普及发展&#xff0c;音乐网站与分享平台依靠网络技术的支持得到了快速的发展&#xff0c;首先要从用户的实际需求出发&#xff0c;通过了解用户的需求开发出具有针对性的首页、音乐资讯、音乐翻唱、在线听歌、留言反馈、个人中心、后台管理、客服功…
阅读更多...
ABAP - SALV教程16 合计、小计

ABAP - SALV教程16 合计、小计

虽然ALV的标准状态栏功能就能实现合计、小计、平均值、最大值等这些功能&#xff0c;但用户更希望一进去ALV就希望ALV已经对数量&#xff0c;金额的字段进行合计&#xff0c;小计。SALV实现合计&#xff0c;调用CL_SALV_AGGREGATIONS的ADD_AGGREGATION即可 DATA(lo_aggrs) …
阅读更多...
[数据结构]链表OJ--环形链表判断是否有环(快慢指针法)

[数据结构]链表OJ--环形链表判断是否有环(快慢指针法)

141. 环形链表 - 力扣&#xff08;LeetCode&#xff09; 这里我采用的是快慢指针法,这是我认为最容易理解的方法,这个方法的思路是这样的. 我们可以定义两个指针一个快一个慢,如果这个链表有环,则快慢指针一定会相遇. 这里我画图举个例子: 我们很明显的可以看出,有环链表,快指…
阅读更多...
成功解决git clone遇到的error: RPC failed; curl 16 Error in the HTTP2 framing layer fatal: expected flush af

成功解决git clone遇到的error: RPC failed; curl 16 Error in the HTTP2 framing layer fatal: expected flush af

成功解决git clone遇到的error: RPC failed; curl 16 Error in the HTTP2 framing layer fatal: expected flush af 问题描述解决方案 问题描述 用git的时候可能会遇到这个问题&#xff1a; (base) zhouzikang7443-8x4090-120:~/project$ git clone https://github.com/123/12…
阅读更多...
Outlook邮箱IMAP密码怎么填写?账户设置?

Outlook邮箱IMAP密码怎么填写?账户设置?

Outlook邮箱IMAP密码是什么&#xff1f;Outlook如何设置IMAP&#xff1f; 许多用户会选择通过IMAP协议将邮箱与各种邮件客户端进行连接。而在设置过程中&#xff0c;填写IMAP密码是必不可少的一步。那么&#xff0c;Outlook邮箱的IMAP密码应该如何填写呢&#xff1f;接下来&am…
阅读更多...
Matlab 最小二乘插值(曲线拟合)

Matlab 最小二乘插值(曲线拟合)

文章目录 一、简介二、实现代码三、实现效果参考资料一、简介 在多项式插值时,当数据点个数较多时,插值会导致多项式曲线阶数过高,带来不稳定因素。因此我们可以通过固定幂基函数的最高次数 m(m < n),来对我们要拟合的曲线进行降阶。之前的函数形式就可以变为: 二、实现…
阅读更多...
【硬件工程师面经整理13_电容电阻电感等效电路】

【硬件工程师面经整理13_电容电阻电感等效电路】

1 电容/电阻/电感的等效电路 ①电容的等效电路是由一个电容和一个电阻组成的&#xff0c;其中电阻称为ESR&#xff08;Equivalent Series Resistance&#xff0c;等效串联电阻&#xff09;。在真实情况下&#xff0c;一个电容会被表示成由“一个电容一个电阻一个电感”组合而成…
阅读更多...
冒泡排序 和 qsort排序

冒泡排序 和 qsort排序

目录 冒泡排序 冒泡排序部分 输出函数部分 主函数部分 总代码 控制台输出显示 总代码解释 冒泡排序优化 冒泡排序 主函数 总代码 代码优化解释 qsort 排序 qsort 的介绍 使用qsort排序整型数据 使用qsort排序结构数据 冒泡排序 首先&#xff0c;我先介绍我的冒泡…
阅读更多...
解决虚拟机启动报错:“End kernel panic - not syncing: attempted to kill the idle task”

解决虚拟机启动报错:“End kernel panic - not syncing: attempted to kill the idle task”

原本能正常运行的虚拟机&#xff0c;很长一段时间没用后&#xff0c;今天再次启动&#xff0c;然后就出现下面的问题&#xff1a; 然后走了一些弯路&#xff0c;比如说删除该虚拟机然后新建一个虚拟机&#xff08;问题未解决&#xff09;、直接删除VitualBox重新安装&#xff0…
阅读更多...
wordpress外贸独立站

wordpress外贸独立站

WordPress外贸电商主题 简洁实用的wordpress外贸电商主题&#xff0c;适合做外贸跨境的电商公司官网使用。 https://www.jianzhanpress.com/?p5025 华强北面3C数码WordPress外贸模板 电脑周边、3C数码产品行业的官方网站使用&#xff0c;用WordPress外贸模板快速搭建外贸网…
阅读更多...
计算机指令、指令跳转原理

计算机指令、指令跳转原理

文章目录 前言存储程序型计算机代码怎么变成机器码&#xff1f;解析指令和机器码CPU 是如何执行指令的&#xff1f;CPU中的寄存器 if…else 来看程序的执行和跳转分析 通过 if…else 和 goto 来实现循环 前言 大家好我是jiantaoyab&#xff0c;这是我所总结作为学习的笔记第三篇…
阅读更多...
最新版风车IM通讯iosapph5三端源码及视频教程

最新版风车IM通讯iosapph5三端源码及视频教程

最新版风车IM通讯iosapph5三端源码及视频教程 1.宝塔环境如下: Nginx 1.20 Tomcat 8 MySQL 8.0 Redis 7 2.放行端口如下&#xff1a; 666 6600 6700 7000&#xff08;用作前端&#xff09; 7001&#xff08;用作后端&#xff09; 3.宝塔数据库添加数据库旁边有个ro…
阅读更多...
【大厂AI课学习笔记NO.62】模型的部署

【大厂AI课学习笔记NO.62】模型的部署

我们历尽千辛万苦&#xff0c;总算要部署模型了。这个系列也写到62篇&#xff0c;不要着急&#xff0c;后面还有很多。 这周偷懒了&#xff0c;一天放出太多的文章&#xff0c;大家可能有些吃不消&#xff0c;从下周开始&#xff0c;本系列将正常更新。 这套大厂AI课&#xf…
阅读更多...
随机背景个人引导页源码

随机背景个人引导页源码

随机背景个人引导页源码&#xff0c;每五秒进行淡进淡出切换背景图片&#xff0c;适合作为个人引导页。喜欢的朋友拿去吧 下载地址 https://www.qqmu.com/2357.html
阅读更多...
Vue开发实例(九)动态路由实现左侧菜单导航

Vue开发实例(九)动态路由实现左侧菜单导航

之前在【Vue开发实例&#xff08;六&#xff09;实现左侧菜单导航】文中实现了菜单的导航&#xff0c;本篇是在那个基础上改造的。 动态路由实现左侧菜单导航 一、动态菜单创建二、根据菜单数据来创建路由三、添加路由已加载标记&#xff0c;省的每次点击菜单都要加载 一、动态…
阅读更多...
Vscode安装,ssh插件与配置

Vscode安装,ssh插件与配置

原因 发现很多新人在练习linux&#xff0c;可是只有windows机的时候&#xff0c;一般都是下载虚拟机&#xff0c;然后在虚拟机上安装ubuntu等linux平台。每次需要在linux中写代码&#xff0c;就打开ubuntu&#xff0c;然后在终端上用vim写代码&#xff0c;或者先编辑代码文本&…
阅读更多...
51单片机-(中断系统)

51单片机-(中断系统)

51单片机-&#xff08;中断系统&#xff09; 了解51单片机中断系统、中断源、中断响应条件和优先级等&#xff0c;通过外部中断0实现按键控制LED亮灭为例理解中断工作原理和编程实现过程。 1.中断系统结构 89C51/52的中断系统有5个中断源 &#xff0c;2个优先级&#xff0c;…
阅读更多...
Elasticsearch:如何创建搜索引擎

Elasticsearch:如何创建搜索引擎

作者&#xff1a;Jessica Taylor 搜索引擎是生活中我们认为理所当然的事情之一。 每当我们寻找某些东西时&#xff0c;我们都会将一个单词或短语放入搜索引擎&#xff0c;就像魔术一样&#xff0c;它会为我们提供一个匹配结果列表。 现在可能感觉不那么神奇了&#xff0c;因为这…
阅读更多...
linux-fork习题

linux-fork习题

通过fork产生子进程后&#xff0c;在以下子进程中发生改变的时候不会引起父进程中相应的改变的有&#xff08;&#xff09; A 文件指针 B 局部变量 C 全局变量 D 静态变量 答案应该是无答案 linux下父进程创建子进程后&#xff0c;子进程会复制父进程的用户层空间的数据…
阅读更多...
安装Docker及DockerCompose

安装Docker及DockerCompose

0.安装Docker Docker 分为 CE 和 EE 两大版本。CE 即社区版&#xff08;免费&#xff0c;支持周期 7 个月&#xff09;&#xff0c;EE 即企业版&#xff0c;强调安全&#xff0c;付费使用&#xff0c;支持周期 24 个月。 Docker CE 分为 stable test 和 nightly 三个更新频道…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023