Mr.x SecHub网络安全社区
SecHub网络安全社区
微信号 secevery0x01
功能介绍 隶属于SecHub网络安全社区,致力于研究渗透测试、红蓝对抗、应急响应、实战案例、钓鱼社工、和漏洞分析,定期分享实战案例、技术教程、安全工具等前沿网络安全资源。
__发表于
收录于合集 #渗透工具 57个
点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
**添加星标不迷路
**
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
C++基于各种EDR规避技术的自注入Shellcode生成器。
这个项目包括一个简单的C++自我注入滴管专注于EDR规避POC。为了实现它,我结合使用Windows Thread Pooling来隐藏调用堆栈,并使用indirect syscalls来避免NTDLL中的挂钩。
从图像中可以看出,从Cordyceps代码中,它执行跳转到ntdll以利用其中一个syscall指令。这应该被视为恶意操作;但是,在执行ntdll中的返回时,我们返回到位于ntdll中的tpWorker代码。因此,从防病毒(AV)的角度来看,ntdll似乎正在调用ntdll的另一部分,这不被视为恶意。
-
实现自动搜索系统调用号的机制。
-
内存有效载荷解密。
nasm -f win64 ./syscalls.asm -o ./syscalls.obj
g++ -o cordyceps.exe main.cpp syscalls.obj
此POC是为Windows 10开发的。要在真实的环境中使用它,系统调用应该适应相应的Windows版本。
项目地址 ****
https: //github.com/pard0p/CallstackSpoofingPOC
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
联系方式
电话|010-86460828
关注我们
公众号: sechub安全
哔哩号: SecHub官方账号
预览时标签不可点
微信扫一扫
关注该公众号
轻触阅读原文
继续滑动看下一个
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看