Powershell Command 免杀自动生成脚本
之前写的,用不到了基本,发博客里存下。
其实就是 CS生成的ps1文件,进行免杀处理,然后写了个自动化脚本,直接生成.bin文件去查看输出的powershell命令即可
之前学习免杀弄的,现在可能不免杀defender之类的了,但是360、火绒应该还是没问题的
下图CS原始生成的代码,进行免杀处理,还是比较容易的,网上很多思路,关于如何修改就不多说了,只是给个方便的脚本,然后替换自己的东西,我这个是xor然后写成数组进去的,网上还有很多思路,这个稍微改改就可以了,但是这个实战中很多webshell里面不好用,命令太长了。可以试试写bat里,要不然改完了就为ps1文件直接运行也可以。
解密其中的base64的代码如下,pwsh的base64有点区别
# powershell...
FrpMoModify--免配置文件版frp
渗透中常用的配置全部写入代码,可变的配置(如IP PORT) 改为指定参数
并且流量TLS加密无特征
思路是按照,之前的Uknow老哥的思路进行修改的,他改的写的工具都非常好,在这夸一波先
之前uknow老哥那个版本的,转发出来的端口没有加参数,一直是23333,我这个相当于也就是他那个版本的把这个给加入参数弄出来了,
前几天看到了老哥frp结合域前置,个人觉得没必要也就没有加
特征跟uknow老哥那个文章,去了一部分,所以他的叫FrpModify,我的叫FrpMoModify(抄就完事了),然后把一些该写死的写进去了,然后也没啥了,没加认证
Server:
Frps -p 7777
> -p 为bind_port
Client:
Frp...
CobaltStrike4.2
看到星球有人分享了CS4.2的破解版,下载回来拿到IDEA简单对比了一下,修改的地方挺多的
并且/resources里面的东西也进行了一些更改
多了一个wmiexec的obj文件,给BOF用的,具体不知道BOF为何物的请移步:
http://evilash.me/2020/08/18/BOF.html
之前很多文章提到的common.Authorization处的过期问题处还是false,可以注意一下进行修改
1.protected boolean valid = false;
只是简单看了一下jar,有没有后门还不确定
链接: https://pan.baidu.com/s/1vuIonuno3zt7mOf_9lUPfA 提取码: g7hi
隐藏IAT(导入表)敏感API笔记
前言
本篇文章在于介绍,一些免杀技巧,也是属于绕过静态查杀的范畴。本文大量图片直接拿来@倾旋师傅的图片,写得太好了,没什么可以修改的。
前置知识:
PE结构知识
Windows API
C/C++编程语言基础
导入地址表(IAT)
原理:
Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中,当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成.其中导入地址表就指示函数实际地址。
在PE结构中,存在一个导入表,导入表中声明了这个PE文件会载...
Windows API Hooking Learn Note
实验去Hook以及UnhookMessageBoxA,来了解WindowsAPI的Hooking技术,当然也可以尝试实验任意函数
API hooking 是一种让我们监测和修改API调用的技术,Windows API hooking也是AV/EDR用来确定代码是否恶意的技术之一。
本文参照链接:https://resources.infosecinstitute.com/topic/api-hooking/的实验去理解
实验:
编写一个C++程序,整体的工作方式如下:
Get memory address of the MessageBoxA function
Read the first 6 bytes of the MessageBox...
NTLM利用探索
NTLM 利用探索
本文总结了互联网上对于NTLM的利用方式,并结合原理给出自己的理解。主要抓包分析了XXE触发NTLM认证从而进行Net-NTLM Reflect,并大致总结了其他方式获取Net-NTLM Hash的方式,过程中在不断补充理解,以及涉及到的协议知识。获得Net-NTLM Hach可以破解或者去重放,去中继其他机器。本文的章节顺序其实有些没有条理,因为是一边参考文章一边添加自己的理解而成文的,可能阅读起来有些跳跃,以及需要一些前置知识,不过还是有很多点还是值得阅读的,阅读并思考,相信会有所收获 : )
注:本文只探讨利用方式,关于NTLM的原理还需自己参考文章思考理解原理,网上的文章大同小异,这里不再赘述。
SMB通信采用的是NTLM验证机制
其实就是中继的Ne...
NTLM学习笔记
0x01 LM Hash & NTLM Hash
windows内部是不保存明文密码的,只保存密码的hash。
其中本机用户的密码hash是放在 本地的SAM文件 里面,域内用户的密码hash是存在域控的NTDS.DIT文件里面
在Windows系统导出密码的时候,经常看到这样的密码格式
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
其中的AAD3B435B51404EEAAD3B435B51404EE是LM Hash
31D6CFE0D16AE931B73C59D7E0C089C0是NTLM Hash
1. LM Hash
全称是LA...
Mimikatz学习系列(1)——你使用Mimikatz到底抓到了什么?
我们最最经常用到的模块就是sekurlsa,这个模块可以从lsass.exe (Local Security Authority Subsystem Service)的内存中中提取密码、密钥、tickts等
在使用lsass这个进程的时候,mimikatz需要一些权限:
Administrator权限, 获取调试权限的命令: privilege::debug
如果在一些后渗透工具中,你已经是SYSTEM权限了,就不需要去执行上述的命令
如果你没有访问lsass进程的权限,那你就抓不到密码,并显示如下错误:ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005),当然除了使用minidump去提取转...
38 post articles, 5 pages.