bilibili图片隐写加载shellcode工具

admin

102755
文章

87
评论

2023年8月7日11:29:44评论75 views字数 1331阅读4分26秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

工具介绍

bimg-shellcode-loader是一个使用bilibili图片隐写功能加载shellcode的工具。当然你可以使用任何地方的图片。

在调研C2通讯方式时，发现有一个有师傅使用了bilbili图片隐写功能加载shellcode，觉得这个方法很有意思，就自己写了一个工具，添加了反沙箱功能。

如果这个项目对你有帮助，欢迎star。

使用步骤

1. 生成包含隐写信息的图片

使用generate.go生成包含shellcode的图片，生成的图片为out_file.png。

在generate.go同级目录下存放shellcode文件，文件名为shellcode.bin；图片为img.png，随后用运行generate.go生成out_file.png。

go run generate.go

2. 上传图片到bilibili

登陆访问创作中心，点击上传图片，把生成的图片上传上去。

https://member.bilibili.com/platform/upload/text/edit

通过浏览器开发者工具，查看上传图片的请求，找到图片的返回地址，复制下来。

把图片地址填入到shellcodeLoader.go中的imgUrl变量中。

3. 编译加载器

CGO_ENABLED=0 GOOS=windows GOARCH=amd64 GOPRIVATE=* GOGARBLE=* garble -tiny -literals -seed=random build -ldflags  "-w -s -buildid= -H=windowsgui" -buildmode="pie"

免杀效果

只测试了360和微步

微步反沙箱，判断当前系统壁纸，如果是沙箱内的壁纸就退出。大家有遇到的沙箱或者分析机，提取壁纸的md5放入列表中。

md5List := []string{"fbfeb6772173fef2213992db05377231", "49150f7bfd879fe03a2f7d148a2514de", "fc322167eb838d9cd4ed6e8939e78d89", "178aefd8bbb4dd3ed377e790bc92a4eb", "0f8f1032e4afe1105a2e5184c61a3ce4", "da288dceaafd7c97f1b09c594eac7868"}

微步沙箱检测通过0/24，并且没有检测到网络通信。

下载地址

点击下方名片进入公众号

回复关键字【2385】获取下载链接

信安考证

需要考以下各类安全证书的可以联系我，价格优惠、组团更便宜，还送【潇湘信安】知识星球1年！

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推荐阅读

bilibili图片隐写加载shellcode工具

原文始发于微信公众号（潇湘信安）：bilibili图片隐写加载shellcode工具

左青龙
微信扫一扫

右白虎
微信扫一扫

bilibili图片隐写加载shellcode工具

2. 上传图片到bilibili

3. 编译加载器

Deswing ：图形化Java反序列化利用工具，集成Ysoserial

【红队】一款集成多个测绘平台的图形化工具：Search_Viewer

工具分享-微信多种凭证泄露检测工具(尝鲜版)

mRemoteNG自动化解密工具

一个IP资产风险巡查工具

One-Fox工具箱V7.2更新包

远程桌面键盘记录器

你与大佬的区别只差一份字典

禅道最新身份认证绕过漏洞利用工具

Google的url采集工具

发表评论

在线咨询

微信