N!bilibili图片隐写加载shellcode工具

admin
admin
admin
138924
文章
114
评论
2023年11月14日00:24:28评论136 views字数 1094阅读3分38秒阅读模式
 

工具介绍

bimg-shellcode-loader是一个使用bilibili图片隐写功能加载shellcode的工具。当然你可以使用任何地方的图片。
在调研C2通讯方式时,发现有一个有师傅使用了bilbili图片隐写功能加载shellcode,觉得这个方法很有意思,就自己写了一个工具,添加了反沙箱功能。
如果这个项目对你有帮助,欢迎star。

使用步骤

1. 生成包含隐写信息的图片

使用generate.go生成包含shellcode的图片,生成的图片为out_file.png。

在generate.go同级目录下存放shellcode文件,文件名为shellcode.bin;图片为img.png,随后用运行generate.go生成out_file.png。
go run generate.go
2. 上传图片到bilibili

登陆访问创作中心,点击上传图片,把生成的图片上传上去。

https://member.bilibili.com/platform/upload/text/edit
N!bilibili图片隐写加载shellcode工具

 

通过浏览器开发者工具,查看上传图片的请求,找到图片的返回地址,复制下来。
N!bilibili图片隐写加载shellcode工具

 

把图片地址填入到shellcodeLoader.go中的imgUrl变量中。
N!bilibili图片隐写加载shellcode工具

 

3. 编译加载器
CGO_ENABLED=0 GOOS=windows GOARCH=amd64 GOPRIVATE=* GOGARBLE=* garble -tiny -literals -seed=random build -ldflags  "-w -s -buildid= -H=windowsgui" -buildmode="pie"
免杀效果

只测试了360和微步
N!bilibili图片隐写加载shellcode工具

微步反沙箱,判断当前系统壁纸,如果是沙箱内的壁纸就退出。大家有遇到的沙箱或者分析机,提取壁纸的md5放入列表中。

md5List := []string{"fbfeb6772173fef2213992db05377231", "49150f7bfd879fe03a2f7d148a2514de", "fc322167eb838d9cd4ed6e8939e78d89", "178aefd8bbb4dd3ed377e790bc92a4eb", "0f8f1032e4afe1105a2e5184c61a3ce4", "da288dceaafd7c97f1b09c594eac7868"}

 

微步沙箱检测通过0/24,并且没有检测到网络通信。

N!bilibili图片隐写加载shellcode工具
N!bilibili图片隐写加载shellcode工具

 

下载地址

https://github.com/intbjw/bimg-shellcode-loader

 

原文始发于微信公众号(Hack分享吧):N!bilibili图片隐写加载shellcode工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月14日00:24:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   N!bilibili图片隐写加载shellcode工具https://cn-sec.com/archives/2200200.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息