使用 rundll32 执行 shellcode 文件

admin 2024年11月6日14:05:08评论8 views字数 422阅读1分24秒阅读模式

使用 rundll32 执行 shellcode 文件

描述

基于 HWSyscalls 的 DLL Shellcode 自注入器/运行器,理想情况下被认为是使用 rundll32 执行的。如果受害者端点有权访问攻击者控制的 SMB 共享,则可能授予无文件执行。

用法

rundll32.exe ExecIT.dll, HelperFunc, <path_to_file>

使用 rundll32 执行 shellcode 文件

检测

截至目前,它在所有经过测试的 EDR(取决于 shellcode)中都完全未被发现

例如,对于 Defender for Endpoint EDR:

使用 rundll32 执行 shellcode 文件

免责声明

本存储库中提供的信息/文件仅用于教育和道德目的。这些技术和工具旨在以合法和负责任的方式使用,并得到目标系统所有者的明确同意。严禁未经授权或恶意使用这些技术和工具,否则可能导致法律后果。对于因滥用所提供信息而可能产生的任何损害或法律问题,我概不负责

项目地址:

https://github.com/florylsk/ExecIT

原文始发于微信公众号(Ots安全):使用 rundll32 执行 shellcode 文件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日14:05:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用 rundll32 执行 shellcode 文件http://cn-sec.com/archives/3363371.html

发表评论

匿名网友 填写信息