74 lines
2.1 KiB
Markdown
74 lines
2.1 KiB
Markdown
# RmExecute
|
||
|
||
Remote Download and Memory Execute for shellcode framework
|
||
|
||
远程下载并内存加载的ShellCode框架,已经支持x64
|
||
|
||
# 参(抄)考(袭)项目
|
||
|
||
## [windows下shellcode提取模板的实现](https://bbs.pediy.com/thread-229398.htm)
|
||
|
||
主要抄袭来源,直接使用这位大佬的shellcode框架,并且强烈推荐看下他文章内的doc,分析的非常好
|
||
|
||
## [PIC_Bindshell](https://github.com/mattifestation/PIC_Bindshell)
|
||
|
||
windows api hashing部分直接搬过来的
|
||
|
||
## [ReflectiveDLLInjection](https://github.com/stephenfewer/ReflectiveDLLInjection)
|
||
|
||
准备抄袭
|
||
|
||
## [开(犯)发(罪)过程](https://9bie.org/index.php/archives/750/)
|
||
|
||
# 效果图
|
||
|
||
![bypassAV](Image/bypassAV.jpg)
|
||
|
||
# How to use
|
||
|
||
## 开箱即用
|
||
|
||
修改`ShellCode.cpp->StartSCode`函数中的host和path改为您的域名和木马文件即可,之后使用`Release`模式运行,即会在目录下生成`123.bin`文件,之后使用`EXE_RUN_MT`模式编译运行即可加载`123.bin`文件
|
||
|
||
或是自行调用`123.bin`文件
|
||
|
||
## 添加API
|
||
|
||
使用目录下的`Get-FunctionsHash.ps1`脚本添加API HASH到hash.h
|
||
|
||
![计算HASH](Image/hash.png)
|
||
|
||
之后在`API.H`中添加相关WINAPI 函数指针,作为搜索地址后调用的方式,之后在`API.H->FUNCTIONS`结构体中添加相关成员
|
||
|
||
之后在`Tool.h->RmExecute::Initfunctions`函数中调用
|
||
|
||
```c
|
||
char szUser32[] = { 'u', 's', 'e', 'r', '3', '2', '.', 'd', 'l', 'l', 0 };
|
||
pfn->fnLoadLibraryA(szUser32);
|
||
pfn->fnMessageBoxA = (pfnMessageBoxA)GetProcAddressWithHash(HASH_MessageBoxA);
|
||
```
|
||
搜索函数来加载WINAPI。
|
||
|
||
之后就可以使用
|
||
`fn.fnMessageBox(0, "text", "text", MB_OK);`这样形式来调用winapi了。
|
||
|
||
|
||
## 字符串相关
|
||
|
||
参考第一个引用的文章链接,字符串必须要使用`{'a','b','\0'};`这样子的立即数形式
|
||
|
||
# 进阶 (很快)
|
||
|
||
## 使用XOR加密字符串
|
||
|
||
隐藏loadlibrary特征和url特征,更不容易被发现
|
||
|
||
## 反射DLL加载技术
|
||
|
||
完全不使用LoadLibrary,ProcessExplorer、procexp64等工具无法检测到这个dll,同时让程序变得模块化
|
||
|
||
## 纯shellcode加载
|
||
|
||
太奢侈了我就是想想
|
||
|