展开

关键词

一种 Au3 木马变种样本分析

一种 Au3 木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 可以认为,该新型木马变种的作者在原有的利用代码框架上,进行了增配和强化,使其完全具备木马的功能。 3.4 行为 得到 inject.dll 后,发现该模块为 C# 源码编写,用 dnSpy 载入分析发现,木马运行时,首先建立与服务器的心跳包连接,将受害者主机的基本信息回传到木马服务器。 0x05 攻击来源分析 攻击者使用的服务的 IP 地址为 192.68.x.x ,所在地为瑞典,使用的通讯协议为 tcp ,端口 7771: ? 根据第三方情报数据显示,该端 IP 早在 2016 年就被捕获过可疑行为: ? ?

1K70

安卓手机

metasploit下实现安卓的模拟实验 今天非常非常无聊,就模拟了一下安卓手机木马,直接开干! 监听前的准备工作     使用metasploit准备监听 第五步:     监听 既然连接到手机了,那接下来的事情就是自己发挥了 当然,所有的实验均是在模拟器上进行,属于局域网.如果实现外网手机

21830
  • 广告
    关闭

    开发者专享福利,1988元优惠券限量发放

    带你体验博客、网盘相册搭建部署、视频渲染、模型训练及语音、文字识别等热门场景。云服务器低至65元/年,GPU15元起

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Ares:基于Python的BS

    Ares 前言 本文介绍一个比较有意思的基于Python的远程控制工具Ares。 Ares采用B/S架构,基于Python2,Server端使用Flask进行开发,整体在浏览器就可以轻易操作。 第二节 优势与不足 这个使用Python开发的B/S,整体来说实现一个的基本功能。 pyinstaller带包成二进制文件 使用http协议进行交互,防火墙不会拦截 不足: 使用py2开发,不兼容py3 并发性差 循环采用http询问,效率低下,容易被发现 http数据域没有被加密,保密性差 打算对这个进行重写

    93130

    一款木马分析

    样本信息 样本名称: 94251089D878B5C45A763B205062B60CC4D7D0A1CD4CAB3CAA38D8E6A43ECB11 样本大小:893.13KB MD5:ba46b18f05ab2b24df26e343dd32946b 至此,基本判断为这是个木马,进入函数sub403190()。程序首先解密出相关的dll,函数名称,并获得函数地址,方便接下来的函数使用。 ? ? ? 功能。获取本机IP地址: ? 然后传入其他两个域名参数,再次进入函数: ? 至此病毒简单的分析完毕,在功能部分中,病毒作者以熟悉、简单的英文甚至中文拼音来命名功能函数,帮助我们节省大量的时间,如果作者没有这样命名的话,我们也可以采用OD动态调试观察。 若以后接触了多的话,功能部分可以适当跳过,因为大同小异,没必要浪费时间! 五 病毒行为流程总结 ?

    58620

    大灰狼木马源码分析

    大灰狼远程控制木马是一个较为常见的工具,不同的木马病毒团伙对其定制改造后发布了诸多变种。本章将从启动过程、通信协议、功能三个方面逆向分析该木马的实现原理。 图 16-1 虚拟调试环境 VMware Workstation 界面 配置好虚拟机后请不要急于调试和分析病毒样本,我们需要先做快照备份,用于虚拟调试环境的还原工作。 对病毒样本进行简单分析后,我们确定了分析的方向,接下来就要使用 IDA 分析病毒样本的程序,分析后的结果如图 16-3 所示。 16.5 功能分析 功能分析如代码清单 16-5 所示。 有了对大灰狼木马的分析,读者可以根据病毒的实现原理,编写对应的修复、防御工具,制作针对大灰狼木马的专杀软件。 本文摘编自《C++反汇编与逆向分析技术揭秘(第2版)》,经出版方授权发布。

    1.4K40

    应急响应之大灰狼分析

    目标IP:139.159.227.182,使用微步对该IP进行分析,发现该IP服务器存在病毒样本数据,详细如下: ? 确认该信息后,使用杀软对系统进行病毒查杀,但并未发现异常: ? 对此不太甘心,因此做了一下操作: 在防火墙封锁该IP,禁止与互联网进行通信; 进入系统对进程信息进行分析,判断是否存在问题; 对外联流量的对象系统进行渗透; 第二章、大灰狼木马分析 使用process

    84320

    当心,安卓(spynote)升级了……

    最近在某国外论坛上流出一款安卓spynote3.2版本,以前freebuf上有人发过spynots2.4版的,不过现在已经升级了,功能变得更加强大,危害更严重。 和以前的几个android相比(droidjack, android RAT, dendroid)相比,此次的更新亮点不多,只不过是对现在的安卓升级版本的跟进而已。 可以看到,和以往的一样,做好端口映射,定制图标,包名,版本号等等,还可以和别的apk文件捆绑,不过经测试好像有bug,并不能正常使用。生成带木马的apk文件,安装之后上线。

    1.5K80

    Kage——msf可视化平台

    Kage,一个把msf变成可视化平台的工具。 项目地址 https://github.com/WayzDev/Kage/ 下载安装 点我下载哈~ 下载后,给予运行权限。 /Kage.0.1.1-beta_linux.AppImage image.png 输入账号和密码 以及对应的端口 登录成功后如下所示 image.png 我们可以利用命令生成木马,也可以在平台上生成木马

    24810

    杂说---总有一款适合你

    你我相识,我们一同探索开源神器,如果喜欢小编,就赶紧关注我们, 让我们一起成长吧 部分图片 下面的图片展示了一部分的图片,里面包含了很多很多好玩有不错的事情。 ? ? ? ? 大集合列表 优秀神器大杂烩 https://github.com/quasar/QuasarRAT https://github.com/TheSph1nx/RT-101 https://github.com njRAT-v0.7d https://github.com/zerosum0x0/koadic 恶作剧型 https://github.com/NYAN-x-CAT/Lime-RAT 敲诈加密软件 手机 https://github.com/The404Hacking/AndroRAT 其他大集合 https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp https

    1.2K20

    TPYBoard v202 智能WIFI小车

    之前有过用TPYBoard v102制作的各种各样功能的智能小车,比如自动寻迹、自动避障、手机蓝牙遥控等。想着还缺个WIFI控制的,那就用TPYBoard v2...

    51010

    免杀专题-shellcode免杀实践

    目前网上有很多的自动生成免杀shellcode的工具,但是要知道杀毒软件检测某个免杀工具也是非常容易的,因为这些流行工具的指纹很容易被杀软公司搜集到然后加入特征...

    1.2K10

    自己动手编写工具及检测思路

    来自 | FreeBuf PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负 在学习攻击渗透的过程中,不免会接触工具。 现有的工具很多,从大名鼎鼎的冰河到CHAOS。 本文详细介绍了一款最小功能集的工具的实现细节,按照步骤动手实现,不仅可以对于工具的背后思路有了更深的体会,也可以巩固自己在多线程、网络编程等方面的知识。 一、总体结构 ? 图1.总体结构 同一般的工具一致,我们要实现的这款工具也是包含服务端和客户端。 服务端运行在VPS主机上,监听443端口。 由于我们的这款工具只是学习使用,所以不考虑绕过杀软的方法,使用写注册表的方式将自己设置为开机自启动: ?

    26420

    看我如何揪出背后的幕后黑手

    微步一查此IP,被人举报过,确定是老黑的服务器,并且能ping通,基本确定下来了,是木马的监听端口。 ? ? 于是我在外网搭建了CobaltStrike,正式向老黑发起了战争。CobaltStrike的搭建请参考:http://suo.im/54mIL9。 等了两天我的CobaltStrike没有反应,可能也是比较狡猾吧,并没有我想象的那么顺利,闲来无事,晚上找了一个压力测试平台,先把老黑的木马服务器打宕机吧。 ? 哈哈,今天又是一大波收获,计算上的各种远程服务器的密码、Chrome网站密码、其中最重要的木马服务器账号密码全部搞出来了。 ? ? 0x09 成功登上木马服务器 使用抓取出来的账号与密码登录木马服务器。老黑原来使用的是DarkComet­RAT, 上面被控的机器还真不少。 ?

    70620

    低版本某RCELPE漏洞复现

    之前刚发这篇文章不久就被要求删除了,最近官方应该也都修的差不多了,所以再重新发一遍,仅供参考!!!

    7030

    介绍一个安卓木马

    今天就体验一下这款安卓木马 工具: java的运行环境 AhMyth Android RAT应用程序 我的系统:ubuntu18.04 安装: 方式一: 源代码编译: git clone https sudo npm start 方式二: 二进制文件安装: 从https://github.com/AhMyth/AhMyth-Android-RAT/releases下载二进制文件 下载AhMyth_linux64 .deb sudo dpkg -i AhMyth_linux64.deb sudo /usr/local/bin/ahmyth 软件截图 ?

    12.7K10

    Python3实现ICMP后门(上)

    ICMP后门 前言 这几天一直在研究木马的一些通信协议,比如TCP,UDP,ICMP,DNS,HTTP等等,对于TCP,UDP这两种就不讲解了,因为太常见了。 本次就以ICMP协议进行分析,并使用Python开发出一个ICMP后门,在写这篇文章的之前,我感觉大家对ICMP协议肯定不会很了解,因此将ICMP后门的实现分成几篇进行讲解,循序渐进。

    73230

    红队作业 | Python实现免杀

    文章来源|MS08067 红队培训班 第4期 本文作者:学员A(红队培训班4期学员 按老师要求尝试完成布置的作业如下: 要想实现简易,说的详细点就是反弹shell,首先要解决三个问题: 1.与服务端建立 nc -lvvp 6666监听本地端口(版本问题 这里我的命令是lvv),用到工具netcat(瑞士军刀),端口连接/传shell/传文件/传信息的神器 服务端执行以上代码 0x02 代码小结 简单的

    33120

    基于对象存储隧道的工具开源啦

    简介 Lucian(中文名卢锡安)是一款开源的跨平台网站管理工具 不同于市面上其他工具,虽然支持各项协议的如dns、https、tcp、smtp层出不穷,但是一、各种对Cobra Strike 在使用内部的endpoint时可以无对外流量产生 使用云bucket作为数据和命令的跳板作为中转,无需cc服务器,保护安全测试人员 适配国内外主流云厂家的应用场景,已经实现的功能有: 支持windows、linux

    41141

    RCE绕过某数字的利用方式

    群友在某次项目测试中遇到一个存在向日葵远程命令执行漏洞的IP,目标环境Windows2016+360+Wdf,由于存在360而无法通过向日葵漏洞利用工具执行命令...

    6710

    扫码关注腾讯云开发者

    领取腾讯云代金券