渗透测试之地基流量加密篇:Nim语言免杀所有杀软

访客4年前关于黑客接单1109

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式 *** ,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

Nim(最初叫 Nimrod)是一门命令式静态类型编程语言,可以被编译成 C 或 JavaScript。它是开源的,维护很活跃,还结合了来自成熟语言(如Python,Ada和Modula)的成功概念。

Nim具有高效性,生成的执行文件小,编译器支持所有平台,非常适合嵌入式硬实时系统,支持各种后端编译等等,Nim强大的宏系统和独立性,接下来将介绍如何利用Nim配合C、C++和Winim进行免杀。

演示非常详细,共演示14种 *** ,存在12种 *** 能过杀软拿到权限,其中5种 *** 能免杀2021年如今所有杀软,从初部署环境到利用凯撒和三重数据加密算法进行最终免杀的过程,以及如何分析底层代码,如何修改底层代码 *** 的过2021年(所有操作均有时间截图)如今所有杀软的过程。

二、环境介绍

1608213735_5fdb64e7aa0655a649f8f.png!small?1608213737710

黑客(攻击者)

IP:192.168.175.145

系统:kali.2020.4

windows 2019系统是黑客用于Nim编程 *** 免杀exe的系统。

VPS服务器:

此次模拟环境将直接越过VPS平台,已成功在VPS上进行了钓鱼行为。

办公区域:

系统:windwos 10

IP:192.168.2.142

存在:360、360杀毒、火绒、deferencer,以及全球和全国杀软平台检测。

目前黑客通过kali系统进行攻击行为,通过钓鱼获得了对方的权限后,发现对方电脑上存在360、360杀毒、火绒、deferencer直接被杀软进行了查杀,无法进行反弹shell获得权限,如今将演示利用Nim框架配合C、C++、Winim语言进行凯撒和三重加密,以及底层分析生成免杀exe,并控制对方的过程。

三、环境部署

在Windows server 2019系统环境进行开始部署:

1、部署Nim环境

Nim官网:

https://nim-lang.org/install.html

1611718697_6010e029533c85d4ea580.png!small?1611718697964
进来选择点击Windows。

1611718703_6010e02fc1c027ed28648.png!small?1611718704721
选择点击Download x86_64.zip下载。

1611718711_6010e0373e8a73ea3c23c.png!small?1611718715065
复制bin目录地址。

1611718717_6010e03da3aeafb3ba527.png!small?1611718721441
将加入环境变量。

1611718724_6010e04441318b04dff29.png!small?1611718727762
在Cmd命令窗口输入Nim,看图红框提示成功安装。

2、安装C、C++编译器

Nim编译器需要C编译器才能编译软件。nim-1.4.2_x64文件夹包含一个简单应用程序finish.exe,可以点击finish.exe用来安装MingW。由于国内 *** 问题,我不推荐使用在线方式下载方式,建议离线方式提前下载并解压,配置环境变量。
1611718734_6010e04e2a1611e51d585.png!small?1611718740043
双击打开finish.exe。

1611718740_6010e0545e207b4334eac.png!small?1611718742220
输入确认Y,等待下载完成即可。

1611718745_6010e059ace9339924bd9.png!small?1611718747628
下载完成后会Nim包自带7z压缩工具,会自动解压到目录下。

1611718751_6010e05ff3666bee81513.png!small?1611718756130
等待解压完成进入该目录:C:\Users\dayu\Desktop im-1.4.2_x64 im-1.4.2\dist\mingw64\bin,复制该目录。

1611718759_6010e06721f8a6efb0c4e.png!small?1611718766472
将目录加入环境变量,然后检查成功安装完成C和C++。

3、下载NimShellCodeLoader

项目地址:

https://github.com/aeverj/NimShellCodeLoader/releases/tag/0.2

1611718778_6010e07ae7dc6fb7dbbb5.png!small?1611718779831
下载NimShellCodeLoader_Winx64.zip

1611718797_6010e08d99ed9ef92ccae.png!small?1611718813677
下载加压后来到encryption目录下,进行编译:

成功编译。

1611718806_6010e096093926b23866b.png!small?1611718813678
编译完成后来到主目录双击codeLoader.exe打开图形化界面。

四、Nim免杀详细测试

接下来将介绍14种免杀 *** ,其中12种是可拿权限的,5种是过任何杀软的,开始!

1、CS生成payload

1611718814_6010e09e9083ba2a2b677.png!small?1611718816237
首先打开Cobalt Strike输出生成Raw的payload.bin后门文件。

1611718821_6010e0a59551defc1dc14.png!small?1611718827400
然后将payload.bin拖入界面。

2、Nimshellcode界面详解

1611718829_6010e0ad9b6d7ea7ce722.png!small?1611718832521
可看该图,细致的讲解了每个界面的用法。

详细讲解了界面,这里编译使用的命令会在最后如果底层分析讲解。

3、十四种免杀演示

Nimshellcode特点是支持两种加密技术,分别位3des加密和凯撒密码,密钥随机每次生成文件拥有不同hash!!

1. 入口点劫持加载

1611718848_6010e0c0ae18f58e77e66.png!small?1611718853102
利用入口点劫持注入加载生成凯撒和三重加密的随机生成的EXE文件。

1)入口点劫持- Caesar

相关文章

有些人问:我需要历经一个哪些的过程,才可以真实的变成一名网络

有些人问:我需要历经一个哪些的过程,才可以真实的变成一名网络黑客?我只是一个新手,把全部的网站渗透都学精,必须大约多长时间時间?实际上这两个难题可能是全部新手都最关注的。...

世界10大顶尖黑客(世界十大顶级黑客)

世界10大顶尖黑客(世界十大顶级黑客)

本文目录一览: 1、全球最厉害的黑客组织 2、世界十大网络黑客都有哪些人? 3、世界上最顶尖的黑客能厉害到什么程度 4、世界十大黑客排行榜 5、世界顶尖黑客都是谁? 6、世界上顶级...

投资游乐设施(大型游乐设施)

一、前期调查在投资室内儿童游乐场前,建议多去参观一些运营比较成功的儿童游乐场,然后根据自己的调查结果落实场地面积、目标消费群体以及游乐场的主题等信息。 (1)由题意得:x=1时y=2;x=2时,y=6...

大理石花岗岩的中国主要产地(横空出世的中国花岗岩之都)

  在中国,花岗岩矿产资源遍布各地,但岑溪——一个地处桂东南的小县城,抓住了上世纪80年代全球天然石材跨越式发展的机遇,为当地花岗岩石材赋予了一个富于内涵的新名字——“岑溪红”。   从此,岑溪的经济...

助眠直播全网下线,女主播称失业_插件

11月10日消息 据网友反映,11月8日B站将所有的助眠或催眠的电台、视频全部下线,而此前斗鱼和虎牙也已经封禁助眠直播,因此目前这类直播相当于被全网下线了。 相信很多人也像IT之家小编一样,首次...

对黑客联盟的态度(你对黑客的看法)

对黑客联盟的态度(你对黑客的看法)

本文目录一览: 1、中国顶级黑客,为报南海王伟撞机之仇,将国旗插到了白宫上,他是谁? 2、如何正确对待黑客? 3、谈谈你对电脑“黑客”的看法 中国顶级黑客,为报南海王伟撞机之仇,将国旗插到了...