Ecosyste.ms: Awesome
An open API service indexing awesome lists of open source software.
https://github.com/9bie/exe2shellcode
Remote Download and Memory Execute for shellcode framework
https://github.com/9bie/exe2shellcode
Last synced: 21 days ago
JSON representation
Remote Download and Memory Execute for shellcode framework
- Host: GitHub
- URL: https://github.com/9bie/exe2shellcode
- Owner: 9bie
- Created: 2021-02-22T14:15:48.000Z (almost 4 years ago)
- Default Branch: master
- Last Pushed: 2022-11-06T18:08:39.000Z (about 2 years ago)
- Last Synced: 2024-08-05T17:25:18.004Z (4 months ago)
- Language: C
- Size: 169 KB
- Stars: 86
- Watchers: 7
- Forks: 20
- Open Issues: 1
-
Metadata Files:
- Readme: readme.md
Awesome Lists containing this project
- awesome-hacking-lists - 9bie/exe2shellcode - Remote Download and Memory Execute for shellcode framework (C)
README
# RmExecute
Remote Download and Memory Execute for shellcode framework
远程下载并内存加载的ShellCode框架,已经支持x64
# 参(抄)考(袭)项目
## [windows下shellcode提取模板的实现](https://bbs.pediy.com/thread-229398.htm)
主要抄袭来源,直接使用这位大佬的shellcode框架,并且强烈推荐看下他文章内的doc,分析的非常好
## [PIC_Bindshell](https://github.com/mattifestation/PIC_Bindshell)
windows api hashing部分直接搬过来的
## [ReflectiveDLLInjection](https://github.com/stephenfewer/ReflectiveDLLInjection)
准备抄袭
## [开(犯)发(罪)过程](https://9bie.org/index.php/archives/750/)
# 效果图
![bypassAV](Image/bypassAV.jpg)
# How to use
## 开箱即用
修改`ShellCode.cpp->StartSCode`函数中的host和path改为您的域名和木马文件即可,之后使用`Release`模式运行,即会在目录下生成`123.bin`文件,之后使用`EXE_RUN_MT`模式编译运行即可加载`123.bin`文件
或是自行调用`123.bin`文件
## 添加API
使用目录下的`Get-FunctionsHash.ps1`脚本添加API HASH到hash.h
![计算HASH](Image/hash.png)
之后在`API.H`中添加相关WINAPI 函数指针,作为搜索地址后调用的方式,之后在`API.H->FUNCTIONS`结构体中添加相关成员
之后在`Tool.h->RmExecute::Initfunctions`函数中调用
```c
char szUser32[] = { 'u', 's', 'e', 'r', '3', '2', '.', 'd', 'l', 'l', 0 };
pfn->fnLoadLibraryA(szUser32);
pfn->fnMessageBoxA = (pfnMessageBoxA)GetProcAddressWithHash(HASH_MessageBoxA);
```
搜索函数来加载WINAPI。之后就可以使用
`fn.fnMessageBox(0, "text", "text", MB_OK);`这样形式来调用winapi了。## 字符串相关
参考第一个引用的文章链接,字符串必须要使用`{'a','b','\0'};`这样子的立即数形式
# 进阶 (很快)
## 使用XOR加密字符串
隐藏loadlibrary特征和url特征,更不容易被发现
## 反射DLL加载技术
完全不使用LoadLibrary,ProcessExplorer、procexp64等工具无法检测到这个dll,同时让程序变得模块化
## 纯shellcode加载
太奢侈了我就是想想