Code Monkey home page Code Monkey logo

Comments (7)

Z3ratu1 avatar Z3ratu1 commented on June 30, 2024

一开始是因为看到geacon那个项目一时兴起进行的扩展,本身就是一个win上简单攻击性技巧的学习项目。。。
由于go本身就能交叉编译,实现了功能之后编译成各种版本分发就可以了,也不算是专注哪个平台吧。并且我感觉linux本身不需要太多的功能,我觉得有命令执行进程管理文件管理就差不多了(主要是没见过linux的杀软,所以进程迁移之类的也都不熟悉,mac实战没见过,不会钓鱼)。扩展的奇怪功能大多都是windows下才能提供的,并且有时候有这种硬性需求。win下CS的一大问题就是被各种杀软追着打咯,后来和朋友一起加强了一下写了个免杀程度高一点的pro版项目,不过感觉影响不好最后撤掉了
师傅要是有什么linux方面的功能改进可以提

from geacon_plus.

OFalwl avatar OFalwl commented on June 30, 2024

你说的这句话是正确的,(并且我感觉linux本身不需要太多的功能,我觉得有命令执行进程管理文件管理就差不多了),现在实战中我感觉Linux还是主的,win为辅的(基本上是内网渗透中有)。其实如果真就为了win的免杀不必这样二开,DLL劫持也能够免和持久化。
我个人观点觉得远控的功能上,只要基本的够用就可以了,(终端管理、文件管理)着重点还是免杀和持久化。
在次感谢你的回复,谢谢!

from geacon_plus.

Z3ratu1 avatar Z3ratu1 commented on June 30, 2024

能写loader自然可以,不过有的时候就是自己实现一版会感觉更顺手一些,这个算是入门免杀的学习项目,就等于把常见功能的原理都复现一遍了。不过说到底,原生shellcode再怎么套被发现的几率还是有点大,不是很稳定,所以自己写一下会更稳
(讲到底就是一个学习用项目所以从头把什么东西都写了一遍)
windows上最有用的扩展感觉就是反射dll注入和内存执行C#,剩下的都是些杂技,都是学习原理罢了

from geacon_plus.

OFalwl avatar OFalwl commented on June 30, 2024

原生shellcode确实被杀的可能性很大,劫持系统dll也只能是借壳上线。但上线后所做的行为,就不敢保证被不被查杀了。

from geacon_plus.

H4de5-7 avatar H4de5-7 commented on June 30, 2024

原生shellcode确实被杀的可能性很大,劫持系统dll也只能是借壳上线。但上线后所做的行为,就不敢保证被不被查杀了。

是的,之前cs的二开一般是二开jar包,我们主要是想通过二开beacon来进行动态行为的免杀。传统的shellcode loader上线之后由于里面的beacon内容没变仍会被动态查杀的,包括很多杀软会监控cs执行任务的api序列。可能国内杀软不会过多关注行为于内存,但是国外杀软和edr可能会监测,所以我们就想着二开绕过行为和内存的检测。

from geacon_plus.

OFalwl avatar OFalwl commented on June 30, 2024

原生shellcode确实被杀的可能性很大,劫持系统dll也只能是借壳上线。但上线后所做的行为,就不敢保证被不被查杀了。

是的,之前cs的二开一般是二开jar包,我们主要是想通过二开beacon来进行动态行为的免杀。传统的shellcode loader上线之后由于里面的beacon内容没变仍会被动态查杀的,包括很多杀软会监控cs执行任务的api序列。可能国内杀软不会过多关注行为于内存,但是国外杀软和edr可能会监测,所以我们就想着二开绕过行为和内存的检测。

感谢geacon_pro作者来回复,您说的对,二开beacon确实是可以很大程度上能bypass动态行为杀的,就比如win系统自带的winDF,在此之前我也曾经免杀静态和动态的,能绕过winDF,但现在如果不去改变原形的beacon是很难做到bypass winDF了。其实我本人现在是对Linux控制感兴趣,所以才发表了建议。
在次感谢你们(H4de5-7、Z3ratu1)能公开项目让大家学习。
题外话:二位是红队学院的人吗?

from geacon_plus.

H4de5-7 avatar H4de5-7 commented on June 30, 2024

原生shellcode确实被杀的可能性很大,劫持系统dll也只能是借壳上线。但上线后所做的行为,就不敢保证被不被查杀了。

是的,之前cs的二开一般是二开jar包,我们主要是想通过二开beacon来进行动态行为的免杀。传统的shellcode loader上线之后由于里面的beacon内容没变仍会被动态查杀的,包括很多杀软会监控cs执行任务的api序列。可能国内杀软不会过多关注行为于内存,但是国外杀软和edr可能会监测,所以我们就想着二开绕过行为和内存的检测。

感谢geacon_pro作者来回复,您说的对,二开beacon确实是可以很大程度上能bypass动态行为杀的,就比如win系统自带的winDF,在此之前我也曾经免杀静态和动态的,能绕过winDF,但现在如果不去改变原形的beacon是很难做到bypass winDF了。其实我本人现在是对Linux控制感兴趣,所以才发表了建议。 在次感谢你们(H4de5-7、Z3ratu1)能公开项目让大家学习。 题外话:二位是红队学院的人吗?

hhh不是,师傅为啥这么说

from geacon_plus.

Related Issues (9)

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.