Ricochet 攻击 Ricochet 在 CTF 攻防竞赛中的应用 Ricochet 在现实生活中的应用 Ricochet for Control Flow Hijacking Exploits Shellcode Transplant ShellSwap: Automatic Shellcode Transplant [1] Previous Approach Previous Approach: Limitation Our Work: ShellSwap Layout Remediation Layout Remediation May Fail Path Kneading Restricting Path Exploration Path Kneading Evaluation Effectiveness Efficiency Conclusion

运行在 Windows10 上的最新版 IE11 新增了大量的漏洞利用缓和措施，试图放缓攻击者的脚步。尽管微软最近刚刚发布了他们最新的旗舰版浏览器 Edge，不过我们发现在 Edge 中引入的大量缓和措施在 IE11 中也同样存在。这些缓和措施的目的是使得攻击变得尽可能困难和昂贵。这些缓和措施通常包括 ASLR，DEP，CFG，隔离堆和内存保护，还有许多许多。如果你设法绕过所有这些，成功地把你的漏洞们转化成成功的远程代码执行，那么你将会遇到沙箱这个难题。要从沙箱中逃逸，你可能需要更多的漏洞和绕过。例如如果你想要使用内核漏洞来绕过沙箱，那么你需要绕过所有的内核利用缓和措施，如内核 DEP，KASLR，SMEP，空指针引用保护等。最后如果你希望你的利用程序在微软增强缓和工具包（EMET)下工具，那么难度就更大了。 尽管所有这一切令利用程序开发过程变的想当艰难，但如果有对的漏洞在手，依旧有可能在不需要考虑太多缓和措施的前提下进行利用程序开发。尤其当你不使用传统的 ROP 方式执行 ShellCode，而是重用浏览器本身的功能进行远程代码执行的时候。 此次演讲，我们会描述此次提交给微软并获得奖励计划最高 10 万美金的所有细节。我们将展示针对 64 位 IE11 写的一个稳定的攻击，运行在 Windows 10 包含增强保护模式（EPM）沙箱逃逸和一个通用的方法绕过最新版本的 EMET 5.5。 我们会从在 IE 的 JavaScript 实现中发现的漏洞开始，看我们如何利用IE的定制化堆分配器，来使最初的漏洞成为一个完整的内存读/写漏洞。随后，我们将展示我们用来绕过 Control Flow Guard (CFG)获得初始代码执行的技术。我们会谈论我们试图找到一种方式来逃逸 EPM 沙箱时候的一些思路（和失败），我们会提出一个纯粹的逻辑漏洞，它可以使我们成功地从沙箱中逃逸。最后，我们将展示能够成功地绕过最新版本的EMET的通用方法。 在整个过程中我们没有用到任何 ShellCode 或 ROP 链。我们将谈论的 data-only 攻击的优势，快速看下微软是如何解决及缓和我们上报的漏洞和利用技术的，最后总结一些未来可以在IE11或其他浏览器中使用的可能攻击方法。 多数从事计算机安全防御工作的人只从防御这个角度看问题！这个演讲中，Jason 演示攻击者是如何看待你的网站和员工的，再利用他们来攻击你。我们将从如何从企业的“关于”页面、社交网站中获取有用信息并攻击雇员开始，介绍我们如何成功地创建成功钓鱼攻击。大部分的讨论将覆盖成功的反制措施，去帮助防范和侦测这些攻击。本次演讲借鉴了演讲者在美国银行从事防御工作15年的经验，及其6年多在多个项目中扮演攻击者的经验。如果一切顺利每个人都会学到新的东西，他们可以立即回到他们的工作中进行更好的防御准备！ Agenda • Motivation • Typed Array Neutering Vulnerability • Abusing IE’s Custom Heap • The Revival of God Mode • Escaping the EPM Sandbox • Disabling EMET • Conclusion

ShellcodeLoader 将shellcode用rsa加密并动态编译exe，自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译，csc不支持某些代码 反沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机，不过有几个vm进程是本机也会存在的，怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址，有几个地址只要本机有装虚拟机也会有，怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的： 运行生成的exe文件 争论： 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709： 新增x86远程注入（直接复制CACTUSTORCH的） 已知问题 远程

C语言格式的ShellCode和JavaScript格式的ShellCode之间相互转换，使用说明见文件。

这是一本英文书籍，详细介绍了栈的结构，如何编制程序进行缓冲区溢出

shcode2exe（shellcode到exe） 从Windows或Linux将Shellcode编译为exe文件。 特征 可以接受shellcode blob或字符串（字符串格式\x5e\x31 ） 可以针对32位或64位Windows体系结构。 跨平台。 在Linux或Windows上均可使用。 在Linux上运行时不依赖Wine 经过测试可使用Python v3.3及更高版本 经过测试，可以在Windows 7（非SP1）及更高版本上运行 主要用于恶意软件分析，但也可以用于漏洞利用开发。 受启发。 依存关系 对于Linux，请通过软件包管理器安装上述依赖项。 $ sudo apt install nasm $ sudo apt install binutils 对于Windows，您可以从安装nasm。 对于链接器，可以通过安装获得ld.exe的64位版本。 作为替

shellcode转换工具

PHP加密无后门大马

一个shellcode，作用是添加Windows用户（同时包含shellcode和相应的汇编代码,绝对实用）

//msfvenom -p windows/exec CMD=calc.exe -f exe -e x86/shikata_ga_nai -i 6 -f c 生成shellcod 测试数据： bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 将shellcode作为参数传入执行盒，./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 即可执行该段shellcode。 该exe可传vt查看报毒情况，无特征码