文件名称:SharpZipRunner:从加密的zip执行与位置无关的shellcode
文件大小:3.48MB
文件格式:ZIP
更新时间:2024-04-10 03:06:44
C#
SharpZipRunner 通过加密的zip执行与位置无关的shellcode,使用甜甜圈或metasploit或cobaltstrike RAW格式从程序集中获取PIC代码。 将.bin文件压缩并用密码加密,此程序集将解密内存中的zip条目,并使用D / Invokes注入API执行它。 能够注入正在运行的进程,或者先创建一个新进程并注入到新创建的进程中。从理论上讲,喷油器本身应该是可能的,但会导致崩溃。因为注入您自己并不是我想要在此处实现的目标,因此并没有真正尝试解决该问题。 通过将加密的zip拖放到磁盘上进行测试,但可能也可以通过一些修改完全在内存中工作。仅支持PIC有效负载,尝试创建runPE变体,但惨败:) ___ _ ____ _ ___ / __>| |_ ___ _ _ ___ |_ /<_> ___ | . \
【文件预览】:
SharpZipRunner-main
----packages.config(524B)
----Program.cs(8KB)
----packages()
--------NDesk.Options.0.2.1()
--------DInvoke.1.0.4()
--------Costura.Fody.4.1.0()
--------Fody.6.3.0()
--------DotNetZip.1.15.0()
----Properties()
--------AssemblyInfo.cs(1KB)
----SharpZipSCRunner.sln(1KB)
----LICENSE(34KB)
----README.md(2KB)
----App.config(187B)
----SharpZipSCRunner.csproj(5KB)
----FodyWeavers.xsd(7KB)
----FodyWeavers.xml(141B)