rasta-mouse/TikiTorch

``` * ) ) * ) ) ` ) /( ( ( /( ( ` ) /( ( ( /( ( )(_)) )\ )\()) )\ ( )(_)) ( )( ( )\()) (_(_()) ((_) ((_)\ ((_) (_(_()) )\ (()\ )\ ((_)\ |_ _| (_) | |(_) (_) |_ _| ((_) ((_) ((_) | |(_) | | | | | / / | | | | / _ \ | '_| / _| | ' \ |_| |_| |_\_\ |_| |_| \___/ |_| \__| |_||_| ``` TikiTorch 的命名是为了致敬由 [Vincent Yiu](https://twitter.com/vysecurity) 开发的 [CACTUSTORCH](https://github.com/vysecurity/CACTUSTORCH)。CACTUSTORCH 的基本概念是生成一个新进程，分配一块内存区域，将 shellcode 写入该区域，然后使用 `CreateRemoteThread` 执行该 shellcode。进程和 shellcode 均由用户指定。其主要用例是作为通过 [DotNetToJScript](https://github.com/tyranid/DotNetToJScript) 的 JavaScript/VBScript 加载器，可用于 HTA 和 VBA 等多种载荷类型。 TikiTorch 在此基础上更进一步，提供了更高级的进程生成和注入功能： - 生成 x86 和 x64 进程。 - PPID 欺骗和 BlockDLLs。 - 支持 [Module Stomping](https://offensivedefence.co.uk/posts/module-stomping/) 和 [Process Hollowing](https://github.com/ambray/ProcessHollowing/blob/master/ShellLoader/Loader.cs) 进行注入。 - 利用 [DInvoke](https://github.com/TheWover/DInvoke) 调用 Nt* API，或选择使用系统调用。 TikiTorch 解决方案包含 2 个项目： 1. TikiLoader 2. TikiSpawn TikiLoader 是核心 DLL，负责处理所有实际的生成和注入逻辑。TikiSpawn 是一个演示控制台应用程序，展示了如何使用 TikiLoader。 ## 基本用法 ``` using System.Diagnostics; using TikiLoader; var hollower = new Hollower { BinaryPath = @"C:\Windows\System32\notepad.exe", WorkingDirectory = @"C:\Windows\System32", ParentId = Process.GetProcessesByName("explorer")[0].Id, BlockDlls = true }; hollower.Hollow(Shellcode, true); ```

标签：Conpot, Hpfeeds, Kali Linux, SSH蜜罐, Windows安全, 中高交互蜜罐, 多人体追踪, 恶意软件开发, 端点可见性, 系统调用, 资源列表, 进程注入, 道德黑客