【网络安全】Metasploit生成的Shellcode的导入函数解析以及执行流程分析(2)

最新推荐文章于 2023-01-06 19:46:31 发布
最新推荐文章于 2023-01-06 19:46:31 发布
阅读量430 收藏
点赞数
分类专栏: 安全 网络 程序员 文章标签: 网络安全 python 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120290305
版权
本文深入分析了Metasploit生成的Shellcode的执行流程,特别是其导入函数解析。通过构建彩虹表解析DLL依赖,揭示了Shellcode如何启动套接字通信,依赖LoadLibraryA和WSAStartup等函数。此外,文章讨论了CWE-1288和CWE-823的安全问题,提出利用输入验证漏洞干扰Shellcode的执行流程,以及如何实现执行流劫持的概念证明。
摘要由CSDN通过智能技术生成

密码破解的利器——彩虹表(rainbow table)

确定 shellcode 依赖于哪些导入将使研究人员进一步了解其其余逻辑。不用动态分析shellcode,并且考虑到研究人员已经弄清楚了上面的哈希算法,研究人员可以自己构建一个彩虹表。

彩虹表是一个预先计算好的表,用于缓存加密哈希函数的输出,通常用于破解密码哈希。

以下 Python 代码段计算位于最常见系统位置的 DLL 导出的“Metasploit”哈希值。
在这里插入图片描述
例如,下面的PowerShell命令生成一个彩虹表,然后搜索下图中首先观察到的726774Ch哈希值。为了方便大家,研究人员发布了包含 239k 哈希值的 Rainbow.csv 版本。
在这里插入图片描述
如上所述,shellcode解析并调用的第一个导入是LoadLibraryA,它由32位和64位kernel32.dll导出。

执行流程分析

将导入解析排序后,理解剩余的代码变得更加容易。如下图所示,shellcode开始执行以下调用:

在㉗处LoadLibraryA确保ws3_32库加载,如果还没有加载,它将映射内存中的ws3_32.dll DLL,使shellcode能够进一步解析与Windows Socket 2技术相关的附加函数。

在㉙处,WSAStartup在 shellcode 的进程中启动套接字的使用。

WSASocketA 在㉙处创建一个新的套接字,这将是一个基于流(SOCK_STREAM)的IPv4套接字(AF_INET)。
在这里插入图片描述
套接字初始化的反汇编

创建套接字后,shellcode 继续调用 ㉝ 处的连接函数,并使用先前进入堆栈 (㉜) 的 sockaddr_in 结构。 sockaddr_in 结构包含从事件响应角度看的有价值的信息,例如协议(0x0200 是 AF_INET,又名 IPv4,小端)、端口(0x115c 是大端的默认 4444 Metasploit 端口)以及 C2 IPv4 地址㉛(0xc0a801ca 在大字节序中是 192.168.1.202)。
网络安全学习资料
如果连接失败,shellcode 最多重试 5 次(在 ㉞ 处定义的计数器在 ㉚ 处递减),之后它将使用 ExitProcess (㉟) 中止执行。
在这里插入图片描述
如果连接成功,shellcode 将创建一个新的 cmd 进程并将其所有的标准错误、输出和输入(㊱)连接到已建立的 C2 套接字。进程本身是通过 ㊲ 处的 CreateProcessA 调用启动的。
在这里插入图片描述
逆向shell

最后,当进程运行时,shellcode执行以下操作:

通过调用 WaitForSingleObject 在 ㊳ 处无限期等待远程 shell 终止;

终止后,使用 GetVersion 在 ㊴ 处识别 Windows 操作系统版本,并使用 ExitProcess 或 RtlExitUserThread 在 ㊵ 处退出;

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
网络安全Metasploit 生成Shellcode导入函数解析以及执行流程分析(1)
HBohan的博客
09-13 436
2021 年 4 月,研究人员深入分析了 Cobalt Strike渗透测试技术,以及它的一些签名规避技术是如何在检测技术下失效的。在本文中,我们将深入讨论Metasploit,这是一个可以与Cobalt Strike互操作的常用框架。 在本文中,我们将讨论以下主题: shellcode导入解析——Metasploit shellcode如何定位来自其他DLL的函数,以及我们如何预先计算这些值来解析来自其他有效载荷变体的任何导入; 逆向shell执行流程——该过程非常简单; 破坏 Metasploit
metasploit添加自己的shellcode
ccplusplusjava的专栏
09-03 1066
<br />一、metasploit中payload的类型<br />二、single-stage payload的添加<br />三、multistage payload的添加<br />
metasploit生成shellcode
JMasker的博客
02-25 1718
Metasploit中,可以从msfconsole中生成payload。当你使用某个payload的时候,Metasploit可以添加generate,pry和reload命令。本节主要讲述generate命令的使用。 msf > use payload/windows/shell_bind_tcp msf payload(shell_bind_tcp) > help ...snip... Command Description ------- ---
metasploit产生shellcode
天元喜羊羊的博客
05-01 5689
root@bt:~# msfpayload windows/shell/bind_tcp LPORT=443 C /* * windows/shell/bind_tcp - 298 bytes (stage 1) * http://www.metasploit.com * VERBOSE=false, LPORT=443, RHOST=, EXITFUNC=process, * Init
shellcode流程
weixin_30345055的博客
02-19 129
shellcode就是汇编的opcode,一般以子函数形式出现: 取得shellcode的方便方式是: 1.写一个函数如: void __stdcall code(LONG &a, LONG &b, DWORD &c, LONG &d, DWORD &e)取得它的汇编码:如: push ebp ...
METASPLOITSHELLCODE
weiliang369的博客
02-28 1867
SHELLCODE就是溢出程序的后门。 一个TCP反弹后门,如果某些EXP上的是弹出记事本 我们改如何生成自己想要的SHELLCODE? 首先你要熟悉http://helen.dis9.com/?p=8 (METASPLOIT的PAYLOAD) 我们来生成一个 打开UB 1 生成BIND SHELL吧: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
网络安全Metasploit 生成Shellcode导入函数解析以及执行流程分析
最新发布
qq_44005305的博客
01-06 192
由于shellcode是代码的一个基本版本(它没有预期的结构),操作系统加载程序无法帮助它解析这些导入函数,更严重的是,操作系统加载程序将无法“执行”shellcode文件。这一观察结果与研究人员将在下一节中观察到的众所周知的常量一起,支持了研究人员的理论,即存储在 ebp 中的地址持有一个指向执行动态导入解析函数的指针。主循环按照内存中的顺序遍历模块(下图中的蓝色),而对于每个模块,第二个循环遍历导出函数,在所需的导入和可用的导出之间寻找匹配的哈希(下图中的红色)。
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
手动制作shellcode
fanghuapyk的博客
03-19 613
概括: 我们要将自己生成shellcode汇编文件,编译为.o文件,然后再编译为可执行文件,然后将可执行文件中的有用的代码段单独复制出来,最后我们利用python脚本将我们的这一个文件发送到测试的程序中去 一:准备shellcode文件 1将汇编代码文件shellcode_32.Asm中代码编译为shellcode_32.o文件 命令为:nasm -f elf32 -o shellcode_32.o shellcode_32.asm push 0x68 push 0x732f2f2f push 0x6e6
metasploit shellcode编码命令....
爱杀之爪的矩阵
10-20 2918
擦 这种东西还是要记下的,不然外出出差电脑上没有这种资料,还要现场去百度搜索 太麻烦了....纠结     ruby ./msfpayload windows/messagebox EXITFUNC=seh TEXT="hack by instruder" TITLE=hack R >messagebox ruby ./msfencode -i messagebox -b '\x00' -
【Pwn】手动制作shellcode并测试
weixin_52553215的博客
05-26 456
1.测试shellcode的代码:shellcode_32.c 编译生成shellcode_test(注意取消NX保护,32、64位要区分) 2.shellcode_32.asm源码 3. (1)使用汇编器nasm把shellcode_32.asm编译成shellcode_32.o文件 (2)shellcode_32.o链接生成可执行文件shellcode_32_exe(可省略) (3)从 shellcode_32.o或shellcode_32_exe 提取code段,生成shell..
将数据放入代码中的shellcode函数
lif12345的专栏
06-18 925
有的时候我们需要用shellcode执行一个函数,这个函数中包含一些全局的数据,你会怎么做 (1)这个函数的代码将从0地址开始执行 (2)如何能够找到与0地址相对的偏移地址 解决方案: (1)方法1:0地址处使用push指令将数据压入栈中,形成栈变量:这种方法适用小量的局部数据,因为大量的数据产生较多指令 (2)方法2:push , call , pop 方法 fun:
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2656
个人shellcode相关网络资源学习记录
白帽子学习——Metasploit渗透测试指南
weixin_43487532的博客
09-12 4024
黑客之渗透初学
如何把shellcode转换成exe文件分析
weixin_34015336的博客
11-08 560
【转】http://www.freebuf.com/articles/web/152879.html 前言在分析shellcode时,静态分析或者使用scdbg模拟分析都不够准确,如果转换成exe文件那么就可以用debugger或者IDA分析,会方便很多。样本分析这里以CVE-2013-3346的样本为例,使用peepdf分析样本:$pythonpeepdf.py-i...
执行shellcode的几种方式
qq_41683305的博客
02-24 4886
首先写出汇编成功弹出计算器 #pragma comment(linker,"/section:.data,RWE") //data段可读写 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //不显示窗口 #pragma comment(linker,"/INCREMENTAL:NO") //指...
Metasploit网络渗透攻击技术解析
文档强调了网络渗透攻击的系统性和综合性的特点,以及其在安全测试中的作用。" Metasploit网络安全领域广泛使用的开源框架,主要用于漏洞检测和安全评估。它允许安全研究人员和渗透测试人员发现并利用系统中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值