利用FS寄存器得到任意函数地址

最新推荐文章于 2024-04-14 11:51:26 发布
最新推荐文章于 2024-04-14 11:51:26 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Windows编程
[plain]  view plain copy
  1. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;  
  2. ;  
  3. ;       程序函数说明:利用fs寄存器,得到任意的函数地址  
  4. ;               by:瀚 海    2011年11月19日  
  5. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;  
  6. ;  
  7. ;很早之前就知道利用fs可以导出kernel32!LoadLibrary、Kernel32!GetProcAddress函数  
  8. ;也就可以得到任意dll的任意函数,一直不清楚到底哪个数据偏移多少位置。最近开始弄安全  
  9. ;所以顺便弄下shellcode  
  10. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;  
  11.         .386  
  12.         .model  flat,stdcall  
  13.         option casemap:none  
  14. include     windows.inc  
  15.   
  16.         .data  
  17. DllName     db      'ExitProcess',0  
  18.   
  19.         .data?  
  20. Count       dd          ?  
  21.   
  22. assume  fs:nothing      ;打开FS寄存器,否则用到FS寄存器的编译都不会通过  
  23.         .code  
  24.   
  25. ;得到字符串长度  
  26. ;相同返回0,不同返回1,便于后面可以使用C语言库的strcmp函数  
  27. strcmp      proc uses edi esi ebx ecx  source:dword,dst:dword  
  28.         xor     eax,eax  
  29.         ;判断来源是不是有NLL地址,如果有,直接当成不等字符串  
  30.         mov     esi,source  
  31.         test    esi,esi  
  32.         je      NotEQual  
  33.         mov     edi,dst  
  34.         test    edi,edi  
  35.         je      NotEQual  
  36.         ;判断两字符是否有为'\0'结尾的字符串,有一个不为'\0'则将继续比较  
  37.         ;直到遇到不等字符或两个都为'\0'字符  
  38.     cmpNext:  
  39.         mov     bl,byte ptr[esi]  
  40.         test    bl,bl  
  41.         jnz     TestNextZ  
  42.         cmp     byte ptr[edi],0  
  43.         je      szEqual ;两字符串都以'\0'结尾,那么他们是相同字符串  
  44.     TestNextZ:  
  45.         mov     cl,byte ptr[edi]  
  46.         inc     edi  
  47.         inc     esi  
  48.         cmp     bl,cl  
  49.         jnz     NotEQual  
  50.         jmp     cmpNext  
  51.     NotEQual:  
  52.         inc     eax  
  53.     szEqual:  
  54.         ret  
  55. strcmp      endp  
  56.   
  57. ;得到字符串长度函数  
  58. ;这个函数在其他地方copy的  
  59. strlen  proc    uses ecx edi szString:dword  
  60.         mov     edi,szString  
  61.         xor     ecx,ecx  
  62.         dec     ecx  
  63.         xor     al,al  
  64.         repne   scasb  
  65.         not     ecx  
  66.         dec     ecx  
  67.         xchg    eax,ecx  
  68.         ret  
  69. strlen  endp  
  70.   
  71. ;得到任意函数地址  
  72. ;如果函数不在Kernel32.dll中可以利用LoadLibrary、GetProcAddress加载其他函数  
  73. GetProcessAddress   proc    uses edx esi ecx ebx dllName:DWORD  
  74.         mov     eax,dword ptr fs:[30H] ;得到TEB结构  
  75.         mov     eax,dword ptr [eax+0CH] ;得到PEB_LDR_DATA结构  
  76.         mov     esi,dword ptr [eax+1CH] ;InInitializationOrderModuleList  
  77.         ;得到Kernel32.dll所在LDR_MODEL结构的InInitializationOrderModuleList地址  
  78.         lodsd     
  79.         mov     edx,dword ptr[eax+8H]   ;得到BaseAddress,即kernel32基址  
  80.         push    edx  
  81.         mov     ecx,dword ptr[edx+3CH] ;edx指向kernel32的内存映像基址,得到PE头指针  
  82.         lea     ecx,dword ptr[edx+ecx] ;ecx,指向PE头  
  83.         mov     ecx,dword ptr[ecx+78H] ;指向导出表  
  84.         lea     ecx,dword ptr[edx+ecx] ;ecx指向导出表  
  85.         mov     ebx,dword ptr[ecx+1CH]  
  86.         lea     ebx,dword ptr[edx+ebx] ;ebx指向函数地址列表  
  87.         push    ebx ;先保存函数地址列表首地址  
  88.         mov     ebx,dword ptr[ecx+0CH]      ;网上有说这个地址是偏移0x20的,不清楚是不是系统版本问题  
  89.         lea     ebx,dword ptr[edx+ebx] ;ebx指向函数名称列表,第一个是kernel32.dll  
  90. ;       push    ebx     ;有必要的话,可以保存下  
  91.     @@:  
  92.         inc     Count       ;函数序号+1  
  93.         mov     eax,Count  
  94.         cmp     eax,3BBH    ;XP中只有954个函数,超过的就错误了  
  95.         jge     @F  
  96.         invoke  strlen,ebx  
  97.         ;ebx指向下一个字符串首地址,第一次指向"kernel32.dll"字符串  
  98.         lea     ebx,dword ptr[eax+ebx+1]  
  99.         invoke  strcmp,dllName,ebx  ;比较字符串,相同返回0  
  100.         cmp     eax,0  
  101.         jnz     @B  
  102.         dec     Count           ;得到函数的序号,也可以当成是函数表中的第几个函数  
  103.         mov     eax,Count  
  104.         shl     eax,2           ;每个地址32位,所以要乘以4  
  105.         pop     ebx             ;弹出函数地址列表首地址  
  106.         mov     ebx,dword ptr[ebx+eax]      ;得到函数的偏移地址  
  107.         pop     edx             ;弹出kernel32首地址  
  108.         lea     eax,dword ptr[edx+ebx]      ;得到函数地址  
  109.     @@:  
  110.         ret  
  111. GetProcessAddress   endp  
  112.   
  113. start:  
  114.         xor     eax,eax  
  115.         mov     Count,eax  
  116.         ;调用查找函数地址函数,返回eax中是函数地址,如果函数不存在返回小于0xFFFFF的值  
  117.         invoke  GetProcessAddress,offset DllName  
  118.         .if  eax > 0FFFFFH  
  119.             push    NULL  
  120.             call    eax ;调用ExitProcess函数  
  121.         .endif  
  122.         ;如果没有这个函数,那么手动处理错误  
  123. end start  
cosmoslife
关注
专栏目录
06 STM32寄存器开发基础-定时器编程
07-17 350
这篇文章学习`STM32F103`单片机,从0开始学习定时器,以寄存器方式,配置定时器,完成定时器基本定时功能,PWM输出功能,输入捕获功能。
汇编指令和寄存器
u012138730的专栏
06-03 8572
目录 寄存器名字 各种类型的寄存器 1.通用寄存器——AX BX CX DX 传送指令:move 算术运算指令:add,sub 2.CS,IP——代码段 最简单的转移指令——jmp 3.DS——数据段 4.SS,SP——栈空间(高地址往低地址增长) 入栈出栈指令 Push 和 Pop 指令 上图是cpu中三个组成部分:寄存器 运算器 控制器。其中寄存器是cpu中程序员用指...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5043
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
fs寄存器获取PEB/TEB
shuishan_lmy的博客
05-24 1291
【免杀】通用shellcode原理及思路——FS寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
m0_62783065的博客
01-08 628
【免杀】通用shellcode原理——FS寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
关于FS寄存器和TEB、动态获取dll
把梦想放飞在蓝色的天空里...
09-23 2679
FS寄存器指向当前活动线程的TEB结构, TEB包含了若干指针,各偏移说明如下: FS:[000]   指向SEH链指针 FS:[004]  线程堆栈顶部 FS:[008] 线程堆栈底部 FS:[00C]  SubSystemTib FS:[010]  FiberData FS:[014] ArbitraryUserPointer FS:[018]  指向TEB
关于动态获取API地址
tony的专栏
03-26 1036
关于动态获取API地址 有些时候,我们需要动态获取一些API的VA,然后才能调用它们.比如在对PE可执行文件进行二次开发或编写注入shellcode时,这时很有可能我们想调用的API没有被该PE文件导入,或者其所处的DLL根本没被该PE引用载入.这时,我们的解决方法可以是(罗云彬的>和>都是用的这个方法,具体细节有点不同): (1)动态获取kernel.dll载入基地址
概述x86寄存器
xiezhi123456的博客
08-16 445
x86寄存器 ·x86寄存器分类: 8个通用寄存器:EAX、EBX、ECX、EDX、ESI、EDI、ESP、EBP 1个标志寄存器:EFLAGS 6个段寄存器:CS、DS、ES、FS、GS、SS 5个控制寄存器:CR0、CR1、CR2、CR3、CR4 8个调试寄存器:DR0、DR1、DR2、DR3、DR4、DR5、DR6、DR7 4个系统地址寄存器:GDTR、IDTR、LDTR、TR...
内核提权,任意地址任意数据/固定数据模型
zhuhuibeishadiao
05-14 4886
实验环境 xp sp3 此实验将一个不常用的内核函数置0,然后R3申请了0地址的指针,将shellcode拷到此内存,内核并没有做ProbeForRead /Write检查 直接对传入的数据进行了修改,造成了任意地址任意数据漏洞 ,提权了R3程序为system权限 R3代码 主要获得一个函数地址,将函数地址传入R0  R0将此函数地址置0,然后R3申请了一个0地址,将shel
Linux 内核debugfs总结
uunubt的专栏
10-06 4299
Debugfs 是内核开发人员向用户空间提供信息的一种简单方法。/proc 仅用于提供有关进程的信息,或者 sysfs 具有严格的每个文件一个值的规则,而 debugfs 则完全没有规则。开发人员可以将他们想要的任何信息放在那里。debugfs 文件系统也不能作为用户空间的稳定 ABI;理论上,在那里导出的文件没有稳定性限制。现实世界并不总是那么简单,即使是 debugfs 接口,最好的设计也是考虑到它们需要永远维护。(或等效的 /etc/fstab 行)。
查找(Dll)基地址和指定函数地址的一种方法
08-12
根据输出表RVA和基址取输出表的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地址
fs寄存器
caojichang的专栏
07-01 900
利用FS寄存器获取KERNEL32.DLL基址算法的证明FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部
汇编语言中各种寄存器的含义与功能
weixin_62911043的博客
07-06 4720
32位CPU的寄存器是32位的,并且32位的寄存器组增加了一些新的寄存器。对32位的通用寄存器EAX、EBX、ECX、EDX、ESI、EDI、ESP、EBP的低16位数据进行存取不影响高16位,所以,这些通用寄存器的低16位依旧用16位的AX、BX、CX、DX、SI、DI、SP、BP寄存器来表示。32位的EAX、EBX、ECX、EDX、ESI、EDI、ESP、EBP与8086中的16位的AX、BX、CX、DX、SI、DI、SP、BP功能相似。DS—Data Segment Register,数据段寄存器
FS寄存器资料
syflyhua的专栏
05-23 1503
转自 http://blog.csdn.net/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
寄存器历史来源
czx461053773的专栏
11-12 932
寄存器的产生源于Intel 8086 CPU体系结构中数据总线与地址总线的宽度不一致。数据总线的宽度,也即是ALU(算数逻辑单元)的宽度,平常说一个CPU是“16位”或者“32位”指的就是这个。8086CPU的数据总线是16位。 地址总线的宽度不一定要与ALU的宽度相同。因为ALU的宽度是固定的,它受限于当时的工艺水平,当时只能制造出16位的ALU;但地址总线不一样,它可以设计得更宽。地址总线
以下是汇编中的段寄存器(大小写形式)及其解析:
2301_81654001的博客
12-12 566
寄存器GA、FS、ES、DS、CS、SS
3段寄存器段选择子,GDT表,段描述符x86
最新发布
q873412892的博客
04-14 1217
在x86架构的计算机中,段寄存器是一种用于存储段选择子(Segment Selector)的寄存器。段寄存器包括:CS(Code Segment): 存储当前执行的代码所在的段的选择子。DS(Data Segment): 存储数据段的选择子,用于指示程序访问数据的位置。ES(Extra Segment): 附加数据段寄存器,提供额外的数据段选择子,有时用于字符串和数据传输操作。SS(Stack Segment): 存储堆栈段的选择子,用于指示程序的堆栈段。
FS寄存器的作用
tanweng的专栏
05-15 7893
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
rtl8211fs寄存器手册
09-28
寄存器手册通常按照寄存器地址顺序列出,每个寄存器都会给出其对应的地址、位定义和寄存器的含义。通过阅读手册,我们可以了解每个寄存器的作用,例如控制PHY与主机的通信、管理链路状态和速度、调整电气特性等。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值