shellcode获取MessageBoxA的地址

最新推荐文章于 2023-07-02 10:23:00 发布
最新推荐文章于 2023-07-02 10:23:00 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 汇编 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dasgk/article/details/10923771
版权
_asm
    {
        push ebp
        mov eax,fs:[30h];获得PEB地址
        mov eax,[eax+0ch];获得LDR地址
        mov eax,[eax+14h];获得PEB_LDR_DATA中InMemoryOrderModuleList的

Flink
        mov ecx,eax;因为eax中的Flink也就是等于LDR_DATA_TABLE_ENTRY中

InMemoryOrderLinks的Flink
        sub eax,8;获得LDR_DATA_TABLE_ENTRY地址
        ;查看第一个入口点
        mov eax,[eax+1ch];成功        
        ;恢复eax中的Flink获得下一个Flink
        mov eax,ecx
        ;获得下一个Flink
        mov eax,[eax]
        ;保存Flink
        mov ecx,eax
        ;获得第二个模块的入口点
        sub eax,8
        mov eax,[eax+1ch]
        ;恢复eax的Flink
        mov EAX,ECX
        ;获得下一个Flink
        mov eax,[eax]
        ;保存Flink
        mov ecx,eax
        ;获得第三个模块的入口点,即kernel32
        sub eax,8h
        mov eax,[eax+1Ch]    
        ;恢复eax的Flink
        mov eax,ecx
        ;获得下一个Flink
        mov eax,[eax]
        ;保存Flink
        mov ecx,eax
        ;获得第四个模块的入口点
        sub eax,8
        mov eax,[eax+1ch]
        ;恢复eax的Flink
        mov eax,ecx
        ;获得下一个Flink
        mov eax,[eax]
        ;保存Flink
        mov ecx,eax
        ;获得第五个模块的基地址,即user32.dll
        sub eax,8
        mov eax,[eax+18h]
        ;保存user32的基址
        mov ebp,eax
        ;PE头部
        mov eax,[ebp+3ch]
        ;输出表偏移
        mov edx,[ebp+eax+78h]
        ;输出表地址
        add edx,ebp
        ;输出函数个数
        mov ecx,[edx+18h];正确
        ;获得AddressOfNamesRVA
        mov ebx,[edx+20h]
        ;获得AddressOfNames地址
        add ebx,ebp
        
search:
        dec ecx
        mov esi,[ebx+ecx*4]
        ;获得函数名称
        add esi,ebp
        mov eax,0x7373654D;'sseM'
        cmp [esi],eax
        jne search;
        mov eax,0x42656761;'Bega'
        cmp [esi+4],eax
        jne search
        mov eax,0x0041786F;'_Axo'
        cmp [esi+8],eax
        jne search
        ;找到MessageBoxA,获取函数需要偏移地址
        ;函数序号数组偏移地址
        mov ebx,[edx+24h]
        add ebx,ebp
        ;计算出序号值
        mov cx,[ebx+ecx*2]
        
        ;获得函数地址数组指针
        mov ebx,[edx+1ch]
        add ebx,ebp
        ;获得函数偏移量
        mov eax,[ebx+ecx*4]
        add eax,ebp;//得到MessageBoxA的地址
        ;数据定义
data:
        ;显示的数据在新加段中显示        
        lea ebx,data        
        PUSH 0
        PUSH 0
        PUSH 0
        PUSH 0
        call eax        
        pop ebp

}

获取LoadLibrary的地址

// tmp.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <iostream>
#include<ImageHlp.h>
#pragma comment(lib,"imagehlp.lib")
using namespace std;
int main()
{
    //;关于IMAGE_EXPORT_DIRECTORY中的地址变量在使用时都要加上IMAGE_EXPORT_DIRECTORY的基地址
    _asm
    {
        push ebp;暂存基址
        mov eax,fs:[30h];获取PEB地址
        mov eax,[eax+0ch];获取LDR地址
        mov  eax,[eax+14h];获得PEB_LDR_DATA中InMemoryOrderModuleListFlink的地址,该地址和LDR_DATA_TABLE_ENTRY中的Flink相同
        ;保存Flink
        mov ecx,eax
        ;获取LDR_DATA_TABLE_ENTRY的基址
        sub  eax,8
        ;获得该模块的基址,第一个模块应该是其自身
        mov eax,[eax+18h];成功
        ;恢复eax中的Flink
        mov eax,ecx
        ;获取下一个Flink
        mov  eax,[eax]
        ;保存该Flink
        mov ecx,eax
        ;获取第二个模块的基址一般是ntdll
        sub eax,8
        mov eax,[eax+18h]
        ;恢复eax中的Flink
        mov eax,ecx
        ;获取第三个模块的Flink,一般是kernel32.dll
        mov eax,[eax]
        ;保存当前Flink
        mov ecx,eax
        ;获取该模块的基址
        sub eax,8
        mov eax,[eax+18h];到此已经得到了我们需要的kernel32.dll的基址
        ;ebp保存dll的基址
        mov ebp,eax
        ;获取PE头部
        mov eax,[ebp+3Ch]
        ;获取导出表头部偏移量
        mov edx,[ebp+eax+78h]
        ;获取输出表地址edx
        add edx,ebp
        ;获得输出函数个数
        mov ecx,[edx+18h];正确
        ;获取输出函数名称数组地址,放在ebx当中
        mov ebx,[edx+20h]
        add ebx,ebp
search:
        dec ecx;
        mov esi,[ebx+ecx*4]
        add esi,ebp;
        mov eax,64616f4ch;'daoL'
        cmp eax,[esi]
        jnz search
        mov eax,7262694ch;'rbiL'
        ;mov eax,49707071h
        cmp eax,[esi+4]
        jnz search
        mov eax,41797261h;'Ayra'
        cmp eax,[esi+8]
        jnz search
        ;找到了函数名也就是,有了序号
        ;再获取函数序号数组地址
        mov ebx,[edx+24h]
        add ebx,ebp
        ;得出函数序号注意:函数序号是一个字变量
        mov cx,[ebx+ecx*2]
        ;获取函数地址数组地址
        mov ebx,[edx+1ch]
        add ebx,ebp
        ;根据序号取出函数地址
        mov eax,[ebx+ecx*4]
        add eax,ebp
        push 0
        call eax;
        pop ebp

    }
    return 0;
}

世纪殇
关注
专栏目录
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 181
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
第06节 原则:函数地址的动态获取
最新发布
imbyter师哥的博客
05-02 47
实现对GetProcAdress函数地址获取后,就可以结合kernel32的基址,再次获取到LoadLibraryA(或LoadLibraryW)这个函数的地址,然后就可以LoadLibraryA+GetProcAdress实现对任意函数的动态调用。上述GetProcAddress地址获取,是基于PE结构导出表定位函数地址的原理。上一讲我们介绍了kernel32基址的获取,这一节来介绍如何解决GetProcAddress动态调用的问题。在上述代码中,我们测试了MessageBoxA函数的动态调用。
shellcode样本—弹出MessageBox
谈成(C/C++)
04-26 933
shellcode是一段可独立运行的汇编代码,常出现在漏洞利用中。当我们利用漏洞控制了eip后,就需要shellcode来执行我们想要做的任何事。 shellcode用到的api都是通过动态加载而来的,可以通过fs:[30h]找到PEB中的Ldr结构。在Ldr中记录有dll加载链,从而找到Kernel32。然后通过LoadLibraryA加载任何你想要加载的dll模块。 所有API均通过dll中的EAT导出表查询获得。以下面就是一个用来生成弹出MessageBoxshellcode样本,可以用来测试漏洞利
MessageBox调用--Shellcode
Xor0ne
02-18 1802
C语言MessageBox()函数简单调用: MessageBox()函数拓展: MessageBoxA函数是Windows系统提供的API函数,需要引入user32.lib这个库,同时还需要手动声明一下函数原型。MessageBoxA函数中最后一个参数为对话框风格,通过设置这个参数不同值,可以实现显示MessageBoxA的不同组态。具体参数含义可以参考微软官方手册。链接地址:https:/...
MessageBox shellcode
record
06-18 1411
最近在学习shellcode ,一个XPSP3下的MessageBox shellcode 。先把代码贴出来吧。 char shellcode[]="\x6A\x00\x6A\x00\x6A\x00\x6A\x00\xB8\xEA\x07\xD5\x77\xFF\xD0"; void *zhizhen = &shellcode; _asm { call zhizhen } s
Messagebox--shellcode(三)
Xor0ne
02-19 727
首先,希望路过的大佬可以拯救一下在门都不知道在哪的小白吧!感激不尽啊!!! 这段messagebox代码暂告一段落吧(啊啊啊啊,,我咋就这么笨呢),这一段代码,思来想去还是决定有太多的问题值得我去思考和探索了,这篇文章就当是对自己出现的问题的一个小记录吧,真的是太!!! 代码很简单,就是一个汇编调用messagebox的代码,然后汇编语言中执行没有问题,但是变成shellcode却出现了意想不到的...
MessageBox()--shellcode(二)
Xor0ne
02-18 804
shellcode 的提取: 参考链接:https://www.cnblogs.com/manu18/articles/9445130.html 理解:指一组计算机能直接执行(不需要点击和编译),实现我们想要功能的机器代码,通常以十六进制数组的形式存在。 (1)、弹出MessageBox() 源代码1: // 2.cpp : Defines the entry point for the cons...
动态定位API函数之shellcode编写
mdp1234的博客
11-28 1085
通用shellcode编写动态定位API 背景: 如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行 这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用
以jmp esp 为跳板的shellcode开发
热门推荐
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
Messagebox Shellcode (113 bytes) - Any Windows Version
冷风
10-18 2964
/*User32-free Messagebox Shellcode for any Windows version======================================================== Title:         User32-free Messagebox Shellcode for any Windows versionRelease date: 
一个MessageBox窗口[演示]ShellCode(WINXPSP2下测试通过)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-29 1067
学习溢出时会用到 unsigned char ShellCode[] = {   0xE8,0x00,0x00,0x00,0x00,0x5F,0x81,0xEF,   0x1E,0x10,0x40,0x00,0x8D,0x87,0x83,0x10,   0x40,0x00,0x50,0xE8,0x61,0x00,0x00,0x00,   0x33,0xC0,0x6A,0x00,0x
MessageBox显示位置
dhixes4080的博客
03-04 1013
假设存在2个窗口类CImDlg与CChatDlg,如果希望MessageBox跟随CChatDlg,方法是 1 CChatDlg *pDlg = xxx; 2 pDlg->MessageBox(); View Code 转载于:https://www.cnblogs.com/zhangxiuyuan/p/4313253.html...
shellcode1--messagebox的应用
gclome的博客
02-23 360
// 12345.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "stdio.h" #include "windows.h" char shellcode[]="\x90\x90\x90\x33\xDB\x53\x68\x64\x63\x62\x61\x68\x...
【免杀前置课——shellcode】二十、初识shellcode——配合栈溢出漏洞利用shellcode在代码中返回MessageBox函数
m0_62783065的博客
12-26 976
【免杀前置课——shellcode】二十、初识shellcode——配合栈溢出漏洞利用shellcode在代码中返回MessageBox函数
【PE】手动给PE文件添加一段代码MessageBoxA
weixin_33939843的博客
05-29 862
源程序是这个样子: 思路: 1、通过LordPE工具拿到所需数据 2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址 3、UE十六进制编辑器定位代码节基址 4、在代码节找到一处空白区 5、写入代码对应的十六进制数据 6、Call到MessageBoxA,Call:E8 7、Jmp到原OEP,Jmp:E9 8、修改原OEP为写入数据地址 ...
1.4 编写简易ShellCode弹窗
m0_62396648的博客
07-02 306
在前面的章节中相信读者已经学会了使用Metasploit工具生成自己的ShellCode代码片段了,本章将继续深入探索关于ShellCode的相关知识体系,ShellCode 通常是指一个原始的可执行代码的有效载荷,攻击者通常会使用这段代码来获得被攻陷系统上的交互Shell的访问权限,而现在用于描述一段自包含的独立的可执行代码片段。ShellCode代码的编写有多种方式,通常会优先使用汇编语言实现,这得益于汇编语言的可控性。
shellcode例子
lidatou的专栏
08-05 1340
#include #include #include "windows.h" void test() { MessageBox(NULL,"test","ShellCode",MB_OK); } int main(void) { typedef void (* PF)()
软件安全复习题
qq_56438857的博客
01-18 3026
软件安全期末复习题(带答案)
VC程序实现Shellcode获取MessageBoxA入口地址
首先,我们需要获取`MessageBoxA`函数的入口地址,这是Windows API中的一个函数,它允许我们在用户界面上显示一个消息框。我们可以通过`LoadLibrary`函数加载动态链接库(DLL)"user32.dll",然后使用`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世纪殇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值