思路:在一个正常合法的程序上附加一段代码(这里演示的是调用Winexec打开网页),通过修改原程序的入口点跳到我们加的那段代码上,执行完成我们的代码之后再跳回原来的入口处执行。
步骤:
1.查找源程序入口点
2.搜索能写入代码的区域(或是自己添加区段)
3.向程序中写入我们自己的代码
4.跳回原入口正常执行程序
工具:OD LordPE PEID 测试程序:windows自带计算器calc.exe
测试环境:xp sp3+vs2008
首先peid查看计算器程序,单击 “EP区段”右边的“》”按钮打开“节查看器”,按鼠标右键选择“搜索全0处”,弹出一个“全0处信息”,在这里我们找一块能容下我们代码的空白区域
我们这里就选.text代码段,记下RAV:136b6
然后LordPE 打开记下入口点:00012475跟基址RVA:01000000
根据内存地址=基址+rva计算出空白区域的开始内存地址为:10136b6
我们OD打开计算器ctrl+G转到这个地址,然后选中一大块(能存放我们字符串就可以),点击右键--二进制--编辑,将“c:\\program files\\internet explorer\\iexplore.exe www.baidu.com”写入,写入之后在下面再写入WinExec的Call,先push 1(SW_SHOWNORMAL),在push 10136b6(IE路径(如果在path里直接填入iexplore.exe就可以)),最后call WinExec,写好后再跳回原入口点jmp 1012475,保存所有修改,然后再用loadPe打开修改后的文件,将入口点改为我们里面push 1的地址,这里要转换成文件偏移,减去基址就可以,保存后运行下程序,执行计算器的同时打开了我们制定的网页。
扩展:粘滞键后门,这个好老了,就是远程桌面按五下shift可以调出粘滞键,给服务器留后门的时候可以改下服务器的粘滞键,让其调用winexec为我们添加一个账户,进去后再删掉账户,远程桌面也可以调出放大镜程序,修改这个也可以。入侵时有时拿到webshell在某个目录有上传文件下载文件的权限,提权时也可以在某个目录找到某个常用的文件,找某个程序能调用的DLL也可以,添加一段代码让其添加个用户。好处是不会改变程序版本信息或是大小(不添加区块的情况下),也没有使用第三方软件。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
