ShellCode的另外一种玩法(远程线程注入ShellCode)[by Anskya]

最新推荐文章于 2024-06-18 21:15:19 发布
最新推荐文章于 2024-06-18 21:15:19 发布
阅读量2.2k 收藏 1
点赞数
文章标签: delphi api null 工作 c dll
 

[原创]ShellCode的另外一种玩法(远程线程注入ShellCode)
介于小弟技术菜,请各位大哥不要"奸笑"希望可以指点一二
转载请保留版权:by Anskya

这里是说将ShellCode代码直接注射到远程进程内部使她运行!
以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型来编写代码)
文章假定各位已经有了一定的编程基础

1.远程线程注入原理
先说说远程线程注入原理,以前我们编写远程注入代码的时候总是需要自己计算代码注入到目标进程后的结构,
一般是本地获取GetProcAddress,LoadLibraryA,GetModuleHandle,ExitThread
函数,当然也有的大哥哥是使用本地获取所有函数的指针然后~然后填写代码结构后
注入到目标进程的.
小弟不喜欢后者,假定目标进程中没有加载user32.dll连接库,如果你的代码中刚好有MessageBoxA这个函数的话,就会引起非法操作(无法读取XXX地址),推荐使用第一种方法
,这个仅仅是第一步...以下代码演示...仅仅是演示没有填写其他部分
假设注入代码已经获取到GetProcAddress,LoadLibraryA,GetModuleHandle地址

 

.data
xdll db 'user32.dll',0
xapi db 'MessageBoxA',0
.code
start:
  push ebx              
  lea ebx,xdll
  push ebx
  call GetModuleHandle ;纯属无聊才使用GetModuleHandle你可以直接使用
  test eax,0                 ;LoadLibraryA
  jnz at @getapi

  lea ebx,xdll
  push ebx
  call LoadLibraryA
@@getapi:
  lea ebx,xapi
  push ebx
  push eax    ;此时eax保存的是u32的基址
call GetProcAddress

  push 0
  push 0
  push 0
  push 0
  call eax    ;调用MessageBoxA的函数
pop ebx
end start

 

也就是说,只需要有了以上两个函数就可以获取你所需要的任意函数
当然恁也可以自己写一个API搜索引擎自己用来搜索自己需要的API函数

第二步:代码重定位,和数据代码结合技术(姑且这么称呼他吧)
(面向ASM编程 dot ..高级语言编写的注入代码,注入前代码都是安排好的)
注入代码和病毒代码差不多~第一部当然是要先确定自身在目标进程中的位置
这点ShellCode已经做到,我就不在废话了简单的说一下原理吧...
[1].首先确定代码在目标进程中的位置
[2].获取数据地址-ShellCode,PE Virus一样都需要获取自己需要的一些常量
[3].k32基址定位--这个几乎所有通用版ShellCode,和PE Virus都需要用到的
[4].开始搜索自身需要使用的API函数地址(一遍搜索一遍加载DLL)
[5].开始代码工作[呵呵~这个就是ShellCode或者PE Virus的主要工作了]
[6].[恢复/平衡]堆践,清除代码,或者干点别的什么事情
不好意思这里多说了...上面说了这么多废话就是说明自身代码定位很重要~不然就无法确定其他函数地址,数据存放偏移,还有其他过程的地址了
我这里不废话了引用一个最经典的代码自定位的代码好了

 

entry:
  call at @delta
@@delta:                     ;edi不经常用所以就把基址放在这里
  pop edi                     ;也有许多高手不喜欢这么作,因为ShellCode和PEVirus
  sub edi,offset @@delta ;对体积要求比较高 dot 呵呵只是为了演示我这里用用了这个

 

代码自定位完毕以后剩下的就可以自己获取地址了...具体如何使用看前辈们的资料

代码数据结合技术:Delphi和VC都可以用内项汇编作到~Delphi简单一点VC麻烦
ASM最简单了~这里以MASM为例--TASM和NASM,FASM都很简单直接db就好了
MASM需要注意一点~MASM太"智能化"了^_^~

 

jmp start
szStr db 'Hello World',0
start:
push szStr
call szStr
add esp,4   ;恢复堆践指针----C函数不会自动恢复

 


2.ShellCode原理
[1].首先确定代码在目标进程中的位置
[2].获取数据地址-ShellCode,PE Virus一样都需要获取自己需要的一些常量
[3].k32基址定位--这个几乎所有通用版ShellCode,和PE Virus都需要用到的
[4].开始搜索自身需要使用的API函数地址(一遍搜索一遍加载DLL)
[5].开始代码工作[呵呵~这个就是ShellCode或者PE Virus的主要工作了]
[6].[恢复/平衡]堆践,清除代码,或者干点别的什么事情
有了上面的一些知识ShellCode的编写就好理解了...这里说的是通用版本的ShellCode
(就是可以在任何操作系统上跑的)....和上面的流程一样
(ShellCode和PE Virus几乎就没什么区别....原理相通,代码相近...仅仅于一点点区别就是代码结束的地方--ShellCode没有感染功能..不好意思忘记说了...ShellCode一般退出都是引用ExitThread不映象目标程序运行,PE Virus是jmp oep)...
好了说说ShellCode编写吧...按照上面的流程,先自定位,然后获取k32的基址,
搜索API(记得先把LoadLibraryA搜出来!!!这个主要的),然后就可以开始工作了...
恢复堆践等等...具体看前辈们的代码,我这里只是简单的介绍一下...不要意思

3.注入实现
上面只是简单的说了一下ShellCode原理和注入代码原理,基本上ShellCode完全满足我们的需要了,,,好了下面我们来具体实现代码...
用C写~嘿嘿方便一点呵呵~

 

#include <windows.h>

int ShellSize = 387;

unsigned char ShellCode[387] =
{
  0xE8,0x00,0x00,0x00,0x00,0x5F,0x81,0xEF,0x1E,0x10,0x40,0x00,0x8D,0x87,0x94,0x10,
  0x40,0x00,0x50,0xE8,0x83,0x00,0x00,0x00,0x8D,0x87,0xA5,0x10,0x40,0x00,0x50,0xE8,
  0x77,0x00,0x00,0x00,0x2B,0xC0,0x50,0x8D,0x9F,0x83,0x10,0x40,0x00,0x53,0x8D,0x9F,
  0x5E,0x10,0x40,0x00,0x53,0x50,0xFF,0x97,0xAC,0x10,0x40,0x00,0x6A,0x00,0xFF,0x97,
  0x9D,0x10,0x40,0x00,0xC3,0x5B,0x2A,0x5D,0x20,0x48,0x65,0x6C,0x6C,0x6F,0x20,0x57,
  0x6F,0x72,0x6C,0x64,0x20,0x43,0x6F,0x64,0x65,0x72,0x21,0x20,0x28,0x43,0x29,0x20,
  0x41,0x6E,0x73,0x6B,0x79,0x61,0x2E,0x0D,0x0A,0x00,0x4D,0x73,0x67,0x42,0x6F,0x78,
  0x20,0x42,0x79,0x20,0x41,0x6E,0x73,0x6B,0x79,0x61,0x00,0x6B,0x65,0x72,0x6E,0x65,
  0x6C,0x33,0x32,0x00,0x01,0x92,0x8F,0x05,0x00,0x00,0x00,0x00,0x75,0x73,0x65,0x72,
  0x33,0x32,0x00,0xF7,0x6C,0x55,0xD8,0x00,0x00,0x00,0x00,0x60,0x8B,0x74,0x24,0x24,
  0xE8,0x97,0x00,0x00,0x00,0x68,0xAD,0xD1,0x34,0x41,0x50,0xE8,0x1F,0x00,0x00,0x00,
  0x56,0xFF,0xD0,0x8B,0xD8,0x2B,0xC0,0xAC,0x84,0xC0,0x75,0xFB,0x8B,0xFE,0xAD,0x85,
  0xC0,0x74,0x0A,0x50,0x53,0xE8,0x05,0x00,0x00,0x00,0xAB,0xEB,0xF1,0x61,0xC3,0x60,
  0x8B,0x5C,0x24,0x24,0x8B,0x74,0x24,0x28,0x2B,0xED,0x8B,0xD3,0x03,0x52,0x3C,0x8B,
  0x52,0x78,0x03,0xD3,0x8B,0x42,0x18,0x8B,0x7A,0x1C,0x03,0xFB,0x8B,0x7A,0x20,0x03,
  0xFB,0x52,0x8B,0xD7,0x8B,0x17,0x03,0xD3,0x45,0x60,0x8B,0xF2,0x2B,0xC9,0xAC,0x41,
  0x84,0xC0,0x75,0xFA,0x89,0x4C,0x24,0x18,0x61,0x60,0x2B,0xC0,0xE8,0x51,0x00,0x00,
  0x00,0x3B,0xC6,0x61,0x74,0x08,0x83,0xC7,0x04,0x48,0x74,0x18,0xEB,0xD6,0x5A,0x4D,
  0x8B,0x4A,0x24,0x03,0xCB,0x0F,0xB7,0x04,0x69,0x8B,0x6A,0x1C,0x03,0xEB,0x8B,0x44,
  0x85,0x00,0x03,0xC3,0x89,0x44,0x24,0x1C,0x61,0xC2,0x08,0x00,0x60,0x2B,0xC0,0x64,
  0x8B,0x40,0x30,0x85,0xC0,0x78,0x0C,0x8B,0x40,0x0C,0x8B,0x70,0x1C,0xAD,0x8B,0x40,
  0x08,0xEB,0x09,0x8B,0x40,0x34,0x8D,0x40,0x7C,0x8B,0x40,0x3C,0x89,0x44,0x24,0x1C,
  0x61,0xC3,0x60,0xE3,0x18,0xF7,0xD0,0x32,0x02,0x42,0xB3,0x08,0xD1,0xE8,0x73,0x05,
  0x35,0x20,0x83,0xB8,0xED,0xFE,0xCB,0x75,0xF3,0xE2,0xEC,0xF7,0xD0,0x89,0x44,0x24,
  0x1C,0x61,0xC3
};

int APIENTRY WinMain(HINSTANCE hInstance,
              HINSTANCE hPrevInstance,
              LPSTR   lpCmdLine,
              int     nCmdShow)
{
   DWORD PID;
   HANDLE Process;
   LPVOID pThread;

   GetWindowThreadProcessId(FindWindow("Notepad", NULL), &PID);
   Process = OpenProcess(PROCESS_ALL_ACCESS,FALSE,PID);
   pThread = VirtualAllocEx(Process, NULL, ShellSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
   WriteProcessMemory(Process, pThread, ShellCode, ShellSize, NULL);
   CreateRemoteThread(Process, 0, 0, (LPTHREAD_START_ROUTINE)pThread, NULL, 0, NULL);
   return 0;
}

 

现在的ShellCode编写的都是以全Windows版本实现的(至少可以在所有NT内核上跑)
如果在WIn9x下跑的话还需要ShellCode支持还有~使用EliRT了~
这里感谢一下:EliCZ叔叔~呵呵~~还有29A的高手们..转载保留版权:By Anskya
iiprogram
关注
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 542
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行shellcode 这里说明一下哈,这里是...
远程线程shellcode注入
ndl1302732的专栏
10-11 2289
高手请飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~          前一篇文章,写到了利用远程线程注入DLL,其原理是利用LoadLibaray把DLL加载进去,这种方式注入简单,但是会在对方进程加载一个模块。人家用工具一看,多了个模块,就知道被搞了。。。           今天写下用远程线程注入shellcode, 注入shellcode的难点是,注入的代码不能访问绝对地址...
Anskya说的
RemoteHacker的专栏
06-08 1019
 那你认为1年就可以掌握?一门语言吗?每年几百万人在使用C++,1000多个天才组成的 C++标准化组织修订的标准是你1年时间学会的吗?编程的6大境界,编程就是修心1.熟悉一门语言和开发工具,也就是,学习拳脚功夫最好使用,C,C++,Object Pascal[Delphi]等.别从Java,ASP等起步...编程思想的训练...时间:1年左右2.掌握一门语言,了解一些简单的算法和数据结构,熟练使
Shellcode详解
最新发布
N阶二进制的博客
06-18 1963
Shellcode一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
远程线程注入shellcode笔记
weixin_30872789的博客
10-17 319
#include "stdafx.h" #include <windows.h> #include <stdio.h> char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12...
远程执行shellcode
aod83029的博客
06-13 481
#include "Windows.h" #include <WinSock2.h> #include <stdio.h> #pragma comment(lib,"WS2_32.lib") int shellcode_execute() { WSADATA wsData; if(WSAStartup...
C/C++ 将ShellCode注入进程内存
CSDN
11-06 5491
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
易语言远程线程注入方法
01-04
易语言远程线程注入方法是一种在程序运行时将一段代码注入到另一个正在运行的进程中的技术。这种方法在软件开发、调试、性能优化以及恶意软件中都有应用。在易语言中,实现远程线程注入需要对操作系统底层机制和...
windows-CODE注入远程线程注入
08-14
远程线程注入是Windows系统中一种强大的技术,它能够让我们跨进程执行代码,但同时也可能被滥用。理解其工作原理和安全风险对于开发者来说至关重要,无论是为了编写安全的应用程序,还是为了防御潜在的恶意攻击。在...
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入,APCInject,SetWindowHookEX注入
01-30
本文将详细探讨五种常见的进程注入方法:远程线程注入、创建进程挂起注入、反射注入、APCInject以及SetWindowHookEX注入。 1. **远程线程注入**:这种方法是最基础的进程注入手段。它涉及到在目标进程中创建一个新...
Delphi Tiny_Shell 3k (普通版本+端口复用穿防火墙)
01-13
Tiny_Shell 0.1 (普通版本)By Anskya某天精神好了一点的时候写的,使用KOL+删除多余资源+清除PE重定位表+FSG压缩体积只有3k.感谢那些提供Code和教程的GG and JJ们~~ ^_^~部分代码直接翻译C的shellTiny_Shell.dpr 工程时最简单的shell采用匿名单管道设计,本来打算不用管道直接写的,但是怕连目录都无法显示所以还是用了单管道,有个BUG-很明显的那种-就是,输入命令看不见但是可以运行,有兴趣自己改成双管道就可以了(如果不怕自己麻烦部使用管道直接将Socks获取的信息直接写入进程,也可以返回数据的^_^).最好不要这样作很麻烦的说。身体不好要睡觉了,就不多写了.Tiny_Shell2 0.1(端口绑定版本)By AnskyaTiny_Shell2.dpr 从0.1普通版修改的~只修改一点点Code~呵呵懒得写代码端口绑定原理是从C的shellcode Debug出来的^_^默认是绑定80端口(如果没有找到这个端口就自己创建80端口。。。。),IP约束中的IP是为了防止任何人都连接上shell,这个地方可以改进一下,这个仅仅是演示版~要与实际开发结合还有好多问题存在。哈~嗯。。。自己看代码吧~最好对照着MSDN看,其实端口复用没有什么神秘的都很简单,系统本来就提供的功能。。口误。。不多说了。自己看吧,又要睡觉了。呵呵。。雨楠生气就不好了。(EVA X爆走:雨楠饰演~第X号使徒:Anskya饰演完全沉默了)有什么好的想法或者修改了此代码请发送在下(用词失误)一份。呵呵,又要吃药了(至少20粒)。555~~QQ:115447(加我请注明来意。呵呵。)寻求骨髓捐助者一名(不限制条件~本人AB型血支持任何血型)QQ:115447Email:Anskya@Gmail.com
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
Delphi编写ShellCode的示例
02-22
Delphi编写ShellCode的示例+Delphi代码
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
shellcode,缓冲区溢出漏洞及 远程调call
任鸟飞2217777779的博客
02-13 1325
这个函数分配了8个字节的缓冲区,然后通过 strcpy 函数将传进来的字符串复制到缓冲区中,最后输出,如果传入的字符串大于 8的话就会发生溢出,并向后覆盖堆栈中的信息,如果只是一些乱码的话那个最多造成程序崩溃,如果传入的是一段精心设计的代码,那么计算机可能回去执行这段攻击代码。我们的shellcode 不能有00,否则 strcpy 会提前结束,所以 上面的代码中有字符串00结尾,需要我们修改成其他的代码形式。我们只要把返回地址覆盖成我们要执行的代码地址,就可以让该函数返回的时候去顺利执行我们的代码了.
vc++ CreateRemoteThread 远程线程 DLL注入 shellcode 生成,IDA shellcode 提取
xkdlzy的专栏
07-23 726
CreateRemoteThread shellcode DLL注入 LoadLibrary vc++
线程注入 根据进程名字来实现注入
天蓝的专栏
09-01 1257
 #include "stdafx.h"#include "windows.h"#include #include "stdio.h"// ========== 定义一个代码结构,本例为一个对话框============struct MyData{int can1; char sz[64]; // 对话框显示内容 DWORD dwMessageBox; // 对话框的地址};// ====
远程代码注入,并调用相关call
jack533的专栏
03-14 2337
目的 在目标程序远程注入代码,并执行注入调用代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值