将数据放入代码中的shellcode函数

最新推荐文章于 2023-11-14 11:45:22 发布
最新推荐文章于 2023-11-14 11:45:22 发布
阅读量911 收藏 1
点赞数
文章标签: 将数 代码 shellcode 函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/46545663
版权

有的时候我们需要用shellcode执行一个函数,这个函数中包含一些全局的数据,你会怎么做


(1)这个函数的代码将从0地址开始执行

(2)如何能够找到与0地址相对的偏移地址


解决方案:

(1)方法1:0地址处使用push指令将数据压入栈中,形成栈变量:这种方法适用小量的局部数据,因为大量的数据产生较多指令

(2)方法2:push , call , pop 方法

fun:

push edi     ;征用edi寄存器

call entry    ;跳转到entry,此时eip入栈(受取指流水线影响,此时的edi正好是data1的值)

data1:

......

entry:

pop edi     ;弹出eip到edi,此时edi=data1

mov eax edi  ;交给eax

pop edi     ;释放对edi的征用


(3)方法2理论上通过的,但实际用C语言怎样编写这样代码呢?


#include "stdafx.h"
#include <Windows.h>

BOOL __stdcall MyStrEqu(char* user, char* data);/注意这个声明,可能导致函数地址排布出现混乱,如没有则未优化的时候static函数都是相对模块线性增序
static BOOL __declspec(naked) CheckUserAndPass2(char* user, char* passwd)///为防止编译器插入其他esp buffer检测代码,函数直接用naked的
{
	__asm
	{
		push ebp;naked的约定下,要仿造cdecl 对页指针保护
		mov ebp,esp;
		//para ebp+4 ebp+8

               //下面开始我们的shellcode
		push ebx;//需要征用ebx作为一个临时指针
		push edi;
		call entry1;

		_emit 'a';//_emit等价db(数据可以用其他程序生成_emit形式的代码~~)
		_emit 'a';
		_emit 'a';
		_emit 0;

entry1:
		pop edi;
		mov ebx, edi;
		pop edi;
		push ebx;
		push dword ptr[user];
		call MyStrEqu;
		cmp eax, 0;
		jz ret0;

		push edi;
		call entry2;

		_emit 'b';
		_emit 'b';
		_emit 'b';
		_emit 'x';
		_emit 'x';
		_emit 0;

entry2:
		pop edi;
		mov ebx, edi;
		pop edi;
		push ebx;
		push dword ptr[passwd];
		call MyStrEqu;
		cmp eax, 0;
		jz ret0;
		pop ebx;
		mov eax, 1;//返回1
		pop ebp;
		ret ;
ret0:
		pop ebx;
		mov eax, 0;<span style="font-family: Arial, Helvetica, sans-serif;">//返回0</span>
		pop ebp;
		ret ;
	};
}

static BOOL __stdcall MyStrEqu(char* user, char* data)
{
	if(!user || !data)
		return FALSE;

	while((*user) && (*data) && ((*user) == (*data)))
	{
		user++;
		data++;
	}

	return (*user) == (*data);
}

static void __empty() {};//__empty必须在代码中出现,否则很容易被优化掉导致计算代码距离失败

BOOL CheckUserAndPass(char* user, char* passwd)
{
	if(MyStrEqu(user, "aaa") && MyStrEqu(passwd, "bbbxx"))
	{
		return TRUE;
	}

	return FALSE;
}


int _tmain(int argc, _TCHAR* argv[])
{
	char bf_user[100] = {};
	char bf_pass[100] = {};
	printf("test CheckUserAndPass:\ninput User: ");
	gets(bf_user);
	printf("input Pass: ");
	gets(bf_pass);
	printf("result: %d\n", CheckUserAndPass(bf_user, bf_pass));
	//
	printf("test CheckUserAndPass2:\ninput User: ");
	gets(bf_user);
	printf("input Pass: ");
	gets(bf_pass);
	printf("result: %d\n", CheckUserAndPass2(bf_user, bf_pass));
	//编译器可能最终会优化函数顺序导致我们需要的两个函数位置发生调换,用算法寻找最上面的start
	unsigned int fs_empty = ((unsigned int)(void*)__empty);
	unsigned int fs_addf = ((unsigned int)(void*)MyStrEqu);
	unsigned int fs_addf2 = ((unsigned int)(void*)CheckUserAndPass2);
	unsigned int func_entry = ((unsigned int)(void*)CheckUserAndPass2); //入口地址
	unsigned int fstart = fs_addf < fs_addf2 ? fs_addf : fs_addf2;

	unsigned char* buf = new unsigned char[abs(fs_empty - fstart)  + 100];

	if(fstart <= fs_empty)
		for(unsigned int i = 0; i < (fs_empty - fstart); i++)
		{
			unsigned char by = ((unsigned char*)fstart)[i];
			buf[i + 5] = by; //要在前面插入short jmp
		}
	else
		for(unsigned int i = 0 ; i < (fstart - fs_empty); i++)
		{
			unsigned char by = ((unsigned char*)fstart)[i];
			buf[i + 5] = by;
		}


<span style="white-space:pre">	</span>//由于不能确定start就是我们要的入口,插入一个jmp来条转过去
	buf[0] = 0xE9; //short jmp
	(*(int*)(&buf[1])) = (int)func_entry - (int)fstart;//offset

	DWORD dwOldProtect;
	::VirtualProtect(buf, abs(fs_empty - fs_addf)  + 100, PAGE_EXECUTE_READWRITE, &dwOldProtect);//之后buf就可以调用了
	typedef BOOL (__cdecl * PFN_CheckPass)(char* user, char* passwd);
	PFN_CheckPass fnCheck = (PFN_CheckPass)buf;
	printf("test CheckUserAndPass:\ninput User: ");
	gets(bf_user);
	printf("input Pass: ");
	gets(bf_pass);
	BOOL x = fnCheck(bf_user, bf_pass);
	printf("result: %d\n", x);
	return 0;
}

最后你可以用dump内存把shellcode dump到文件中,以便使用












nLif
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shellcode 小知识
煮酒闲谈
09-11 448
shellcodeAbout shellcode Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hac
【网络安全】Metasploit生成的Shellcode的导入函数解析以及执行流程分析(2)
HBohan的博客
09-14 425
密码破解的利器——彩虹表(rainbow table) 确定 shellcode 依赖于哪些导入将使研究人员进一步了解其其余逻辑。不用动态分析shellcode,并且考虑到研究人员已经弄清楚了上面的哈希算法,研究人员可以自己构建一个彩虹表。 彩虹表是一个预先计算好的表,用于缓存加密哈希函数的输出,通常用于破解密码哈希。 以下 Python 代码段计算位于最常见系统位置的 DLL 导出的“Metasploit”哈希值。 例如,下面的PowerShell命令生成一个彩虹表,然后搜索下图首先观察到的72677
静态获得函数地址shellcode实现
12-10
通过静态函数地址调用实现弹出command窗口的shellcode编写全过程
C/C++ 搜索缝隙并插入ShellCode
CSDN
02-22 7448
ShellCode放入变量,然后修改插入可执行文件名称,运行后即可将shellCode插入到EXE,并设置好装载地址,程序运行后会先上线,然后在执行原始的代码,在使用metaspoit生成shellcode时,运行方式需要指定为线程运行,如果为进程运行,则会卡在ShellCode的循环代码,原始程序则无法弹出,也就起不到插入的目的了。
Shell 函数 function [转]
weixin_34233618的博客
11-18 64
本文也即《Learning the bash Shell》3rd Edition的第四章Basic Shell Programming之读书笔记,但我们将不限于此。 运行shell脚本程序   一个包含shell命令的脚本就是一个shell程序,例如.bash_profile。我们创建shell脚本,允许的时候可以通过两种方式:一、source ;二、只敲入文件名,按回车就可以执行,这种方...
VC 写shellcode函数地址去掉跳转表
把梦想放飞在蓝色的天空里...
11-07 523
在默认DEBUG/RELEASE模式下函数地址不是最终的函数地址,而是E9 + offset 的形式,这使得直接使用函数地址作为shellcode 起始地址时会出现问题。该怎么修改编译选项呢? 在项目属性,选择 “配置属性” ==> "C/C++" ==> "优化" ==> "全程序优化" ,选择“是(/GL)” 这样就去掉了函数跳转表。但是这个开关会和另一个开关有冲突: ...
go-shellcode:将Shellcode加载到新进程
02-06
用法请记住,只有64位shellcode将在64位进程运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o ...
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
描述的"此源代码将生成 linux x86的 shellcode"进一步确认了这是一个用于创建shellcode代码库,适用于32位的Linux环境。生成shellcode的过程通常涉及到理解系统调用、内存操作和避开安全机制。 在标签,...
shellcoder:从可执行文件或汇编代码创建shellcode
02-05
4. **Perl在shellcode的作用** Perl是一种强大的脚本语言,可以方便地处理字符串和二进制数据,因此常用于生成和操作shellcode。Perl库如`Devel::Shellcode`可以简化shellcode的创建和测试过程。通过Perl,开发者...
shellcode文手册汇编.pdf
10-08
( shellcode文手册汇编.pdf ) 更多见:http://pan.baidu.com/wap/share/home?uk=1023919189
编写shellcode并注入至进程
挖树
10-18 4514
shellcode 维基百科: 在计算机安全shellcode是一小段代码,可以用于软件漏洞利用的载荷。 被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcode。 …… Shellcode通常是以机器码形式编写的。 去掉修饰词,shellcode就是一段机器码。 关于shellcode如何...
C/C++ 将ShellCode注入进程内存
CSDN
11-06 5455
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode被注入到进程内存时,其并没有与之对应的硬盘文件,从而难以在磁盘取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
C/C++ 到 shellcode 过程
qing666888的专栏
01-16 1742
最简单的弹出cmd代码 1 #include2 #include 3 void main()4 {5 system("start cmd");6 } 为了确保system函数存在,加入LoadLibrary("msvcrt.dll"); 1 #include2 #include 3 4 void main()5 {6 LoadLibrary("msvcrt
基于C++的shellcode植入目标程序设计 课程报告+代码及exe可执行文件
毕业作品网站
05-15 592
目录 一.程序模块划分 1 二.主要模块描述 1 2.1 Shellcode 的生成 1 2.2 infect.cpp 简介 5 SetBytes 用于向文件指定位置覆盖写入 5 GetBytes 用于读取文件指定位置内容 5 获得 Dos 头的 e_lfanew,即 PE 头的 RVA 6 三.传染模块的设计与实现 6 验证 PE 文件 8 2.获取 PE 头位置 9 四.PE 文件格式简述 10 Dos 头 10 PE header 11 SECTION TABLE 节
【渗透实战】木马免杀
最新发布
zkaqlaoniao的博客
11-14 1529
base64 sgn编码。
shellcode笔记(二) 获取所需调用函数的地址
weixin_43698273的博客
01-06 879
shellcode笔记(二) 获取所需调用函数的地址 此笔记基于 “VS平台C/C++高效shellcode编程技术实战课程” 视频 shellcode杜绝一切绝对地址的直接调用,因为不同系统上的绝地地址存放的可能不是我们需要使用的函数,或者根本没有存放东西,这就需要我们在程序执行的过程去动态地去获取所需函数的地址。该怎么做呢? 做法: 我们这里以创建文件的函数CreateFil...
shellcode获取MessageBoxA的地址
dasgk的专栏
09-02 2787
_asm {      push ebp;暂存基址      mov eax,fs:[30];获取PEB地址      mov eax,[eax+0ch];获取LDR地址      mov  eax,[eax+14h];获得PEB_LDR_DATAInMemoryOrderModuleListFlink的地址,该地址和LDR_DATA_TABLE_ENTRY的Flink相同
shellcode内存定位
qq_44119514的博客
02-23 634
shellcode内存定位基本方法 引入:今天被抛出一个问题 最开始一看,我就不明白了。但是却令我想起之前我写的一篇《shellcode编码之异或》,这篇文章提及到了两种解密子,而第二种就与今天的主题有关!当时我没有做过详细的解释与分析(主要是因为我当时估计原理没有弄懂,而是做了简单的引入),趁着今天脑袋还清醒着,赶紧记录! 再引入: 这段话似乎和我们今天的问题不相关,一个...
shellcode解码代码使用的shellcode是经过编码的shellcode还是原有的shellcode
06-09
编码可以提高shellcode的兼容性,防止被杀毒软件检测到,同时也可以避免shellcode的一些特殊字符被误解释。编码的方法有很多种,比如base64编码、hex编码、rot13编码等,具体使用哪种编码方式取决于编写解码代码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值