ShellCode注入

最新推荐文章于 2024-04-06 04:22:46 发布
最新推荐文章于 2024-04-06 04:22:46 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly1390811049/article/details/105879289
版权

注意点:

1. 不能有全局变量

2. 不能使用常量字符串 ,可以使用这种形式 szTitle = {'a', 'b', 'c', 0};

3. 不能使用系统调用,比如不能直接使用MessageBox,因为生成的汇编是 Call [0xxxxxx],这个0xxxxx是导入表的地址,注入的程序导入表地址不同而且导入表中不一定有这个函数,可以使用LoadLibrary配合GetProcAddress,但是LoadLibrary和GetProcAddress也是系统调用,也依赖导入表需要通过PEB的模块链,找到Kernel32.dll的模块句柄,然后找到Kernel32.dll的导出表,然后找到LoadLibrary和GetProcAddress的函数地址

4. 不能嵌套调用其他函数,注入后函数地址变化了

 

头文件,结构体定义

#pragma once

#include <windows.h>

typedef struct _UNICODE_STR
{
	USHORT Length;
	USHORT MaximumLength;
	PWSTR pBuffer;
} UNICODE_STR, *PUNICODE_STR;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
	BYTE			Reserved1[16];
	PVOID			Reserved2[10];
	UNICODE_STR		ImagePathName;
	UNICODE_STR		CommandLine;
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STR FullDllName;
	UNICODE_STR BaseDllName;
	ULONG Flags;
	SHORT LoadCount;
	SHORT TlsIndex;
	LIST_ENTRY HashTableEntry;
	ULONG TimeDateStamp;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA
{
	DWORD dwLength;						//结构体大小
	DWORD dwInitialized;				//进程是否初始化完成
	LPVOID lpSsHandle;
	LIST_ENTRY InLoadOrderModuleList;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	LPVOID lpEntryInProgress;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

//PEB
typedef struct __PEB
{
	BYTE Reserved1[2];
	BYTE BeingDebugged;
#ifdef _WIN64
	BYTE Reserved2[21];
#else
	BYTE Reserved2[9];
#endif
	PPEB_LDR_DATA pLdr;
	PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
	BYTE Reserved3[520];
	BYTE Reserved4[136];
	ULONG SessionId;
} _PEB, *_PPEB;

cpp文件

#include "ShellCode.h"

typedef PVOID(__stdcall *MyGetProcAddress)(HMODULE hModule, LPCSTR lpProcName);
typedef HMODULE(__stdcall *MyLoadLibraryA)(LPCSTR lpLibFileName);
typedef int (__stdcall *MyMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType);

void ShellCode()
{
	//获取peb地址  fs:[0x30]
#ifdef _WIN64
	DWORD64 dwPeb = __readgsqword(0x60);
#else
	DWORD dwPeb = __readfsdword(0x30);
#endif

	//unicode格式
	wchar_t szKernel32[] = { L'K', L'E', L'R', L'N' , L'E' , L'L' , L'3' , L'2' , L'.', L'D', L'L', L'L', 0, 0 };
	char szUser32[] = { 'U', 'S', 'E', 'R', '3', '2', '.', 'D', 'L', 'L', 0 };

	char szGetProcAddr[] = { 'G', 'e', 't', 'P', 'r', 'o', 'c', 'A', 'd', 'd', 'r', 'e', 's', 's', 0 };
	char szLoadLibrary[] = { 'L', 'o', 'a', 'd', 'L', 'i', 'b', 'r', 'a', 'r', 'y', 'A', 0 };
	char szMessageBox[] = { 'M', 'e', 's', 's', 'a', 'g', 'e', 'B', 'o', 'x', 'A', 0 };

	PVOID pKernelBase = nullptr;
	MyGetProcAddress pMyGetProcAddress = nullptr;
	
	//遍历Dll模块
	PLDR_DATA_TABLE_ENTRY pDataTable = (PLDR_DATA_TABLE_ENTRY)((PPEB_LDR_DATA)((_PPEB)dwPeb)->pLdr)->InMemoryOrderModuleList.Flink;
	while (pDataTable)
	{
		//找到kernel32模块
		LPTSTR lpDllName = (LPTSTR)pDataTable->BaseDllName.pBuffer;
		wchar_t*  pTemp = szKernel32;
		while (*pTemp && *pTemp == *lpDllName)
		{
			pTemp++;
			lpDllName++;
		}
		if (*pTemp == 0)
		{
			pKernelBase = pDataTable->DllBase;
			break;
		}

		//双向链表的下一个
		pDataTable = (PLDR_DATA_TABLE_ENTRY)pDataTable->InMemoryOrderModuleList.Flink;
	}

	if (pKernelBase == nullptr)
	{
		return;
	}

	//定位到PE指纹
	UINT_PTR pSignature = (UINT_PTR)pKernelBase + ((PIMAGE_DOS_HEADER)pKernelBase)->e_lfanew;
	//定位到导出表
	UINT_PTR pExportTable = (UINT_PTR)&((PIMAGE_NT_HEADERS)pSignature)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];
	pExportTable = (UINT_PTR)pKernelBase + ((PIMAGE_DATA_DIRECTORY)pExportTable)->VirtualAddress;
	
	//函数名表
	UINT_PTR pNameArray = (UINT_PTR)pKernelBase + ((PIMAGE_EXPORT_DIRECTORY)pExportTable)->AddressOfNames;
	//函数地址表
	UINT_PTR pAddressArray = (UINT_PTR)pKernelBase + ((PIMAGE_EXPORT_DIRECTORY)pExportTable)->AddressOfFunctions;
	//函数序号表
	UINT_PTR pNameOrdinals = (UINT_PTR)pKernelBase + ((PIMAGE_EXPORT_DIRECTORY)pExportTable)->AddressOfNameOrdinals;
	//导出函数个数
	DWORD dwExportFunCount = ((PIMAGE_EXPORT_DIRECTORY)pExportTable)->NumberOfNames;
	//遍历导出函数
	for (int i = 0; i < dwExportFunCount; i++)
	{
		//导出函数名
		char* pFunName = (char*)((UINT_PTR)pKernelBase + ((UINT_PTR*)pNameArray)[i]);
		//找到GetProcAddress
		char* pTemp = szGetProcAddr;
		while (*pTemp && *pTemp == *pFunName)
		{
			pTemp++;
			pFunName++;
		}
		if (*pTemp == 0)
		{
			//从序号表中取出地址表中的索引
			unsigned int nIndex = ((unsigned short*)pNameOrdinals)[i];
			//根据索引获取函数地址
			pMyGetProcAddress = MyGetProcAddress((UINT_PTR)pKernelBase + ((UINT_PTR*)pAddressArray)[nIndex]);
			break;
		}
	}

	//用GetProcAddress获取到LoadLibraryA的地址
	MyLoadLibraryA pMyLoadLibraryA = (MyLoadLibraryA)pMyGetProcAddress((HMODULE)pKernelBase, szLoadLibrary);

	HMODULE hUser32 = pMyLoadLibraryA(szUser32);
	MyMessageBoxA pMyMessageBox = (MyMessageBoxA)pMyGetProcAddress(hUser32, szMessageBox);
	pMyMessageBox(0, 0, 0, 0);
}

int main()
{
	ShellCode();
}

 

1390811049
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的远控shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是可以自定义shellcode进行注入的,并不是必须使用msf生成的shellcode进行注入 这里将自己扣出来的shellcode放在第一个输入框就行了,十进制的机器码之间以半角符逗号分隔开 生成的shellcode给自己的代码调用 记得要配合上 精易模块 进行使用 当然了 也可以自己手动补dll进去 以下为关键代码的截图 使用易语言好几年了,从最初的进厂打工(满心的无奈) 到现在的安全工程师,易语言是带我入门的语言 也是我至今最喜欢的语言之一 易语言对于我来说更多的是一种说不上来的感觉 对于我来说易语言是有生命的 也是易语言赐予了我入门这行的基础(很扎实很扎实) 此工具是前两天匆忙写出来的,如果有哪里做的不够好以及觉得此程序很烂的大佬们不要喷我 以下为下载地址 此程序使用了精易模块以及未闻花名的 皮肤模块
stealthInjector:使用直接系统调用将 shellcode 注入远程进程
05-31
隐形注射器 使用直接系统调用将 shellcode 注入远程进程。 直接系统调用将绕过许多 AV/EDR 检测技术,例如 API 用户态挂钩和监控。 系统调用是通过读取 ntdll.dll 而不是使用硬编码程序集动态检索的。 动态检索系统调用的好处是您不必担心系统调用在Windows版本/补丁之间的变化,也不必硬编码会占用空间和时间的程序集。 用法 Usage: stealthInjector.exe -shellcode <file> [-spawnProc | -pid <num>] [-unsafe] -spawnProc: spawn nslookup.exe and inject into that -pid <num>: inject into remote process given PID -unsafe: inject shellcode using high-le
sql写shell原理_sql注入写入shell的条件,网络安全高级工程师必备知识
最新发布
m0_61369227的博客
04-06 896
在上述条件满足后,执行Sqlmap,设置对应的语言、web目录,Sqlmap会通过outfile函数将在指定目录生成两个php文件,一个文件用于文件上传,一个文件用于接受命令参数执行系统命令此处有个奇怪的点是上传的命令执行文件我并没有在mysql日志中找到记录,猜测是通过有上传功能的那个php文件上传的,因为access.log中有访问记录,但由于是POST提交只记录了请求行,并没有请求内容。如果有大佬知晓,麻烦告知一二。
Windows x86 x64使用SetThreadContext注入shellcode的方式加载DLL
weixin_30877493的博客
04-25 522
一、前言   注入DLL的方式有很多,在R3就有远程线程CreateRemoteThread、SetWindowsHookEx、QueueUserApc、SetThreadContext   在R0可以使用apc或者使用KeUserModeCallBack   关于本文是在32位和64位下使用SetThreadContext注入DLL,32位下注入shellcode加载dll参考创建进程时...
C/C++ 将ShellCode注入进程内存
CSDN
11-06 5398
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
ShellCode的另外一种玩法(远程线程注入ShellCode)[by Anskya]
04-06 2210
 [原创]ShellCode的另外一种玩法(远程线程注入ShellCode)介于小弟技术菜,请各位大哥不要"奸笑"希望可以指点一二转载请保留版权:by Anskya这里是说将ShellCode代码直接注射到远程进程内部使她运行!以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型
Linux 64位 shellcode
weixin_44442852的博客
10-20 1411
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
X86,X64Shellcode框架
qq_40363731的博客
03-27 239
【代码】X86,X64Shellcode框架。
linux 64位 shellcode,Linux 系统下提取 ShellCode
weixin_36393674的博客
05-12 439
1.使用C语言编写一个获得系统Shell的小程序。#include int main(){char * shell[2];shell[0]="/bin/sh";shell[1]=NULL;execve(shell[0],shell,NULL);}编译并运行后,能够回弹Shell[root@localhost ~]# gcc -c lyshark.c[root@localhost ~]# gcc -...
X64汇编 shellcode
qq_31314583的博客
08-17 249
注意对其16字节,因此需要rsp+8对其,其次前四个参数由 rcx,rdx,r8,r9传递。
64位Shellcode方式注入DLL
IT男也疯狂
07-18 633
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式加载
inject:将 shellcode 注入 x86 上的 ELF3264 二进制文件,并将入口点重定向到新代码
07-03
注入shellcode 注入 x86 上的 ELF32/64 二进制文件,并将入口点重定向到新代码。
SyscallPOC:使用syscall的Shellcode注入POC
03-09
使用syscall的概念shellcode注入器的简单证明。 当前适用于Windows 10 1909和2004,默认值为1909。 您需要在Syscalls.cs取消注释2004年的syscall,并注释掉1909年的syscall才能切换到2004年。 该POC的灵感来自Jack...
kinject:内核Shellcode注入
03-25
亲缘关系内核Shellcode注入器基本的vs2019 + cpp + wdk用法(仅64位) kdu -map sys.sys kinject -f shellcode_full_path -p pid
将shllcode注入Linux中正在运行的进程(C/C++代码实现)
chen1415886044的博客
07-30 774
进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可以允许访问该进程的内存、系统/网络资源,以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测,因为在合法进程下执行是被掩盖的。 有许多不同的方法可以将代码注入进程,其中许多方法滥用合法功能。这些实现适用于每个主要的操作系统,但通常是特定于平台的。 更复杂的样本可以利用命名管道或其他进程间通信(IPC)机制作为通信信道来执行对分段模块的多个进程注入,并进一步逃避检测。
ShellCode编写和远程代码注入
&Ψ的博客
09-15 1257
文章目录1.ShellCode是什么2.ShellCode的编写原则3.TEB与PEB1)TEB线程信息获取当前线程的TEB2)PEB进程环境块获取当前进程的TEBPEB_LDR_DATALDR_DATA_TABLE_ENTRY在任意进程中找到一个LDR_DATA_TABLE_ENTRY1.一些结构体的定义2.寻找方法4.ShellCode的实现思路5.远程注入代码6.关于我在vs2017编写时遇到的问题解决方法 1.ShellCode是什么 一段特殊的代码,不依赖与任何进程环境。简单来讲就是一段可以在Wi
采用段式存储管理时,一个程序如何分段是在什么时候决定的?
syh666233的博客
10-06 3751
采用段式存储管理时,一个程序如何分段是在( )决定的? A.分配主存 B.用户编程 C.装作业 D.程序执行 分析: 要得到物理地址才能分配主存,而得到逻辑地址之后才能得到物理地址,而分段之后才能得到逻辑地址 至于装作业和程序执行,也需要得到物理地址之后才能进行,很好想,要知道真正的地址,我才能装作业,才能干活。 根据这个地址变换表,很明显也能看出要得到物理地址,是在得到逻辑地址之后。 ...
总结加载Shellcode的各种方式(更新中!)
xf555er的博客
05-24 2119
异步过程调用(APC)队列是一个与线程关联的队列,用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列,并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。内核模式 APC:由内核代码发起,通常用于处理内核级别的异步操作,如异步 I/O 完成。用户模式 APC:由用户代码发起,允许用户态应用程序将特定函数插入到线程的 APC 队列中,以便在线程上下文中异步执行。
1.10 内存ShellCode注入与格式化
CSDN
08-31 7385
ShellCode 的格式化与注入功能在实战应用中也尤为重要,格式化`Shellcode`是指将其转换为可执行的二进制格式,使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中,以便在该进程中执行,此类功能也可算作`ShellCode`技术的延申功能。
section .textglobal _start _start: ; 执行栈溢出,将shellcode注入到栈中。 ; 使用msfvenom生成一段简单的execve("/bin/sh")代码 ; msfvenom -a x64 --platform linux -p linux/x64/exec CMD=/bin/sh -f c ; 将生成的shellcode粘贴到这里。 xor esi, esi mov eax, esi ; 将堆栈指针rsp保存到rbx中 mov rbx, rsp next: ; 在栈中查找返回地址的偏移量 ; 这里的偏移量为40,实际上需要根据目标二进制文件的不同而调整 cmp byte [rsp], 0 jne next add rsp, 40 ; 用shellcode的地址覆盖返回地址 ; 这里的地址也需要根据目标二进制文件的不同而调整 mov QWORD [rsp], 0x7fffffffde10 ; 跳转到shellcode的地址,开始执行 jmp rbx转为python代码
03-25
# 将shellcode注入栈中 stack = b"A" * 512 + shellcode # 执行栈溢出 import ctypes libc = ctypes.CDLL(None) offset = 40 # 返回地址偏移量 buffer_address = ctypes.c_void_p(id(stack) + 64) # 栈地址 libc....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值