【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路

最新推荐文章于 2023-12-05 00:31:33 发布
最新推荐文章于 2023-12-05 00:31:33 发布
阅读量477 收藏 2
点赞数 2
分类专栏: 免杀前置课 漏洞复现 文章标签: windows microsoft c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62783065/article/details/128452484
版权

使用PEB TEB查找核心模块

如何从一个未知的环境找到并使用我们的Kernel32.dll user32.dll ntdll.dll

知识补充:

Kernel32.dll user32.dll ntdll.dll

  • 所有进程无论窗口程序还是控制台程序,都会引用kerne132.dll
  • User32.dll窗口程序专用,封装了所有跟窗口操作相关的 API
  • Ntdll.dll ! ! !他是ring0 的大门。无论是kernel32还是user32最终都会去调用ntdll, dll

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
ExceptionList:用于操作系统的SEH (SEH: windows 的异常处理机制大量用于反调试程序!!!)
PEB: Process Envirorment Block
进程环境块:存放进程相关信息,我们需要的东西在这个老东西里面!!

TEB

实验:分析API NtCurrentTeb ( ) ﹔

在这里插入图片描述
FS段寄存器存放的是TEB结构体的首地址,我们可以看到这个API主要就是做了一个操作,mov eax,FS:[0x18]也就是把7FFDE018位置的值给eax,且我们看到这里的值就是FS的指针地址,由此可以知道7FFDE018这个位置就是上面这个NT_TIB结构体指向自己的指针。 而NT_TIB在TEB中又是在0偏移的位置上,所以FS存放的就是TEB结构体的首地址。
FS:[0X30]就是PEB的指针。至此我们找到了PEB的地址

在这里插入图片描述
在这里插入图片描述

PEB

PEB+0x0c偏移存放了LDR结构体的地址,而LDR结构体中,有分别按不同排序的dll,我们重点看第三个InitalizationOrderMoudleList这个结构体变量是按初始化排序的,第一个存放的是ntdll.dll,第二个是kernel32.dll或者Kernerbase.dll。我们再到这个LIST_ENTRY结构体中看,其中Flink存放着下一个结构体的指针,Blink存放着上一个结构体的指针,相当于一个双向链表。 而InitalizationOrderMoudleList中的第一个dll文件就是ntdll.dll,他的Flink指向的就是kernel32.dll
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
至此我们有了第一种思路来获取到kernel32.dll。

 1. MOV esi,FS:[0x30] 获取PEB地址 
 2. MOV esi,[esi+0xc] 获取LDR地址 
 3. MOV esi,[esi+0x1c] 获取InitalizationOrderMoudleList地址 
 4. MOV esi,[esi] 获取第二个DLL文件信息 即Flink

第二种思路和第一种相差无几,有第二种思路是因为List_entry结构体在外层还有一个结构体。其名为LDR_DATA_TABLE_ENTRY,像我们看到的,他其中也有一个InitalizationOrderMoudleList结构体变量,我们上一种思路第三部调用的其实和这个是一样的。且这个结构体还有个重要的变量DllBase,他就相当于我们模块的基址,相当于GetModouleHandle,这样我们依旧可以靠他找到kernel32.dll来调用LoadLibrary和GetProcAddr这两个API。

 1. MOV esi,FS:[0x30] 获取PEB地址 
 2. MOV esi,[esi+0xc] 获取LDR地址 
 3. MOV esi,[esi+0x1c] 获取InitalizationOrderMoudleList地址 
 4. MOV esi,[esi+0x8] 获取dllbase


在这里插入图片描述

在这里插入图片描述

webfker from 0 to 1
关注
专栏目录
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dllWindows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3430
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
kernel32 ntdll
weixin_30468137的博客
04-17 674
ntdll中保存了kernel32函数的指针 转载于:https://www.cnblogs.com/yiii/p/8870338.html
通过NtCurrentTeb获取系统版本
haojiexingbang的博客
11-14 602
通过NtCurrentTeb () 获取Windows10版本号
TEBPEB
南宫封清的博客
04-11 3136
TEB(Thread Environment Block,线程环境块) 线程环境块中存放着进程中所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
我以为面试官在第二层,没想到他在第5层(dll注入:系统kernel32.dll为什么在每个进程中的基址相同)
weixin_43742894的博客
05-01 2201
在漫长的春招过程中,身为一个大三找实习的弱鸡,免不了被面试官捶打。 昨天被问到一个dll注入的问题,当时心想,正中我的下怀,唉,我就叽里呱啦把远程线程注入的实现过程讲了一下: 1.使用进程PID打开进程,获得句柄 2.使用进程句柄申请一块可读可写的内存地址 3.把dll路径写入内存 4.使用CreateRomteThread创建远程线程,调用LoadLibrary实现注入 5.释放收尾工作或者卸...
打开ntdll.dllkernel32.dll这两个库函数的描述文件的工具或方法
kanwoerzi
09-13 810
ntdll.dllkernel32.dll文件属于Windows的系统文件,在Windows系统中扮演着重要角色。 ntdll.dllNT Layer DLL)是Windows NT操作系统的重要模块,属于系统级别的文件。用于堆栈释放、进程管理。 kernel32.dllWindows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作...
第八十一:基于白名单Rundll32.exe执行payload第十一季1
08-03
这条命令将使用JavaScript脚本并通过Rundll32.exe调用MSHTML组件执行远程提供的shellcode。 成功后,Metasploit将会显示连接成功的信息: ```plaintext [*] Started reverse TCP handler on 192.168.1.4:53 ...
第八十一:基于白名单Rundll32.exe执行payload第十一季.docx
09-15
在本程中,我们探讨了如何利用白名单中的Rundll32.exe来执行payload,这是一个常见的技术,常被用于绕过安全措施。Rundll32.exe是Windows操作系统中的一个重要组件,它允许以命令行的方式调用动态链接库(DLL)...
payload分离免杀思路第二季(第四十八).docx
09-15
### Payload分离免杀思路第二季知识点详述 #### 一、背景及概念介绍 ##### Windows环境及.NET Framework - **Windows环境**:自Windows XP Media Center Edition起,默认安装.NET Framework,直至当前的Windows ...
printjacker:劫持Printconfig.dll以执行Shellcode
05-28
打印杰克Printjacker是一个利用后的工具,可以通过使用Shellcode注入器覆盖Printconfig.dll来创建持久性机制。 可以通过对任何用户执行wmic printer list命令来调用持久性机制。 Shellcode将以SYSTEM特权执行。 详细...
32.远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
32dllshellcode
最新发布
08-05
使用方法看源码注释
65.远控免杀专题(65)-shellcode免杀实践1
08-03
【网络安全与Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
【原创】ShellCode免杀的骚姿势.doc
07-12
ShellCode 免杀是指攻击者使用特殊的技术来规避安全软件的检测, ShellCode 是一段用于利用软件漏洞而执行的代码,通常是 16 进制的机器码。下面将详细介绍 ShellCode 免杀的骚姿势。 1. shellcode 和加载程序的...
四种方法获取TebPeb
QXinHan的博客
12-05 1984
免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
m0_62783065的博客
01-08 644
免杀】通用shellcode原理——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
TEBPEB学习记录(一)
QXinHan的博客
11-07 628
TEBPEB的学习记录
探索软件安全:API函数地址搜索与kernel32.dll动态链接库实践
1. 编程实现:学生需要编写代码来定位kernel32.dll的虚拟地址,这涉及到访问线程控制块(TEB),PEB及其内部结构,以及模块初始化链表的遍历。 2. 寻找LoadLibrary和GetProcAddress:从kernel32.dll的基地址开始,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

webfker from 0 to 1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值