动态定位API函数之shellcode编写

最新推荐文章于 2023-08-28 10:02:15 发布
最新推荐文章于 2023-08-28 10:02:15 发布
阅读量1k 收藏 4
点赞数 4
分类专栏: 网络安全 文章标签: 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mdp1234/article/details/110287856
版权
本文介绍了如何编写动态定位API的ShellCode以提高其在不同操作系统版本上的通用性。通过定位kernel32.dll和User32.dll中的函数地址,利用Windbg进行调试,详细阐述了查找API函数的过程,包括寻找PEB结构、模块初始化链表和导出表等步骤。最后,讨论了函数名的哈希处理和ShellCode的生成与执行。
摘要由CSDN通过智能技术生成

通用shellcode编写动态定位API
背景:
如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行
在这里插入图片描述

这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。

1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用它,就需要调用 LoadLibraryA 函数来加载User32.dll模块,而 LoadLibraryA 又位于 kernel32.dll 链接库中。
有这么一个信息,就是所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。所以只要找到 LoadLibraryA 函数,就能加载动态链接库,并调用其它的函数。
在win_32平台下定位kernel32.dll动态链接库中的API函数地址,有如下公式:
(1).首先通过段选择字FS在内存中找到当前的线程环境快TEB。

(2).TEB线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。

(3).进程环境块PEB中偏移位置为0x0C的地方存放着指向PEB_LDR_DATA结构体的指针,其中,存放着已经被进程装载的动态链接库的信息。

(4).PEB_LDR_DATA结构体偏移位置为0x1C的地方存放着指向模块初始化链表的头指针InInitizationOrderModuleList.

(5).模块初始化链表InInitizationOrderModuleList中按顺序存放着PE装入运行时初始化模块信息,第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll。

(6).找到属于kernel32.dll的结点后,在其基础上再偏移0x08就是kernel32.dll在内存中的加载基地址。

(7).从kernel32.dll的加载基址算起,偏移0x3C的地方就是其PE头。

(8).PE头偏移0x78的地方存放着指向函数导出表的指针。

(9).导出表0x1C处的指针指向存储导出函数偏移地址(RVA)的列表

导出表偏移0x20处的指针指向存储导出函数函数名的列表

函数的RVA地址和名字按照顺序存放在上述两个列表中,可以在名称列表中定位到所需的函数是第几个,然后在地址列表中找到对应的RVA

获得RVA后,再加上前面已经得到的动态链接库的加载基址,就获得了所需API此刻在内存中的虚拟地址。如下图:
在这里插入图片描述

  1. 下面使用Windbg内核调试,按照公式来查找Kernel32.dll的地址
    (1) 打开Windbg,然后按【Ctrl + K】-> 选择本地(Local) ,点击确定。
    在这里插入图片描述

(2) 按【Ctrl + S】
选择要加载的符号文件,否则无法进行查看
在这里插入图片描述

(3) 通过段选择字FS在内存中找到当前的线程环境快TEB,输入命令!teb
在这里插入图片描述

(4) 在TEB线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针
在这里插入图片描述

(5) 进程环境块PEB中偏移位置为0x0C的地方存放着指向PEB_LDR_DATA结构体的指针,其中,存放着已经被进程装载的动态链接库的信息。
在这里插入图片描述

(6) PEB_LDR_DATA结构体偏移位置为0x1C的地方存放着指向模块初始化链表的头指针InInitizationOrderModuleList.
在这里插入图片描述

(7) 在模块初始化链表InInitizationOrderModuleList中按顺序存放着PE装入运行时初始化模块信息,第一个链表结点是ntdll.dll
在这里插入图片描述

地址0x00191f28保存第一个链表结点的指针,解析这个链表结点,
在这里插入图片描述

(8) 找到属于kernel32.dll的结点后,在其基础上再偏移0x08就是kernel32.dll在内存中的加载的基地址。
在这里插入图片描述

在这里插入图片描述

通过一段汇编来获取kernel32.dll 的基地址
在这里插入图片描述

3.查找kernel32.dll 的导出表及函数API
(1)打开win32下的kernel32.dll文件,偏移 0x3c 的地方就是PE头
在这里插入图片描述

(2) PE头偏移0x78的地方存放着指向函数导出表
在这里插入图片描述
在这里插入图片描述

导出表的RVA地址是0x0000262C;那么它的文件OFFSET是多少?
在LordPE先查看各个段的RVA和OFFSET:
在这里插入图片描述

显然,导出表在.text区段
.data区段的RVA为0x1000,.data区段的起始Offset是0x400
RVA到Offset的转化:
Offset = 导出表RVA - 导出表所在区段的RVA + 导出表所在区段的 Offset
即:Offset=0x0262C – 0x1000 + 0x400= 0x1a2c

在LordPE计算器中计算
在这里插入图片描述

在PE文件中文件偏移0x1a2c为导出表结构,一个导出表大小是 0x28个字节
在这里插入图片描述

(3) 在导出表0x1C处的指针,指向存储导出函数偏移地址(RVA)的列表
导出表偏移0x20处的指针,指向存储导出函数函数名的列表
如下图是导出表的数据结构
在这里插入图片描述
在这里插入图片描述

最低0.47元/天 解锁文章
mdp1234
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MessageBox()--shellcode(二)
Xor0ne
02-18 766
shellcode 的提取: 参考链接:https://www.cnblogs.com/manu18/articles/9445130.html 理解:指一组计算机能直接执行(不需要点击和编译),实现我们想要功能的机器代码,通常以十六进制数组的形式存在。 (1)、弹出MessageBox() 源代码1: // 2.cpp : Defines the entry point for the cons...
恶意代码分析实战课后习题分析
深度安全实验室
04-01 463
恶意代码分析实战课后习题分析
Windows 下 shellcode 编写
aptx4869_li的博客
06-16 2022
Windows下的shellcode编写首先,我们先了解一下shellcode是什么?Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数...
【2021.01.15】注入ShellCode
oalken的博客
01-15 704
什么是ShellCode? 不依赖环境,在任何地方都能执行的机器码(硬编码)。 ShellCode编写原则 不能有全局变量。 不能使用常量字符串、 不能使用系统调用。 不能嵌套调用其他函数ShellCode的问题 由于第 3 点,所以不能直接使用函数,因为直接使用函数在编译时会产生导入表。而将代码复制到其他进程中,其他进程没有需要的导入表,所以会出问题。 那么该怎么解决这个问题呢? 可以不依赖任何导入表得到进程的TEB,其次,通过TEB找到PEB,再找到 3 个链表。 对链表进行遍
1.4 编写简易ShellCode弹窗
最新发布
CSDN
08-28 4931
在前面的章节中相信读者已经学会了使用`Metasploit`工具生成自己的`ShellCode`代码片段了,本章将继续深入探索关于`ShellCode`的相关知识体系,ShellCode 通常是指一个原始的可执行代码的有效载荷,攻击者通常会使用这段代码来获得被攻陷系统上的交互Shell的访问权限,而现在用于描述一段自包含的独立的可执行代码片段。ShellCode代码的编写有多种方式,通常会优先使用汇编语言实现,这得益于汇编语言的可控性。
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
windows平台下功能性shellcode编写
11-12
本主题聚焦于Windows平台下的功能性Shellcode编写,这是一种高级技术,涉及到深入理解操作系统内部工作原理、汇编语言以及可能的高级编程技巧。 1. **Windows Shellcode基础知识**: - Shellcode是二进制代码,...
使用shellcode动态加载dll-易语言
06-11
在易语言中,实现shellcode的方式可能需要利用API调用,因为易语言自身并不直接支持原生的shellcode编写动态加载DLL意味着不通过传统的`LoadLibrary`或`GetProcAddress`函数来显式加载和使用DLL,而是通过内存中...
cpp-DllToShellCode快速将Windows动态链接库转换成ShellCode
08-16
3. 编写包装代码:创建一个小型的加载器,负责在内存中定位和执行ShellCode。 使用"cpp-DllToShellCode"时,你需要提供DLL文件,工具会生成相应的ShellCode。这个过程涉及到的知识点包括: - Windows API调用和函数...
内存操作的全部API函数总结
12-07
此包含了全部与内存相关的Windows API函数,包括内存管理,全局内存管理,本地内存管理,堆内存管理,虚拟内存管理等等全部API函数,每一个函数都有对应使用方式的源代码例子,每个代码都有详细注释的例子,便于您快速进行Windows的内存编程
电子科技大学软件安全搜索API实验
01-05
实验的核心在于API函数搜索,这在编写shellcode时尤为重要,因为shellcode通常需要调用系统API来执行特定功能,如创建进程(CreateProcess())、网络通信(socket())。由于不同操作系统的动态链接库(DLL)加载地址...
利用Shellcode注入PE文件加载计算器
威化饼的一隅
04-16 2957
文章目录简介C语言版shellcode汇编版shellcodeshellcode跳转到原入口地址代码编写思路源代码 简介 采用C语言查看和修改一些PE文件的关键结构,结合shellcode,完成功能: 先用C语言编写通过LoadLibrary()和GetProcAddress()调用msvcrt.dll中的system()函数来弹出计算器的代码。在OllyDbg中打开该程序,查看对应的汇编代码和...
[ShellCode] 动态解密 ShellCode,免杀
LYSM
11-27 1992
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征码查杀,当我们程序中使用了敏感的函数时,就会存在被杀的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么杀软将无法捕捉硬盘文件的特征,从而可以规避杀软针对硬盘特征的查杀手法。 经过阅读该案例
shellcode笔记(二) 获取所需调用函数的地址
weixin_43698273的博客
01-06 878
shellcode笔记(二) 获取所需调用函数的地址 此笔记基于 “VS平台C/C++高效shellcode编程技术实战课程” 视频 shellcode中杜绝一切绝对地址的直接调用,因为不同系统上的绝地地址存放的可能不是我们需要使用的函数,或者根本没有存放东西,这就需要我们在程序执行的过程中去动态地去获取所需函数的地址。该怎么做呢? 做法: 我们这里以创建文件的函数CreateFil...
c语言code函数的使用方法,C语言执行shellcode的五种方法
weixin_42298645的博客
05-20 1277
#include //data段可读写#pragma comment(linker, "/section:.data,RWE")//不显示窗口#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")#pragma comment(linker, "/INCREMENTAL:NO")//一段打开Windows...
格式化字符串任意地址写入、函数指针执行shellcode——攻防世界string复现及知识点简述
独沐晨霖
08-24 1049
文章目录原题复现——攻防世界string漏洞分析攻击思路exp要注意的小细节 原题复现——攻防世界string 漏洞分析 题目去除了符号表,简单分析即可还原函数功能,用ida改名即可 先进行基础检查,是64位程序,未开启PIE main函数中会给出v3[0]和v3[1]的地址 游戏开始需要输入角色名称,无利用点 go_east函数,没有可以利用的地方,必须输east才能继续游戏 许愿函数,读入用户输入地址以及format,可以结合main函数给我们的地址进行任意地址写利用 .
定位API地址学习
weixin_30823227的博客
08-01 114
采用FS去定位API地址: FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 03...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8348
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
shellcode编写
06-28
### 回答1: Shellcode是一种在操作系统内核中执行的二进制代码。它通常用于漏洞利用和恶意软件中。编写shellcode需要了解汇编语言和操作系统内部工作原理。步骤包括确定目标系统平台、编写汇编代码、使用汇编器将代码转换为机器码并去除不必要的部分。最后,通过十六进制编辑器将机器码转换为可执行的shellcode。 ### 回答2: Shellcode是计算机安全领域中的一个术语,指的是一段精心编写的机器码,用于向远程服务器发送攻击代码。Shellcode由语言所写的基本单元构成,可以看作是一些机器指令的序列,这些指令可以被攻击者从攻击文件中提取并加载到内存中来执行。 在编写Shellcode时,攻击者需要考虑以下几个因素: 1. 选择合适的语言:通常情况下,攻击者使用较低级别的语言编写Shellcode,比如汇编、C语言等,具有较高的攻击性和灵活性。高级语言可被编译成较低级别的机器码,但由于其过于复杂,会使攻击者的目标变得更加难以实现。 2. 确定攻击目标:在编写Shellcode时,攻击者需要明确自己的目标是什么,因为Shellcode的内容和指定的操作系统有关。如果攻击者要攻击Linux操作系统,则需要编写适用于Linux的Shellcode。 3. 了解系统调用:Shellcode本质上是攻击代码,需要与操作系统进行交互才能实现攻击功能。攻击者需要深入了解目标操作系统的系统调用,以便编写能够集成到Shellcode中的函数。 4. 隐藏自己的Shellcode:攻击者的Shellcode需要能够在执行攻击时隐藏自己的存在,防止被服务器的安全防御发现并阻止其执行。因此,编写Shellcode的过程中,添加一些默默执行的优化代码通常会使Shellcode更难被检测出来。 综上所述,Shellcode编写需要仔细考虑许多细节和攻击原理,是一个非常复杂和挑战性的工作。需要具有深入的技术知识、大量的实操经验和强烈的创造力来成功实现。因此,对于那些想要保护自己计算机系统的安全和隐私的用户来说,应该注意提高自己的网络安全意识,以免成为黑客攻击的目标。 ### 回答3: Shellcode是一种机器可执行代码,通常用于利用软件或系统漏洞,实现攻击者的目的。它们是用汇编语言编写的小段程序,目的是在攻击者控制的环境中提供一个命令行接口。Shellcode是计算机安全方面的一个重要组成部分,它们用来攻击网络或操作系统,并实现攻击者的目标,比如窃取敏感信息、获得系统管理员权限等。 Shellcode编写过程需要以下步骤: 1. 选择正确的汇编代码和指令:攻击者需要使用特定的汇编代码和指令,以便在目标系统上实现其目的。这些代码和指令通常是最简单的和最小的,以便在运行时不引起注意,并且可以在目标系统上尽可能快地执行。 2. 手写代码或使用自动化工具:在编写Shellcode时,可以手动编写代码,也可以利用自动化工具(如Metasploit)来生成代码。无论哪种方法都需要足够的经验和技术。 3. 调试和测试:成功编写shellcode需要进行检查,确保其在目标环境中能够准确执行所需的操作。一些测试工具和脚本可以用于对Shellcode进行测试,以保证其正确性和稳定性。 4. 压缩和编码:为了使Shellcode足够小,可以使用压缩和编码技术来减小代码体积。这有助于减小Shellcode在内存中的占用空间,并增加攻击成功的几率。 总的来说,Shellcode编写需要具备丰富的汇编语言编程知识和安全实践经验,同时需要掌握各种测试和修复技术。攻击者使用Shellcode来实施危害,所以安全团队需要相应地采取措施,防范和识别Shellcode攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值