shellcode编写(未完)

最新推荐文章于 2022-05-26 19:14:37 发布
最新推荐文章于 2022-05-26 19:14:37 发布
阅读量212 收藏
点赞数
分类专栏: shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38641816/article/details/106932578
版权

一:基本
对于shellcode来说,它是独立的,可以附加在各种各样的进程中,所以他的每句代码都是独立,只与shellcode中的代码有联系,与外部代码都是隔绝的。
在生成exe的时候,编译器将函数转为真正实现这个函数功能的入口地址(绝对地址),由于shellcode是附加在其他进程上的,每个进程是不一样的,这个地址可能是其他功能,所以运用绝对地址不符合。所以需要动态调用,先获得函数的地址,在进行执行。
类似于这种:
GetProcAddress(LoadLibraryA(“kernel32.dll”), “CreateFileA”);
但是,LoadLibraryA与GetProcAddress的地址也需获取,在windows操作系统下,每一个进程都会对ntdll、kernel32、kernelbase做一个系统内部的加载,所以只需寻找内部加载的地址,就可以得到LoadLibraryA(“kernel32.dll”)的地址。
1,得到LoadLibraryA(“kernel32.dll”)
FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号
偷了张图片:
在这里插入图片描述
模块在内存顺序:
在这里插入图片描述


__declspec(naked) DWORD getKernel32()
{
    __asm
    {
        mov eax,fs:[30h] //得到PEB
        mov eax,[eax+0ch]  //PEB_LDR_DATA
        mov eax,[eax+14h]   //得到inmemoryodermodulelist,第一个模块
        mov eax,[eax]
        mov eax,[eax]     //第三个模块kernel32.dll
        mov eax,[eax+10h]  //得到Baseaddress,kernel的基址
        ret
    }
}

2,得到GetProcAddress地址
GetProcAddress这个函数也在kernel32中,


FARPROC _GetProcAddress(HMODULE hModuleBase) 
{
    PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;
    PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS)((DWORD)hModuleBase + lpDosHeader->e_lfanew);
    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size){
        return NULL;
    }
    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) {
        return NULL;
    }
    PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
    PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNames);
    PWORD lpword = (PWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNameOrdinals);
    PDWORD lpdwFunAddr = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfFunctions);

    DWORD dwLoop = 0;
    FARPROC pRet = NULL;
    for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++) {
        char* pFunName = (char*)(lpdwFunName[dwLoop] + (DWORD)hModuleBase);

        if (pFunName[0] == 'G'&&
            pFunName[1] == 'e'&&
            pFunName[2] == 't'&&
            pFunName[3] == 'P'&&
            pFunName[4] == 'r'&&
            pFunName[5] == 'o'&&
            pFunName[6] == 'c'&&
            pFunName[7] == 'A'&&
            pFunName[8] == 'd'&&
            pFunName[9] == 'd'&&
            pFunName[10] == 'r'&&
            pFunName[11] == 'e'&&
            pFunName[12] == 's'&&
            pFunName[13] == 's')
        {
            pRet = (FARPROC)(lpdwFunAddr[lpword[dwLoop]] + (DWORD)hModuleBase);
            break;
        }
    }
    return pRet;
}

3,字符串打散
字符串常量是一个固定地址,之前提到,为了避免使用绝对地址,改为使用字符数组,并且最后记得加上截断字符,避免越界。
4,函数生成位置
在单文件中,函数地址顺序与在代码编辑时的函数定义顺序有关。
在多文件中,在这个vcxproj下面。
在这里插入图片描述
二,编写shellcode
基本框架:

#include "pch.h"
#include <windows.h>
#include <stdio.h>

FARPROC  getProcAddress(HMODULE hModuleBase);
DWORD getKernel32();

int EntryMain()
{
	//声明定义GetProcAddress
	typedef FARPROC(WINAPI *FN_GetProcAddress)(
		_In_ HMODULE hModule,
		_In_ LPCSTR lpProcName
		);

	//获取GetProcAddress真实地址
	FN_GetProcAddress fn_GetProcAddress = (FN_GetProcAddress)getProcAddress((HMODULE)getKernel32());


	//声明定义CreateFileA
	typedef HANDLE(WINAPI *FN_CreateFileA)(
		__in     LPCSTR lpFileName,
		__in     DWORD dwDesiredAccess,
		__in     DWORD dwShareMode,
		__in_opt LPSECURITY_ATTRIBUTES lpSecurityAttributes,
		__in     DWORD dwCreationDisposition,
		__in     DWORD dwFlagsAndAttributes,
		__in_opt HANDLE hTemplateFile
		);
	//将来的替换,地址全部动态获取
	//FN_CreateFileA fn_CreateFileA = (FN_CreateFileA)GetProcAddress(LoadLibrary("kernel32.dll"), "CreateFileA");
	//带引号的字符串打散处理
	char xyCreateFile[] = { 'C','r','e','a','t','e','F','i','l','e','A',0 };
	//动态获取CreateFile的地址
	FN_CreateFileA fn_CreateFileA = (FN_CreateFileA)fn_GetProcAddress((HMODULE)getKernel32(), xyCreateFile);
	char xyNewFile[] = { '1','.','t','x','t','\0' };
	fn_CreateFileA(xyNewFile, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL);
}
lllllx@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动制作shellcode
fanghuapyk的博客
03-19 587
概括: 我们要将自己生成的shellcode汇编文件,编译为.o文件,然后再编译为可执行文件,然后将可执行文件中的有用的代码段单独复制出来,最后我们利用python脚本将我们的这一个文件发送到测试的程序中去 一:准备shellcode文件 1将汇编代码文件shellcode_32.Asm中代码编译为shellcode_32.o文件 命令为:nasm -f elf32 -o shellcode_32.o shellcode_32.asm push 0x68 push 0x732f2f2f push 0x6e6
编写shellcode的几种姿势
weixin_34043301的博客
04-20 262
今天开始在做hitcon-training的题目,做到lab2就发现了自己的知识盲区,遇到无法执行shell的情况,需要自己打shellcode执行catflag操作 经过一系列的搜索,发现了几种编写shellcode的方法: 首先,就可以用pwntools来编写: 1.asm 进行汇编,使用参数来指定cpu类型以及操作系统 32位linux: asm("mo...
黑客攻防入门(二)shellcode构造
不断攀登
07-28 1万+
1. 概说shell我们都知道是什么了吧! 狭义的shellcode 就是一段可以运行shell的代码!构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。shellcode通常放在缓冲区内,也可以通过环境变量存入堆内,也可以通过动态内存放入堆区。下面我们学习一下怎样构造shellcode。 注意: 我是在Centos 64位的系统下进行测试和构
[笔记]Windows安全之《三》Shellcode
二次元怪兽的博客
05-26 662
《加密与解密 漏洞篇 14.2 Shellcode》 文章目录前言Shellcode的结构 前言 Shellcode实际上是一段可以独立执行的代码(也可以认为是一段填充数据),在触发了缓冲区溢出漏洞并获取了eip指针的控制权后,通常会将eip指针指向Shellcode成漏洞利用过程。 Shellcode主要工作流程: Shellcode的结构 ...............
通用ShellCode学习笔记——win7中获得LoadLibraryA地址
weixin_30548917的博客
09-19 401
一、ShellCode编写 Kernel32地址的获取 由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置 esi=fs:0->TEB esi=TEB:30h->PEB esi=PEB:0ch->_P...
Android系统shellcode编写.zip_android_shellcode
09-23
随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode编写和理解成为了安全研究的重要部分。 shellcode通常在黑客攻击中扮演关键角色,当一个漏洞被利用时,攻击者会尝试注入shellcode来...
shellcode编写国外精典文档
04-05
### Shellcode编写国外经典文档知识点解析 #### 一、Shellcode简介 Shellcode是一种非常小的机器码程序,主要用于在漏洞利用过程中执行恶意操作。它通常被用来绕过安全机制或者执行特定的操作,如打开一个命令行...
Custom Shellcode
最新发布
05-16
Custom Shellcode 代码参考.
shellcode 编写技术 缓冲区溢出教程
04-20
shellcode 编写技术 缓冲区溢出教程 缓冲区溢出是指当程序向缓冲区写入数据时 vượt过缓冲区的容量限制,导致溢出到相邻的内存区域中,可能会导致系统崩溃或其他安全问题。 Buffer Overflow(缓冲区溢出)是一种...
linux下shellcode编写手册
05-18
### Linux下Shellcode编写手册概览及核心知识点 #### 一、基础知识介绍 **1.1 基本概念** - **内存管理**: 计算机中的内存是按需分配和管理的。对于程序员而言,了解内存的工作原理非常重要,尤其是在低级别的...
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3233
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
__declspec(naked)详解
weixin_30908941的博客
08-29 430
__declspec(naked)是用来告诉编译器函数代码的汇编语言为自己的所写,不需要编译器添加任何汇编代码 注意点: void __declspec(naked) funname() { _asm { ...ret } } 注意,__declspec(naked)是编译器直接拿来用的汇编函数代码,所以一定要记得在开始的时候保存上下文标志位(压栈),在结束的时候...
shellcode笔记(二) 获取所需调用函数的地址
weixin_43698273的博客
01-06 879
shellcode笔记(二) 获取所需调用函数的地址 此笔记基于 “VS平台C/C++高效shellcode编程技术实战课程” 视频 shellcode中杜绝一切绝对地址的直接调用,因为不同系统上的绝地地址存放的可能不是我们需要使用的函数,或者根本没有存放东西,这就需要我们在程序执行的过程中去动态地去获取所需函数的地址。该怎么做呢? 做法: 我们这里以创建文件的函数CreateFil...
windows下shellcode编写入门
热门推荐
x_nirvana的博客
03-31 1万+
本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。
那些shellcode免杀总结
mingyqf的博客
03-24 7882
那些shellcode免杀总结 卿i(https://xz.aliyun.com/u/15540) / 2020-02-07 08:57:08 / 浏览数 20471 自己还是想把一些shellcode免杀的技巧通过白话文、傻瓜式的文章把技巧讲清楚。希望更多和我一样web狗也能动手做到免杀的实现。 文中我将shellcode免杀技巧分为 "分离“、”混淆“两个大类,通过不同技巧针对不同检测方式,也就是常听到的特征检测、行
一个简单的shellcode如何写
qq_42764617的博客
12-01 1010
最简单的shellcode execve("/bin/sh",0,0); 通过简单的汇编将这句shellcode描写出来 eax = 0xb ebx = “/bin/sh” ecx = 0 edx = 0 int 0x80 section .text global _start _start: xor eax,eax ;eax=0 push 0x0068732f ;/sh\x00 push 0x6e69622f ;/bin mov ebx,esp ;这里是将/bin/sh的地址传给
shellcode编写
qq_44657899的博客
05-26 2490
文章目录注意事项基础知识开始编写第一步 初始化第二步 实现其他函数动态调用第三部 实现GetProcAddress和LoadLibraryA的动态调用获取kernel32.dll基址动态调用GetProcAddress实战CreateFileAMessageBoxA导出shellcode第一种shellcode编写实例1第一种shellcode编写实例2(优化结构)shellcode加载器 注意事项 不使用全局变量 不使用类似于"abc"这样的字符串,通过数组定义字符串,char name[] = {0x
ShellCode原理以及编写
qq_18811919的博客
07-02 2855
0x0 ShellCode编写注意事原理 1)不能使用字符串的直接偏移 即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。 2)不能确定函数的地址(如printf) 在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
ARM汇编基础与Shellcode编写实战
"这篇文档是关于在ARM平台上编写汇编语言SHELLCODE的教程,适合初学者入门。它涵盖了ARM汇编基础、常用指令、模式切换、地址计算、分支指令,以及如何编写ARM Shellcode,包括系统调用、参数映射、逆向工程等实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值