windows下shellcode基本编写方法

最新推荐文章于 2022-07-14 18:30:49 发布
最新推荐文章于 2022-07-14 18:30:49 发布
阅读量245 收藏
点赞数
文章标签: 指针 链表 字符串 数据结构 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40026795/article/details/107150287
版权 
注:本实验涉及的代码等仅限于学习目的,请勿用于非法目的,违者后果自负,与本网站无关。

必备API相关知识参考《windows中重要的API略解》

基本原理:

    1、程序一定调用了kernel32.dll

    2、利用Loadlibrary可以载入其他dll

    3、结合GetProcAddress可以获得任意API调用的具体地址

    4、使用DLL显式调用API(参考《DLL的两种调用方法》)

基本思路:

    1、获得kernel32.dll的地址

    2、获得LoadLibrary和GetProcAddress的地址

    3、显式调用LoadLibrary和GetProcAddress获得其他API地址

    4、显式调用得到的API

关键函数的编写

    1、GetKernel32Addr()

    用途:获取Kernel32.dll载入到进程中的位置

    参数:无参数

    输出:返回值为Kernerl32.dll载入的基址

    原理:fs寄存器指向进程的TEB块,TEB的0x30位置为指向PEB的指针

                PEB的Ldr(0x0c)为指向 _PEB_LDR_DATA结构体的指针

                _PEB_LDR_DATA的InMemoryOrderModuleList(0x1c)为一个

                双向链表

                双向链表Flink指向_LDR_DATA_TABLE_ENTRY机构体的某个成

                员(0x08)

                _LDR_DATA_TABLE_ENTRY包含FullDllName和DllBase等信息

                FullDllName即为模块名,DllBase即为模块载入基址

                比较模块名即可找到kernel32.dll的基址

                判断尾节点是否等于开始节点可以判断是否查找结束

    原理图示意:

    代码实现:

    DWORD GetKernel32Addr()
    {
        WCHAR kernel32[]={'k','e','r','n','e','l','3','2','.','d','l','l','\x00'};
        DWORD i=0;
        PPEB peb=(PPEB)__readfsdword(0x30);//获得PE头
        LIST_ENTRY *first=peb->Ldr->InMemoryOrderModuleList.Flink;
        //模块头指针,指向下一个模块
        LIST_ENTRY *pDataTableEntry=first;//载入模块
         do{
            LDR_DATA_TABLE_ENTRY *dte=
                (LDR_DATA_TABLE_ENTRY*)((BYTE*)pDataTableEntry-0x8);
            //dte为当前运行的模块,遍历模块找到kernel32.dll
            pDataTableEntry=pDataTableEntry->Flink;//下一个模块
            const wchar_t *dllname=
                ((decltype(dte->FullDllName)*)(DWORD*)&(dte->Reserved4))->Buffer;
                //截取模块名
            //下面为自己做的unicode字符串比较方法,可以采用hash方法比较
            const wchar_t *dllname_t=dllname;
            while(*dllname_t){//模块名比较
                if(kernel32[i]==(BYTE)*dllname_t)i++;
                else if((BYTE)*dllname_t<'a') 
                    if((BYTE)*dllname_t+0x20==kernel32[i])i++;//统一大小写
                dllname_t++;
            }
            if(i==12){
    
                return (DWORD)dte->DllBase;
                break;
            }
        }
        while(pDataTableEntry!=first)
         return 0;
    }

    2、GetAPIAddress(unsigned char * pDllBase,char * ApiName)

    用途:获取API函数地址(主要是Loadlibrary和GetProcAddress,其他在kernel32.dll中的API也可以通过此办法获取)

    原理:

            获得kernel32.dll的PE头(dos头位置为GetKernel32Addr()返回的地

            址)

            获得导出表的地址(PE头知识参看《PE文件结构初探》)

            遍历查找函数名表获得相应函数的函数名序号

            函数名序号(从0开始)等于NumberOfNames时表示未找到并结束

            将函数名序号带入函数序号表查找对应的函数序号

            Tips:因为导出方式不止有名字导出,所以函数名序号不能直接用于查找

            函数地址,应通过函数序号表转化后查找

            将函数序号带入函数地址表查找对应的函数地址

            函数地址加上基址即为函数的RVA

    原理图示意:

导出表结构:

    typedef struct _IMAGE_EXPORT_DIRECTORY {    
        DWORD   Characteristics;
        DWORD   TimeDateStamp;
        WORD    MajorVersion;
        WORD    MinorVersion;
        DWORD   Name;
        DWORD   Base;
        DWORD   NumberOfFunctions;      //导出函数总数
        DWORD   NumberOfNames;          //通过名称导出的函数总数
        DWORD   AddressOfFunctions;     // 指向导出函数表的RVA
        DWORD   AddressOfNames;         // 指向函数名表的RVA
        DWORD   AddressOfNameOrdinals;  // 指向函数序号表的RVA
    } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

代码实现:

    DWORD GetAPIAddress(unsigned char * baseAddress,char * ApiName)
    {
        unsigned char * DllApiName;
        BYTE*baseAddress = (BYTE*)Kernel32Addr;
        PIMAGE_DOS_HEADER dosHeader=(PIMAGE_DOS_HEADER)baseAddress;
        PIMAGE_NT_HEADERS peHeader = (PIMAGE_NT_HEADERS)
        (baseAddress+ dosHeader->e_lfanew);
        //获得PE头
        PIMAGE_EXPORT_DIRECTORY ied = 
            (PIMAGE_EXPORT_DIRECTORY)&baseAddress
            [peHeader->OptionalHeader.DataDirectory[0].VirtualAddress];
         //获得导出表
        int index=0;
        while(index<ied->NumberOfNames)
        {
            DllApiName=baseAddress+*((DWORD *)
            &baseAddress[ied->AddressOfNames + (index << 2)]) ;
             //遍历函数名表
            int i=0;//实现字符串对比
            char *p=ApiName;
            while(*p){
                if((BYTE)*p!=(BYTE)*DllApiName)break;
                p++;
                DllApiName++;
                i++;
            }
            if (i==strlen(ApiName)) break;
            index ++;
        }
        if (index == ied->NumberOfNames)  return 0;
        index = ((WORD *)&baseAddress[ied->AddressOfNameOrdinals])[index];
        return ((DWORD *)&baseAddress[ied->AddressOfFunctions])[index] + 
                peHeader->OptionalHeader.ImageBase;
    }


Catch_1t_AlunX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Study_shellcode:windows平台下功能性shellcode编写
04-29
windows平台下功能性shellcode编写 包含了5个类型的test例子,不知道从哪里下载的。 例子可能比较老,在win7,win10上可能无法成功执行,新系统的安全性比较高,最佳的环境是在XP。 补充以下不错的入门教程 ...
shellcodeWindows shellcode的理解与编写
dr0op's blog
03-31 1038
虚拟内存空间 整个虚拟内存空间分为两个相关部分: 为用户进程预留的虚拟内存空间和为系统进程预留的虚拟内存空间。 每个进程都有自己的私有虚拟地址空间,其中“内核空间”是一种“共享环境”,意味着每个内核进程可以在任何它想要的地方读写虚拟内存。 其中: HEAP(堆) : 这是存储所有动态局部变量的地方。(通常alloc()或类似的系统调用) STACK(栈): 分配每个静态局部变量的位置。 RWX-Hunter执行: 搜索已被标记为读(R),写(W)和执行(X)的内存部分。 遍历进程的虚拟空间内存,搜索标记
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 1992
个人shellcode相关网络资源学习记录
[笔记]Windows安全之《三》Shellcode
二次元怪兽的博客
05-26 636
《加密与解密 漏洞篇 14.2 Shellcode》 文章目录前言Shellcode的结构 前言 Shellcode实际上是一段可以独立执行的代码(也可以认为是一段填充数据),在触发了缓冲区溢出漏洞并获取了eip指针的控制权后,通常会将eip指针指向Shellcode以完成漏洞利用过程。 Shellcode主要工作流程: Shellcode的结构 ...............
Windows Shellcode开发[1]
weixin_41487541的博客
03-24 489
0 前言 本文包含对shellcode开发技术及其特点的概述,了解了这些概念我们就可以编写自己的shellcode,而且我们还可以修改现有漏洞的shellcode来执行我们自定义的功能。 1 Shellcode介绍 维基百科中对shellcoed的介绍: “在计算机安全中,shellcode 是一小段代码,用作利用软件漏洞的有效载荷。之所以称为“shellcode”,是因为它通常启动一个命令shell,攻击者可以从中控制受感染的机器,但任何执行类似任务的代码都可以称为 shellcode……She
Windows Shellcode开发[3]
weixin_41487541的博客
03-25 5325
0 前言及编写shellcode准备工作 在Windows Shellcode开发介绍的最后一部分,我们将编写一个简单的改变鼠标左右键的shellcode。我们需要用到两个函数:SwapMouseButton和ExitProcess函数。首先看一个两个函数的参数与返回值情况: SwapMouseButton只有一个BOOL类型参数,若参为TRUE则交换鼠标左右键,返回值非0; ExitProcess也只有一个参数,代表进程退出代码。 整理一下思路: 我们需要调用以上两个函数,在C++中体现
windows平台下功能性shellcode编写
11-12
windows平台下功能性shellcode编写,通过高级语言编写shellcode
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
基于堆栈的Windows_Shellcode编写方法研究
02-05
基于堆栈的Windows_Shellcode编写方法研究
windows 最小shellcode
01-28
363字节正向连接后门(含源码) 363字节正向连接后门(含源码)
shellcode 代码VC程序编写
05-28
shellcode编写,获得函数MessageBoxA的入口地址
Windows Shellcode开发[2]
weixin_41487541的博客
03-24 4432
0 前言 在这部分我们将了解正确编写Windows系统shellcode所需的信息:进程环境块和PE文件格式。上一部分在这里:Windows Shellcode开发[1] 1 进程环境块 在Windows操作系统中,PEB作为一种结构可以用于内存中固定地址的每个进程。此结构包含进程相关信息,如:可执行文件加载到内存中的地址、模块列表(DLL)、指定进程是否在调试等。在不同版本的Windows系统中,PEB各字段偏移可能会随之改变。 由于地址空间布局随机化(ASLR),DLL将被加载到不同的内存地址,
Windowsshellcode 编写
aptx4869_li的博客
06-16 1991
Windows下的shellcode编写首先,我们先了解一下shellcode是什么?Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数...
windows 平台shellcode编写
fanghuapyk的博客
05-21 840
0x00、介绍 比方说你手头上有一个IE或FlashPlayer现成的漏洞利用代码,但它只能够打开计算器calc.exe。但是这实际上并没有什么卵用,不是吗?你真正想要的是可以执行一些远程命令或实现其他有用的功能。 在这种情况下,你可能想要利用已有的标准shellcode,比如来自Shell Storm数据库或由Metasploit的msfvenom工具生成。不过,你必须先理解编写shellcode基本原则,才可以在自己的漏洞利用代码中有效地使用它们。对于不熟悉这个术语的同学们,可以参考一下维基百科: 在
windows shellcode 总结
weixin_34267123的博客
12-03 228
说到shellcode可能都有些迷茫,不知它是什么东西,可能觉得也很神秘,对于它的专业解释也很少有人提及,今天我们就从以下几个方面来对windows下的shellcode做一个全剖析: 1. shellcode的发展历史以及定义 2. 现今常见的windows下的shellcode种类 3. 编写shellcode流程 4. shellocode举例 5、shell...
windowsshellcode编写入门
x_nirvana的博客
03-31 1万+
本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。
Shellcode的原理及编写
热门推荐
maotoula的专栏
01-19 6万+
1.shellcode原理
在内存中读取函数的ShellCode并执行
liujiayu2的专栏
10-20 2092
在内存中读取函数的ShellCode并执行 下面是一个例子,实现的效果是将fun1函数的十六进制读取出来,在内存中将str1的地址改成str2,分配一块内存,将改好的函数的ShellCode写入并执行。 [cpp] view plain copy // FunTest.cpp : 定义控制台应用程序的入口点。   //   //   #inc
shellcode编写
最新发布
06-28
编写shellcode需要了解汇编语言和操作系统内部工作原理。步骤包括确定目标系统平台、编写汇编代码、使用汇编器将代码转换为机器码并去除不必要的部分。最后,通过十六进制编辑器将机器码转换为可执行的shellcode

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值