注入代码程序一枚

最新推荐文章于 2023-04-13 23:07:05 发布
最新推荐文章于 2023-04-13 23:07:05 发布
阅读量109 收藏
点赞数
原文链接:https://my.oschina.net/ejoyc/blog/593907
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

windows上的x86注入程序一枚,有码有真相,娱乐娱乐,纪念我失去的青春。 

#include "main.h"

typedef struct _LDRDLL_BLOCK
{
    LDRLOADDLL             LdrLoadDll;
    LDRUNLOADDLL           LdrUnloadDll;
    LDRGETPROCEDUREADDRESS LdrGetProcedureAddress;
    NTTERMINATEPROCESS     NtTerminateProcess;
    UNICODE_STRING         DllName;
    ANSI_STRING            FuncName;
}LDRDLL_BLOCK, *PLDRDLL_BLOCK;

__declspec(naked) 
VOID WINAPI ExecuteRoutine()
{
    __asm
    {
        _emit 0x90;//__emit 0xCC        
        _emit 0x68;//push 11223344
        _emit 0x44
        _emit 0x33
        _emit 0x22
        _emit 0x11        
        _emit 0xe8;//call 55667788
        _emit 0x88;
        _emit 0x77;
        _emit 0x66;
        _emit 0x55;
        _emit 0xc3;//ret
    }
}

VOID WINAPI ExecuteRoutine2( IN PLDRDLL_BLOCK Block )
{
    PVOID     hModule;
    INITFUNC  InitFunc;
    LONG      Status;

    Status = Block->LdrLoadDll(NULL, NULL, &Block->DllName, &hModule);
    if ( Status >=0 )
    {
        Status = Block->LdrGetProcedureAddress( hModule, &Block->FuncName, 0, (PVOID*)&InitFunc );
        if ( Status >=0 )
        {
            InitFunc();
        }
        
        Block->LdrUnloadDll(hModule);
    }
    Block->NtTerminateProcess((HANDLE)(LONG_PTR)-1, 0);
}

BOOL WINAPI InstHook2(IN HANDLE hProcess, IN PCWSTR DllPath )
{
    PVOID   ImageBase = TlGetProcessImageBase(hProcess);
    PVOID   lpOEP  = TlGetProcessAddressOfEntryPoint(hProcess, ImageBase);
    HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");    
    ULONG   InstLen = (((ULONG)((PCH)InstHook2 - (PCH)ExecuteRoutine))+15)&0xFFFFFFF0; 
    ULONG   Name1Offset = InstLen + sizeof(LDRDLL_BLOCK);
    ULONG   Name2Offset = Name1Offset + 16;
    ULONG   BufSize = ((Name2Offset + wcslen(DllPath)*sizeof(WCHAR)) + 15)&0xFFFFFFF0;
    PUCHAR  Buffer2 = NULL;
    PUCHAR  Buffer = NULL;
    BOOL    bRet = FALSE;

    if ( !ImageBase || !lpOEP ) return bRet;    
    if ( !TlIsProcessImageFileI386(hProcess, ImageBase) ) return bRet;
    
    Buffer2 = MmAlloc(BufSize+0x10);
    if ( Buffer2 ) 
    {
        Buffer = Buffer2;
        if ( ((ULONG)Buffer2 & 0x0F) )
        {
            Buffer = (PUCHAR)(((ULONG)Buffer2 & 0xFFFFFFF0) + 0x10);
        }
    }
    if ( Buffer )
    {     
        PUCHAR        lpInst  = Buffer;
        PLDRDLL_BLOCK lpBlock = (PVOID)(Buffer + InstLen);
        RtlCopyMemory( Buffer, ExecuteRoutine, InstLen );
        
        *(PULONG)(Buffer + 2) = (ULONG)((PCH)lpOEP + InstLen);
        *(PULONG)(Buffer + 7) = (ULONG)((PCH)ExecuteRoutine2 - (PCH)ExecuteRoutine) - 11;

        RtlCopyMemory(Buffer+Name1Offset, "InitFunc", 8);
        RtlCopyMemory(Buffer+Name2Offset, DllPath, wcslen(DllPath)*sizeof(WCHAR) );

        lpBlock->DllName.Buffer = (PWSTR)((PCH)lpOEP + Name2Offset);
        lpBlock->DllName.Length = (USHORT)(wcslen(DllPath)*sizeof(WCHAR));
        lpBlock->DllName.MaximumLength = lpBlock->DllName.Length;
        lpBlock->FuncName.Buffer = (PCH)lpOEP + Name1Offset;
        lpBlock->FuncName.Length = 8;
        lpBlock->FuncName.MaximumLength = lpBlock->FuncName.Length;
        
        lpBlock->LdrLoadDll = (PVOID)GetProcAddress (hNtdll, "LdrLoadDll");
        lpBlock->LdrUnloadDll = (PVOID)GetProcAddress (hNtdll, "LdrUnloadDll");
        lpBlock->LdrGetProcedureAddress = (PVOID)GetProcAddress (hNtdll, "LdrGetProcedureAddress");
        lpBlock->NtTerminateProcess = (PVOID)GetProcAddress (hNtdll, "NtTerminateProcess");

        bRet = WriteProcessMemory(hProcess, lpOEP, Buffer, BufSize, NULL);       

        MmFree(Buffer2);
    }
    
    return bRet;
}

BOOL WINAPI
StartProcess(
    IN PCWSTR ExePath,
    IN PCWSTR DllPath
    )
{
    PROCESS_INFORMATION pi = {0};
    STARTUPINFOW si = {0};
    BOOL bRet = FALSE;

    si.cb = sizeof(si);//__debugbreak();
    bRet = CreateProcessW( ExePath,  
                           NULL,             // Command line
                           NULL,             // Process handle not inheritable
                           NULL,             // Thread handle not inheritable
                           FALSE,            // Set handle inheritance to FALSE
                           CREATE_SUSPENDED, /* |DEBUG_PROCESS */
                           NULL,             // Use parent's environment block
                           NULL,             // Use parent's starting directory
                           &si,              // Pointer to STARTUPINFO structure
                           &pi );
    if( bRet )
    {
        if( !InstHook2(pi.hProcess, DllPath) )
        {
            TerminateProcess( pi.hProcess, 0 );
        }

        ResumeThread( pi.hThread );
        CloseHandle( pi.hThread );
        CloseHandle( pi.hProcess );
    }

    return bRet;
}

int APIENTRY
WinMain(
    HINSTANCE hInstance,
    HINSTANCE hPreInstance,
    PSTR szCmdline,
    INT  iCmdShow
    )
{
    WCHAR DllPath[MAX_PATH] = {0};
    WCHAR ExePath[MAX_PATH] = {0};
    
    if( GetModuleFileNameW( NULL, ExePath, MAX_PATH-32 ) )
    {
        PWSTR pName = wcsrchr( ExePath, L'\\');
        if( pName != NULL )
        {
            StringCchCopyW( pName, 32, L"\\LDRTOOL.INI");
     
            if ( PathFileExistsW(ExePath) )
            {
                UINT dllLen = GetPrivateProfileStringW(L"setting", L"dllName", NULL, 
                                                       DllPath, MAX_PATH-1, ExePath);
                UINT exeLen = GetPrivateProfileStringW(L"setting", L"exeName", NULL, 
                                                       ExePath, MAX_PATH-1, ExePath);
                if ( dllLen && exeLen )
                {
                    StartProcess(ExePath, DllPath);
                }
            }
        }
    }

    return 0;
}

PVOID WINAPI
TlGetProcessImageBase(
    IN HANDLE hProcess
    )
{
    NTQUERYINFORMATIONPROCESS _NtQueryInformationProcess;
    PROCESS_BASIC_INFORMATION BasicInfo;
    NTSTATUS                  Status;
    SIZE_T                    BufLen;
    PEB                       Peb;
    BOOL                      bRet;
    PVOID                     ImageBase = NULL;
    HMODULE hMod = GetModuleHandleA("ntdll.dll");
    *(FARPROC*)&_NtQueryInformationProcess = GetProcAddress( hMod, "NtQueryInformationProcess" );

    if( _NtQueryInformationProcess )
    {
        Status = _NtQueryInformationProcess(
                        hProcess,
                        0/* ProcessBasicInformation */,
                        (PVOID)&BasicInfo,
                        sizeof(BasicInfo),
                        (PULONG)&BufLen
                        );
        if ( NT_SUCCESS(Status) )
        {
            bRet = ReadProcessMemory(
                        hProcess,
                        BasicInfo.PebBaseAddress,
                        &Peb,
                        sizeof(Peb),
                        &BufLen
                        );
            if ( bRet )
            {
                ImageBase = Peb.ImageBaseAddress;
            }
        }
    }    

    return ImageBase;
}

BOOL WINAPI
TlIsProcessImageFileI386(
    IN HANDLE hProcess,
    IN PVOID  lpImageBase
    )
{
    UCHAR Data[512] = {0};
    ULONG NumOfBytesRead;
    BOOL  bRet;

    bRet = ReadProcessMemory( hProcess,
                lpImageBase,
                Data,
                sizeof(Data),
                &NumOfBytesRead );
    if( bRet )
    {
        PIMAGE_DOS_HEADER   DosHdr = (PIMAGE_DOS_HEADER)Data;
        PIMAGE_NT_HEADERS32 NtHdrs = (PIMAGE_NT_HEADERS32)(Data+DosHdr->e_lfanew);
        if( DosHdr->e_lfanew <= (sizeof(Data)-sizeof(IMAGE_NT_HEADERS32)) )
        {
            bRet = (NtHdrs->FileHeader.Characteristics & IMAGE_FILE_32BIT_MACHINE)>0;
        }
    }

    return bRet;
}

PVOID WINAPI
TlGetProcessAddressOfEntryPoint(
    IN HANDLE hProcess,
    IN PVOID  lpImageBase
    )
{
    PVOID  lpOEP = NULL;
    PUCHAR Data = NULL;
    ULONG  NumOfBytesRead;
    BOOL   bRet;
    
    Data = MmAlloc(PAGE_SIZE);
    if ( !Data ) return NULL;

    bRet = ReadProcessMemory( hProcess,
                lpImageBase,
                Data,
                PAGE_SIZE,
                &NumOfBytesRead );
    if( bRet )
    {
        PIMAGE_DOS_HEADER   DosHdr = (PIMAGE_DOS_HEADER)Data;
        PIMAGE_NT_HEADERS32 NtHdrs = (PIMAGE_NT_HEADERS32)(Data+DosHdr->e_lfanew);

        if( DosHdr->e_lfanew < (PAGE_SIZE-sizeof(IMAGE_NT_HEADERS32)) )
        {
            (PUCHAR)lpOEP = (PUCHAR)lpImageBase+NtHdrs->OptionalHeader.AddressOfEntryPoint;
        }
    }

    if( lpImageBase < lpOEP && (PUCHAR)lpOEP < ((PUCHAR)lpImageBase+0x800000) )
    {
        RtlZeroMemory( Data, sizeof(Data) );
        bRet = ReadProcessMemory( hProcess,
                lpOEP,
                Data,
                sizeof(Data),
                &NumOfBytesRead );
        if( Data[0] == 0xE8 && Data[5] == 0xE9 )
        {
            (PUCHAR)lpOEP = (PUCHAR)lpOEP+5 + *(PULONG)(Data+6) + 5;
        }
    }

    if( lpImageBase > lpOEP || (PUCHAR)lpOEP > ((PUCHAR)lpImageBase+0x800000) )
    {
        lpOEP = NULL;
    }
    
    MmFree(Data);

    return lpOEP;
}

/*LDRTOOL.ini sample

[setting]
dllname = D:\WinDDK\LdrTool\i386\test.dll
exename = c:\windows\system32\mspaint.exe

*/

当然,还要有头文件: 

#ifndef __MAIN_H__
#define __MAIN_H__

#include <windows.h>
#include <Shlwapi.h>
#include <Shellapi.h>
#include <strsafe.h>

typedef LONG KPRIORITY;
typedef LONG NTSTATUS;

#define NT_SUCCESS(_x_) ((_x_)>=0)

#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif

#ifndef MmAlloc
#define MmAlloc(size) HeapAlloc( GetProcessHeap(), HEAP_ZERO_MEMORY, size )
#define MmFree(p)     HeapFree(  GetProcessHeap(), 0, p )
#endif

typedef struct _ANSI_STRING {
    USHORT  Length;
    USHORT  MaximumLength;
    PSTR    Buffer;
} ANSI_STRING, *PANSI_STRING;

typedef struct _UNICODE_STRING{
    USHORT  Length;
    USHORT  MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _PEB {  
    BYTE Reserved1[2];  
    BYTE BeingDebugged;  
    BYTE Reserved2[1];  
    HANDLE Mutant;  // INITIAL_PEB structure is also updated.
    PVOID ImageBaseAddress;  
    PVOID Ldr;
    PVOID ProcessParameters;  
    BYTE  Reserved4[104];  
    PVOID Reserved5[52];  
    PVOID PostProcessInitRoutine;  
    BYTE  Reserved6[128];  
    PVOID Reserved7[1];  
    ULONG SessionId;
} PEB,  *PPEB;

typedef struct _PROCESS_BASIC_INFORMATION
{
    NTSTATUS ExitStatus;
    PPEB     PebBaseAddress;
    ULONG_PTR AffinityMask;
    KPRIORITY BasePriority;
    ULONG_PTR UniqueProcessId;
    ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION;

typedef NTSTATUS 
(NTAPI 
*NTQUERYINFORMATIONPROCESS)(
    __in HANDLE ProcessHandle,
    __in ULONG ProcessInformationClass,
    __out_bcount(ProcessInformationLength) PVOID ProcessInformation,
    __in ULONG ProcessInformationLength,
    __out_opt PULONG ReturnLength
    );
  
PVOID WINAPI
TlGetProcessImageBase( 
    IN HANDLE hProcess 
    );

PVOID WINAPI
TlGetProcessAddressOfEntryPoint( 
    IN HANDLE hProcess,
    IN PVOID  lpImageBase
    );
    
BOOL WINAPI
TlIsProcessImageFileI386( 
    IN HANDLE hProcess,
    IN PVOID  lpImageBase
    );
    
typedef NTSTATUS 
(NTAPI
*LDRLOADDLL)(
	IN PWSTR SearchPath OPTIONAL,
	IN PULONG DllCharacteristics OPTIONAL,
	IN PUNICODE_STRING DllName,
	OUT PVOID *BaseAddress
	);
	
typedef NTSTATUS 
(NTAPI
*LDRUNLOADDLL)(
	IN PVOID BaseAddress
	);
	
typedef NTSTATUS 
(NTAPI
*LDRGETPROCEDUREADDRESS)(
	IN PVOID BaseAddress,
	IN PANSI_STRING Name,
	IN ULONG Ordinal,
	OUT PVOID *ProcedureAddress
	);

typedef NTSTATUS 
(NTAPI
*NTTERMINATEPROCESS)(
    IN HANDLE ProcessHandle,
    IN NTSTATUS ExitStatus
    );
	
typedef VOID (WINAPI* INITFUNC)();
    
#endif//__MAIN_H__

最后是Sources文件 

TARGETNAME = LdrTool
TARGETTYPE = PROGRAM
TARGETPATH = ..

MSC_WARNING_LEVEL=/W3 /WX

USE_MSVCRT = 1
UMTYPE  = windows
UMENTRY = winmain
UMBASE  = 0x400000

C_DEFINES=$(C_DEFINES) -DUNICODE -D_UNICODE

INCLUDES=$(INCLUDES);         \
         $(IFSKIT_INC_PATH);

TARGETLIBS= $(TARGETLIBS) \
            $(SDK_LIB_PATH)\kernel32.lib \
            $(SDK_LIB_PATH)\Shlwapi.lib 
        
SOURCES = main.c main.rc

 

转载于:https://my.oschina.net/ejoyc/blog/593907

weixin_34323858
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GetProcAddress函数实现和分析
half_face的博客
05-26 1万+
在kernel32.dll里有一个GetProcAddress函数,可以找到模块中的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress(     IN HMODULE hModule,     IN LPCSTR lpProcName     ); hModule 是模块的句柄,说白了就是内存中dll模块的首地址 loP
Win2k泄漏源代码赏析——GetProcAddress
wjeson的专栏
02-27 2096
Win2k泄漏源代码赏析——GetProcAddress
漫谈兼容内核之十三:关于“进程挂靠”
周寅的专栏
03-13 2003
     上一篇漫谈在介绍APC机制时提到:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。    显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。    一般而
Windows加载器与模块初始化
huapro.vip的程序人生
04-06 1262
在最近的MSJ专栏中,我讨论了COM类型库和数据库访问层,例如ActiveX®数据对象(ADO)和OLE DB。MSJ专栏的长期读者可能认为我已经不行了(写不出技术层次比较高的文章了)。为了重振雄风,这个月我要讲解一部分Windows NT®加载器代码,它是操作系统和你的代码接合的地方。同时我也会向你演示一些获取加载器状态信息的高超技巧,以及可以用在Developer Studio®调试器中的相关
易语言搜索程序隐藏代码
07-21
8. **代码注入**:一些隐藏代码可能存在于程序运行时动态加载的模块或资源中,因此需要检查程序的动态链接库(DLLs)和资源文件。 9. **自动化工具**:开发或使用专门针对易语言的自动化工具,例如代码审计工具、...
sql注入攻击之sqlmap
06-10
SQL注入攻击是网络安全领域中的一个重要话题,它涉及数据库和Web应用程序的交互。SQL注入是指攻击者通过在输入字段中插入恶意的SQL代码,欺骗Web应用执行非授权的数据库操作,从而获取敏感信息或破坏数据库系统。...
Sqlmap 注入神器 支持各种sql注入
04-03
SQL注入是Web应用程序安全领域的一种常见攻击手段,通过在输入参数中嵌入恶意SQL代码,使得应用在处理这些输入时执行非预期的数据库操作。攻击者可以利用SQL注入获取敏感信息、篡改或删除数据,甚至控制整个数据库...
Sql注入扫描工具
03-05
SQL注入是网络安全领域中的一个重要问题,攻击者可以通过输入恶意SQL代码来操纵数据库,获取敏感信息,甚至控制整个服务器。SqlMap就是这样的一个自动化工具,它能够帮助安全专家或开发者找出并测试SQL注入漏洞。 ...
sql注入测试软件
10-24
SQL注入是一种常见的攻击手段,攻击者通过在输入字段中插入恶意的SQL代码,试图获取、修改或删除数据库中的敏感数据。"Pangolinlv"可能是指"Pangolin SQL注入测试工具"的一个版本,该工具在安全行业中被广泛使用。 ...
RealtimeIOTDemo:实时可视化 LDR 的输出
06-26
实时物联网演示 实时可视化 LDR 的输出。
4.13(LoadLibrary)
最新发布
m0_72827793的博客
04-13 779
本章准确来讲,自己的理解很少,需要多花时间好好理解
内核提权,任意地址写任意数据/固定数据模型
zhuhuibeishadiao
05-14 4876
实验环境 xp sp3 此实验将一个不常用的内核函数置0,然后R3申请了0地址的指针,将shellcode拷到此内存,内核并没有做ProbeForRead /Write检查 直接对传入的数据进行了修改,造成了任意地址写任意数据漏洞 ,提权了R3程序为system权限 R3代码 主要获得一个函数的地址,将函数地址传入R0  R0将此函数地址置0,然后R3申请了一个0地址,将shel
调试LDR
weixin_33811961的博客
06-29 334
bp ntdll!LdrLoadDll 在断点下输入: ed Kd_LDR_MASK ffffffff ed Kd_MM_MASK ffffffff ed Kd_DEFAULT_MASK ffffffff ed ntdll!ShowSnaps 1 ed ntdll!ShowErrors 1 下面是一段log [5e0,5e4] LDR: Recursive DLL...
完美实现自己的GetProcAddress函数
关注互联网安全的小虾米一枚
07-28 4711
作 者: blueapplez 我们知道kernel32.dll里有一个GetProcAddress函数,可以找到模块中的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress( IN HMODULE hModule, IN LPCSTR lpProcName ); hModule 是模块的句柄,说白了就是内存中dl
Mark备查。。。Win8 RP的ntdll新增函数列表
a1875566250的专栏
06-04 4035
Win7 SP1对比Win8 RP [C:\Users\Windows\Desktop\ntdll.dll] compare [C:\Windows\system32\ntdll.dll],file1 not: NtGetPlugPlayEvent RtlEnlargedUnsignedDivide TpDbgGetFreeInfo TpPoolFreeUnusedNodes
深层解析最核心的dll:NTDLL.dll
Tommy(凌飞)的专栏
09-23 6363
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.
【原创】完美实现GetProcAddress [文字模式]
weixin_34191845的博客
04-19 285
2019独角兽企业重金招聘Python工程师标准>>> ...
写一段sql注入代码
02-06
这是一个简单的 SQL 注入代码示例: ``` SELECT * FROM users WHERE username='$username' AND password='$password' ``` 其中,`$username` 和 `$password` 是用户输入的变量。 如果没有正确地进行输入验证和转义,黑客可能会使用如下的 SQL 注入语句来绕过登录: ``` $username = "admin';--" $password = "anything" ``` 这样构造的语句会变成: ``` SELECT * FROM users WHERE username='admin';--' AND password='anything' ``` 这样会忽略后面的password条件,直接登陆成功。 防范方式就是对变量进行转义,或者使用预处理语句,防止注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值