关于如何使用高级语言编写ShellCode的一些思考

最新推荐文章于 2023-08-12 23:38:42 发布
最新推荐文章于 2023-08-12 23:38:42 发布
阅读量242 收藏 1
点赞数
分类专栏: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42559271/article/details/117536518
版权

文章目录

思考

查了下网络上的通用ShellCode和目前为止出到第四版的《加密与解密》,发现关于ShellCode的编写基本上是在汇编这一个层级编写的。但是使用汇编语言写应该是十分不方便了,联想到C语言实际上是零抽象的高级语言,能不能直接使用C语言来编写ShellCode呢?

如何使用C语言来编写ShellCode那么,仔细想一想我们ShellCode的运行环境和平时的代码的运行环境有什么不一样的地方呢?

其中最大的一个区别就是我们的ShellCode的变量位置是不确定的,因此必须使用地址无关技术来实现。而实际上,C语言的局部变量也是通过ESP+偏移的方式来确定的,并且C的局部变量的地址也是不确定的。所以我们可以通过在一个函数里面编写ShellCode来实现通过高级语言来编写ShellCode。
使用C编写ShellCode时还有什么不能使用的语法呢?需要注意以下几点:

  • 不能使用全局变量:全局变量位于.data段,对于EXE文件来说,一般的变量地址是固定的,但是对于DLL来说位置则根据加载位置不同而改变;
  • 不能进行函数调用:C语言的编译器将函数调用编译成call xxx,对应的机械码为E8 xx xx xx xx,后四个字节是目标地址和指令地址的补码;
  • 不能使用复杂数据,如字符串类型。类似于:If(a==”String is invaild”)这样的语句是不行的,原因在于字符串类型实际上是存储于程序的数据段。而如果想要使用字符串,正确的方式应该是:
char Buffer[10000];
	Buffer[0] = 'I';
	Buffer[1] = 'm';
	Buffer[2] = '\0';

Debug版代码和Release版代码的区别

Debug版是为了尽可能尽早的找到出错代码的位置,这意味着编译器会在编译过程中插入检测代码。让我们看如下的一段代码:

void test() {
	int a = 1;
	int* b = &a;
}

在Debug版会编译出如下的代码:

void test() {
001F20F0 55                   push        ebp  
001F20F1 8B EC                mov         ebp,esp  
001F20F3 81 EC D8 00 00 00    sub         esp,0D8h  
001F20F9 53                   push        ebx  
001F20FA 56                   push        esi  
001F20FB 57                   push        edi  
001F20FC 8D BD 28 FF FF FF    lea         edi,[ebp-0D8h]  
001F2102 B9 36 00 00 00       mov         ecx,36h  
001F2107 B8 CC CC CC CC       mov         eax,0CCCCCCCCh  
001F210C F3 AB                rep stos    dword ptr es:[edi]  
001F210E B9 56 D0 1F 00       mov         ecx,offset _9793C0DE_源@cpp (01FD056h)  
001F2113 E8 62 F7 FE FF       call        @__CheckForDebuggerJustMyCode@4 (01E187Ah)  
	int a = 1;
001F2118 C7 45 F8 01 00 00 00 mov         dword ptr [a],1  
	int* b = &a;
001F211F 8D 45 F8             lea         eax,[a]  
001F2122 89 45 EC             mov         dword ptr [b],eax  
}
001F2125 52                   push        edx  
001F2126 8B CD                mov         ecx,ebp  
001F2128 50                   push        eax  
001F2129 8D 15 4C 21 1F 00    lea         edx,ds:[1F214Ch]  
001F212F E8 E0 F3 FE FF       call        @_RTC_CheckStackVars@8 (01E1514h)  
001F2134 58                   pop         eax  
001F2135 5A                   pop         edx  
001F2136 5F                   pop         edi  
001F2137 5E                   pop         esi  
001F2138 5B                   pop         ebx  
001F2139 81 C4 D8 00 00 00    add         esp,0D8h  
001F213F 3B EC                cmp         ebp,esp  
001F2141 E8 D2 F4 FE FF       call        __RTC_CheckEsp (01E1618h)  
001F2146 8B E5                mov         esp,ebp  
001F2148 5D                   pop         ebp  
001F2149 C3                   ret

其中有三条call指令,这三条指令都是为了检查栈溢出的,但是违反了不能再ShellCode中使用Call指令的原则,所以这样的代码是不正确的。也就是说必须使用release版的代码。

实例

这里是一个示例,用于获取GetProcAddr函数的地址。

#include"InlineFunctions.h"
#include<stdio.h>
#include<Windows.h>
typedef HANDLE (WINAPI*PGetFunction)(_In_ HMODULE hModule,_In_ LPCSTR lpProcName);
int ShellCode_Srouce() {
	PGetFunction PGetProcAddress = nullptr;
	char* DllBase;
	char* ProcessBase;

	__asm {
		mov ebx, fs: [0x30]         //得到peb结构体的地址
		mov ebx, [ebx + 0xc]       //得到Ldr结构体的地址
		mov ebx, [ebx + 0xc]       //得到ldr.InLoadOrderModuleList.Flink 第一个模块,当前进程
		mov ProcessBase, ebx
		mov ebx, [ebx]             //得到第二个模块地址 ntdll.dll
		mov ebx, [ebx]             //得到第三个模块地址 kernel32.dll
		mov ebx, [ebx + 0x18]        //得到第三个模块地址(kernel32模块的dllbase)      
		mov DllBase, ebx
	}
	IMAGE_DOS_HEADER* DOS_Header = (IMAGE_DOS_HEADER*)DllBase;
	IMAGE_NT_HEADERS* NT_Header = (IMAGE_NT_HEADERS*)(DOS_Header->e_lfanew + (char*)DOS_Header);
	IMAGE_DATA_DIRECTORY* Export_Dir = (IMAGE_DATA_DIRECTORY*)&(NT_Header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]);
	IMAGE_EXPORT_DIRECTORY* Export = (IMAGE_EXPORT_DIRECTORY*)(Export_Dir->VirtualAddress + DllBase);
	for (int i = 0; i < Export->NumberOfNames; i++)
	{
		DWORD* FunctionNameRVA = (DWORD*)(DllBase + (DWORD)(Export->AddressOfNames + i * sizeof(DWORD)));
		char* FunctionName = DllBase + *FunctionNameRVA;
		if (FunctionName[0] != 'G')//这样做是为了使数据嵌入到指令中
			continue;
		if (FunctionName[1] != 'e')
			continue;
		if (FunctionName[2] != 't')
			continue;
		if (FunctionName[3] != 'P')
			continue;
		if (FunctionName[4] != 'r')
			continue;
		if (FunctionName[5] != 'o')
			continue;
		if (FunctionName[6] != 'c')
			continue;
		if (FunctionName[7] != 'A')
			continue;
		if (FunctionName[8] != 'd')
			continue;
		if (FunctionName[9] != 'd')
			continue;
		if (FunctionName[10] != 'r')
			continue;
		if (FunctionName[11] != 'e')
			continue;
		if (FunctionName[12] != 's')
			continue;
		if (FunctionName[13] != 's')
			continue;
		if (FunctionName[14] != '\0')
			continue;
		WORD Offset = *((WORD*)(Export->AddressOfNameOrdinals + DllBase) + i);
		DWORD FunctionRVA = *((DWORD*)(DllBase + Export->AddressOfFunctions) + Offset);
		PGetProcAddress = (PGetFunction)(DllBase + FunctionRVA);
		break;
	}
	return;
}
三丑是只猫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows平台下功能性shellcode编写
11-12
windows平台下功能性shellcode编写,通过高级语言编写shellcode
WINDOWS的SHELLCODE编写高级技巧
老鬼的专栏
07-30 1542
WINDOWS的SHELLCODE编写高级技巧   作者:yuange (mailto:[email protected]) 主页:http://www.nsfocus.com/       unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出 再加载一个SHELL的办法得到ROOT权限,其系统调用又方便,所以SHELLCODE编写一般都比 较简单。但WINDO
shellcode相关知识整理
菜小狗.的博客
01-28 975
0x1概述 shellcode是binary堆栈溢出中常见的一种利用手段。顾名思义,shell指的就是Linux里用户与内核进行交互操作的一种接口,它通常具备一定的访问控制权限。code则是表示一段代码。合起来shellcode便有着恶意代码的意思。 在存在一些漏洞的程序上使用shellcode很多情景下会对程序甚至系统产生严重的危害。例如非法完成系统调用,打开一个远程设备的shell。劫持程序的...
运用C编写ShellCode代码教程
蓝易云
08-12 198
以上是一个简单的教程,介绍了使用C语言编写ShellCode的基本步骤。由于ShellCode的复杂性和潜在的危险性,建议只在合法和授权的环境中进行相关实验和研究。请谨慎行事,并确保你对相关技术和法律的了解。需要注意的是,编写使用ShellCode涉及到计算机安全的领域,需要遵循合法和道德的原则。在进行ShellCode开发和使用之前,请确保你有合适的授权和法律许可,并遵守相关法律和规定。编写ShellCode是一项高级技术,需要深入了解计算机体系结构和操作系统底层原理。
高级语言编写shellcode
weixin_33729196的博客
06-06 557
首先修改配置然后改函数生成顺序(这里要先生成一遍才能看到)先生成映射文件再用一个记事本修改顺序再生成一遍重新生成运行成功获取shellcode先找到布局一直到main函数测试(关掉dep) #include"stdafx.h" #include <winsock2.h> #include <windows.h> // C/C++ // |-常规 // | |-调...
10分钟入门Shell脚本编程
测试界的彭于晏的博客
03-07 1876
Shell是什么 Shell是指一种应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务, Shell脚本(shell script),是一种为Shell编写的脚本程序 。我们经常说的shell通常都是指shell脚本 环境和工具 Shell跟java、php、Python编程一样,只要有一个能编写代码的文本编辑器和一个能解释执行的脚本解释器 就可以了。 Mac OS,Linux 自带了shell解释器,Windows比较麻烦,因为Win7专业版和旗舰版默认安装Power
高级shellcode(Payload_Bindshell
weixin_34184561的博客
06-05 306
1.函数加密 //函数加密 摘要 (条件尽可能避免有0x00 尽可能避免发生碰撞)注意没有加.dll int Hash_GetDigest(char * strFunName) { unsigned int nDigest = 0; while (*strFunName) { nDigest = ((nDigest << 25) | nDig...
shellcode编写
qq_44657899的博客
05-26 2392
文章目录注意事项基础知识开始编写第一步 初始化第二步 实现其他函数动态调用第三部 实现GetProcAddress和LoadLibraryA的动态调用获取kernel32.dll基址动态调用GetProcAddress实战CreateFileAMessageBoxA导出shellcode第一种shellcode编写实例1第一种shellcode编写实例2(优化结构)shellcode加载器 注意事项 不使用全局变量 不使用类似于"abc"这样的字符串,通过数组定义字符串,char name[] = {0x
ShellCode原理以及编写
qq_18811919的博客
07-02 2744
0x0 ShellCode编写注意事原理 1)不能使用字符串的直接偏移 即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。 2)不能确定函数的地址(如printf) 在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:...
go-shellcode - Go语言编写ShellCode执行工具.zip
07-18
go-shellcode - Go语言编写ShellCode执行工具.zip
cpp-使用纯CC编写ShellCode生成框架
08-16
使用纯C/C 编写ShellCode生成框架
Android系统shellcode编写.zip_android_shellcode
09-23
Android手机的普及,Android系统安全日益受人关注。漏洞攻防是安全的一大课题,其中自然少不了shellcode编写
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
试用Dev Containers的示例项目-Go
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
NTsky新闻发布v1.0测试版(提供JavaBean).zip
04-23
### 内容概要: 《NTsky新闻发布v1.0测试版》是一款基于 Java 开发的新闻发布系统的测试版本,旨在为新闻机构和媒体提供一个简单易用的新闻发布平台。该系统具有基本的新闻发布和管理功能,包括新闻分类、新闻编辑、新闻发布等核心功能。此外,该版本还提供了 JavaBean,使开发人员能够方便地将系统集成到自己的项目中,快速实现新闻发布的功能。 ### 适用人群: 本测试版本适用于新闻机构、媒体从业者以及Java开发人员。如果你是一家新闻机构或媒体,希望拥有一个简单易用的新闻发布平台,方便快捷地发布和管理新闻,那么这个测试版本将为你提供一个初步的体验。同时,如果你是一名Java开发人员,希望学习和掌握新闻发布系统的开发技术,并且对新闻行业有一定的了解,那么通过这个测试版本,你可以获取到一些JavaBean,并且可以参考系统的设计和实现,为你的项目开发提供参考和借鉴。无论是从业务需求还是技术学习的角度,该测试版本都将为你提供一定的帮助和支持。
JavaScript介绍.zip
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
15-21.php
04-23
15-21.php
汽车租赁系统(毕业设计)
04-23
汽车租赁系统后端采用了spring,spring mvc,mybatis框架,前端使用了layui,界面美观。 包含功能:客户管理,车辆管理,出租,出租单管理,汽车入库,检查单管理,菜单管理,用户管理,角色管理,日志管理,统计分析等。 该毕业设计功能涵盖了大部分汽车租赁中的业务需求,特点是业务功能较多,有助于学生加深业务到技术的理解。
如何编写shellcode
05-20
编写shellcode通常需要了解汇编语言和计算机系统的底层知识。以下是一个简单的示例,可以作为起点: ``` section .text global _start _start: xor eax, eax ; 把 EAX 寄存器清零 push eax ; 把 0 压入栈中 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值