64位Shellcode方式注入DLL

已于 2023-07-22 12:22:26 修改
阅读量779 收藏 3
点赞数
分类专栏: C++ 逆向分析 文章标签: c++
于 2023-07-18 09:33:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoie01/article/details/131779951
版权

利用LdrLoadDll作为跳板,可以用其他api

#include <Windows.h>
#include <stdio.h>
#include <tchar.h>
#include <winternl.h>

#define DEF_INJECT_MODULE	"\\WorkCore.dll"

/*
	
*/
typedef NTSTATUS(NTAPI *pRtlInitUnicodeString)(PUNICODE_STRING, PCWSTR);
typedef NTSTATUS(NTAPI *pLdrLoadDll)(PWCHAR, ULONG, PUNICODE_STRING, PHANDLE);
typedef HANDLE(NTAPI *pRtlAddVectoredExceptionHandler)(ULONG, PVOID);

#pragma pack(push,1)
typedef struct _PARAM_DATA{
	pRtlInitUnicodeString fnRtlInitUnicodeString;
	pLdrLoadDll fnLdrLoadDll;
	UNICODE_STRING UnicodeString;
	WCHAR DllName[260];
	PWCHAR DllPath;
	ULONG Flags;
	HANDLE ModuleHandle;
	BYTE szBackupCode[50];
}PARAM_DATA, *PPARAM_DATA;

typedef struct _JMP_PATCH {
	WORD	REax;	//B848 mov rax
	UINT64	uAddress;
	WORD	JMP;    //E0FF
}JMP_PATCH,*PJMP_PATCH;
#pragma pack(pop)

NTSTATUS NTAPI MyLdrLoadDll(PWCHAR pDllPath, ULONG uFlag, PUNICODE_STRING pString, PHANDLE pHandle) {
	PPARAM_DATA data = (PPARAM_DATA)0x1234567890;
	//修复
	UINT64 uFixAddr = (UINT64)data->fnLdrLoadDll;
	for (int n = 0; n < sizeof(JMP_PATCH); n++) {
		*(byte*)(uFixAddr + n) = data->szBackupCode[n];
	}
	//加载DLL
	data->fnRtlInitUnicodeString(&data->UnicodeString, data->DllName);
	data->fnLdrLoadDll(data->DllPath, data->Flags, &data->UnicodeString, &data->ModuleHandle);

	return data->fnLdrLoadDll(pDllPath,uFlag,pString,pHandle);
}
DWORD WINAPI MyLdrLoadDllEnd()
{
	return 0;
}

UINT64 GetRemoteNtdllImagebase(HANDLE hGameHandle, UINT64 uCheckTargetFuncAddr,UINT64 uOffset) {
	UINT64 uAddr = 0x10000;
	MEMORY_BASIC_INFORMATION Mbi;
	while (uAddr < 0x8000000000000) {
		if (VirtualQueryEx(hGameHandle, (PVOID)uAddr, &Mbi, sizeof(MEMORY_BASIC_INFORMATION)) == sizeof(MEMORY_BASIC_INFORMATION)) {
			if ((Mbi.RegionSize == 0x1000) && (Mbi.Protect == PAGE_READONLY)) {
				IMAGE_DOS_HEADER ImageDosHeader = { 0 };
				SIZE_T Lp = 0;
				if (ReadProcessMemory(hGameHandle, (PVOID)Mbi.BaseAddress, &ImageDosHeader, sizeof(IMAGE_DOS_HEADER), &Lp)) {
					if (ImageDosHeader.e_magic == IMAGE_DOS_SIGNATURE) {
						IMAGE_NT_HEADERS ImageNtHeader = { 0 };
						if (ReadProcessMemory(hGameHandle, (PVOID)((UINT64)Mbi.BaseAddress + ImageDosHeader.e_lfanew), &ImageNtHeader, sizeof(IMAGE_NT_HEADERS), &Lp)) {
							if (ImageNtHeader.Signature == IMAGE_NT_SIGNATURE) {
								WORD wCmpByte = 0;
								if (ReadProcessMemory(hGameHandle, (PVOID)((UINT64)Mbi.BaseAddress + uOffset), &wCmpByte, sizeof(WORD), &Lp)) {
									if (wCmpByte == *(WORD*)uCheckTargetFuncAddr) {
										return (UINT64)Mbi.BaseAddress;
									}
								}
							}
						}
					}
				}
			}
			uAddr += Mbi.RegionSize;
		}
		else {
			break;
		}
	}
	return 0;
}

void InstallShellCode(HANDLE hGameHandle, LPCWSTR lpcwDllPath) {
	HMODULE hNtDLL = GetModuleHandle("ntdll.dll");
	if (hNtDLL) {
		//计算偏移
		UINT64 uFuncAddr = (UINT64)GetProcAddress(hNtDLL, "LdrLoadDll");
		UINT64 uOffset = uFuncAddr - (UINT64)hNtDLL;
		/*
			进程直接挂起无法获取到快照表,只能使用内存枚举,然后直接特征码比对
		*/
		UINT64 uTargetNtdllBase = GetRemoteNtdllImagebase(hGameHandle, uFuncAddr, uOffset);
		
		//找到目标NTDLL的基址了
		if (uTargetNtdllBase != 0) {
			//初始化shellcode使用的参数数据结构
			PARAM_DATA data = { 0 };
			data.fnRtlInitUnicodeString = (pRtlInitUnicodeString)(uTargetNtdllBase + ((UINT64)GetProcAddress(hNtDLL, "RtlInitUnicodeString") - (UINT64)hNtDLL));
			data.fnLdrLoadDll = (pLdrLoadDll)(uTargetNtdllBase + uOffset);
			memcpy(data.DllName, lpcwDllPath, (wcslen(lpcwDllPath) + 1)*sizeof(WCHAR));
			data.DllPath = NULL;
			data.Flags = 0;
			data.ModuleHandle = INVALID_HANDLE_VALUE;
			//备份恢复代码
			if (ReadProcessMemory(hGameHandle, (PVOID)(uTargetNtdllBase + uOffset), &data.szBackupCode, sizeof(JMP_PATCH) + 3, NULL)) {
				printf("Save BackupCode Success!\r\n");
			}

			//存放数据
			PVOID pDataAdr = VirtualAllocEx(hGameHandle, NULL, sizeof(PARAM_DATA), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
			if (pDataAdr) {
				//存放代码
				UINT64 SizeOfCode = (UINT64)MyLdrLoadDllEnd - (UINT64)MyLdrLoadDll; //计算长度
				PVOID pCode = VirtualAllocEx(hGameHandle, NULL, SizeOfCode, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
				if (pCode) {
					BYTE *pCache = new byte[SizeOfCode];
					if (pCache) {
						//代码拷出来
						memcpy(pCache, &MyLdrLoadDll, SizeOfCode);
						//修正shellcode参数地址
						for (DWORD i = 0; i < SizeOfCode; i++) {
							if (*(UINT64*)((UINT64)pCache + i) == 0x1234567890) {
								*(UINT64*)((UINT64)pCache + i) = (UINT64)pDataAdr;
								break;
							}
						}
						//写入参数
						if (WriteProcessMemory(hGameHandle, pDataAdr, &data, sizeof(PARAM_DATA), NULL)) {
							printf("Write ParamData Success! [%p]\r\n", pDataAdr);
						}
						//写入shellcode
						if (WriteProcessMemory(hGameHandle, pCode, pCache, SizeOfCode, NULL)) {
							printf("Write ShellCode Success! [%p]\r\n", pCode);
						}
						//HOOK 目标API
						DWORD oldProtect = 0;
						if (VirtualProtectEx(hGameHandle, (PVOID)(uTargetNtdllBase + uOffset), sizeof(JMP_PATCH), PAGE_EXECUTE_READWRITE, &oldProtect) == TRUE) {
							JMP_PATCH JmpPatch = { 0 };
							JmpPatch.REax = 0xB848;
							JmpPatch.JMP = 0xE0FF;
							JmpPatch.uAddress = (UINT64)pCode;
							if (WriteProcessMemory(hGameHandle, (PVOID)(uTargetNtdllBase + uOffset) , &JmpPatch, sizeof(JMP_PATCH), NULL)) {
								printf("Write Patch Success! [0x%llX]\r\n", uTargetNtdllBase + uOffset );
							}
						}

					}
				}				
			}			
		}
	}
}

int main(int argc, char *argv[]){
	printf("Shellcode Inject Tools Build 20230718\r\n");
	if (argc > 1) {
		char szBin[MAX_PATH] = { 0 };
		sprintf_s(szBin,"%s -launch", argv[1]);
		printf("Launch Command: %s\r\n" , szBin);

		char szInjectModulePath[MAX_PATH] = { 0 };
		GetCurrentDirectory(MAX_PATH, szInjectModulePath);
		strcat_s(szInjectModulePath, DEF_INJECT_MODULE);
		printf("Inject Module Path:%s\r\n", szInjectModulePath);

		STARTUPINFO si = { sizeof(si) };
		PROCESS_INFORMATION pi;
		if (CreateProcess(NULL, szBin, NULL, NULL,FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) {
			printf("Game Launch Pid:%d ...\r\n", pi.dwProcessId);
			WCHAR wLoadFile[MAX_PATH * 2] = { 0 };
			if (MultiByteToWideChar(CP_ACP, 0, szInjectModulePath, strlen(szInjectModulePath), wLoadFile, MAX_PATH * 2) > 0) {
				//安装shellcode
				InstallShellCode(pi.hProcess, wLoadFile);
			}		
			ResumeThread(pi.hThread);
			
			printf("Game Start...");
			Sleep(3 * 1000);

		}
	}else {
		printf("Params Wrong!Need game bin path\r\n");
		system("pause");
	}
    return 0;
}

Yoie
关注
专栏目录
编写shellcode注入至进程
挖树
10-18 4660
shellcode 维基百科: 在计算机安全中,shellcode是一小段代码,可以用于软件漏洞利用的载荷。 被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcode。 …… Shellcode通常是以机器码形式编写的。 去掉修饰词,shellcode就是一段机器码。 关于shellcode如何...
Doge-sRDI:Golang的反射式DLL注入Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射式DLL注入Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
Linux 64位 shellcode
weixin_44442852的博客
10-20 1446
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
Windows x86 x64使用SetThreadContext注入shellcode方式加载DLL
weixin_30877493的博客
04-25 549
一、前言   注入DLL方式有很多,在R3就有远程线程CreateRemoteThread、SetWindowsHookEx、QueueUserApc、SetThreadContext   在R0可以使用apc或者使用KeUserModeCallBack   关于本文是在32位和64位下使用SetThreadContext注入DLL,32位下注入shellcode加载dll参考创建进程时...
Linux x86_64 shellcode的编写
小立仔
07-06 1610
Linux x86_64 shellcode的编写
Dll注入:x86/X64 SetThreadContext 注入
aijuzhou1959的博客
02-24 519
在《Windows核心编程》第七章说到了线程优先级等知识,其中谈到了ThreadContext线程上下背景文。 其中介绍了GetThreadContext函数来查看线程内核对象的内部,并获取当前CPU寄存器状态的集合。 BOOL GetThreadContext ( HANDLE hThread, PCONTEXT pContext); 若要调用该函数,只需指...
使用shellcode动态加载dll-易语言
06-11
4. **DLL注入**:shellcode执行后,它应该能够加载指定的DLL(在这里可能是通过`LoadLibrary`或更底层的内存映射方式)。之后,可以使用`GetProcAddress`获取DLL中的函数指针,并调用这些函数执行所需的操作。 5. *...
shellcode-to-dll:shellcode 异或加密并生成dll
04-23
在“shellcode-to-dll”项目中,我们看到的是将shellcode进行异或加密,并将其封装到动态链接库(DLL)文件中的过程。这一方法的目的是提高shellcode的隐蔽性和抗分析能力,因为原始的shellcode很容易被反病毒软件...
MakeCode:DLL转换为Shellcode
05-19
Shellcode通常用于绕过系统安全机制,比如在注入攻击中,攻击者会将Shellcode注入到目标进程的内存中执行恶意代码。由于Shellcode不依赖于磁盘上的可执行文件,因此它能更隐蔽地运行。将DLL转换成Shellcode可以使得...
java安卓辅助源码-injection-stuff:PE注入DLL注入、进程注入、线程注入、代码注入Shellcode注入、ELF注入
06-04
PE注入DLL注入、进程注入、线程注入、代码注入Shellcode注入、ELF注入、Dylib注入,当前包括400+工具和350+文章,根据功能进行了粗糙的分类 目录 -> -> -> -> -> -> -> -> -> PE注入 工具 [535星][20d] [C] ...
64位Windows 10 shellcode,可使用Meterpreter反向shell注入所有进程。-.NET开发
05-27
Windows / x64-使用Meterpreter反向Shell注入所有进程(655字节)Windows / x64-使用Meterpreter反向Shell注入所有进程(655字节)Shellcode作者:Bobby Cooke(boku)日期:2021年5月1日经过测试:Windows 10 v2004 (x64)编译自:Kali Linux(x86_64)Shellcode说明:64位Windows 10 shellcode,用于注入具有Meterpreter反向shell的所有进程。 Shellcode首先通过Intel GS寄存器和主机进程进程环境块(PEB)动态解析内存中kernel32.dll的基地址。 然后再
x64代码注入器1.0.rar
05-22
本工具由独立团官方开发,用于测试x64程序执行汇编call功能测试,写x64内存辅助必备工具 可以端游,手游模拟器 工具作用类似于之前的32位的代码注入器,用于写call之前的分析call测试call参数调用
利器!schelper151_shellcode转为64位汇编32位汇编(包密码为123)
02-10
schelper151 包的密码为123,为了防被杀。 shellcode转为64位汇编32位汇编 也可以将64位汇编32位汇编转为各种类型的shellcode,利器!! 例如我要将C语言数组类型的shellcode转化为64位汇编,命令为: schelper.exe -i c.txt -s 0 -d 27 -dp x64 其中把shellcode写到文件c.txt
注入助手X64版本.exe
05-16
64位注入器,支持多种静态和动态方式注入模式,方便易用!
64位远程注入小工具
04-29
可以将64位dll通过远程注入方式注入64位进程 http://blog.csdn.net/ebxds/article/details/45133609
通用型ShellCode,加载指定DLL模块
逐天实验室 ( SCLB )
11-03 4522
利用通用型ShellCode加载指定Dll模块,并提取ShellCode字节码,调用ShellCode
64位shellcode编程(不错) Windows x64 Shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-06 4030
原文链接:http://mcdermottcybersecurity.com/articles/windows-x64-shellcode Windows x64 Shellcode January 11, 2011 Contents Introduction RIP-Relative Addressing API Lookup
linux 64位 shellcode,Linux Shellcode“你好,世界!”
weixin_36249942的博客
05-12 190
小编典典注入shellcode时,您不知道位置message:mov ecx, message在注入的过程中,它可以是任何东西,但不会如此,"Helloworld!\r\n"因为仅转储文本部分时它位于数据部分。您可以看到您的shellcode没有"Hello world!\r\n":"\xb8\x04\x00\x00\x00""\xbb\x01\x00\x00\x00""\xb9\x00\x00...
创建傀儡进程svchost.exe并注入DLL文件(Shellcode
最新发布
【Rainbow Network Technology co., LTD】
08-13 794
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入ShellCode)。
N种内核注入DLL策略与实现规避
本文档深入探讨了N种内核注入DLL的思路和实践方法,作者sudami以时间为线索,分享了他在2008年11月的经验。内核注入技术是一种在操作系统内核级别进行操作的技术,随着现代系统的演进,部分系统不再依赖传统的进程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值