matasploit+shellcode编码学习

最新推荐文章于 2024-07-15 15:50:02 发布
最新推荐文章于 2024-07-15 15:50:02 发布
阅读量3k 收藏
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/21300395
版权
本文介绍了如何使用msfpescan和msfencode工具进行shellcode扫描和加密,详细讲解了不同shellcode编码方式,包括call $+4、FSTENV和Backward call。还探讨了通过PEB、SEH和TOPSTACK TEB寻找kernel32.dll的方法,以及UNICODE编码的学习。同时提到了在Windows环境下的应用示例。
摘要由CSDN通过智能技术生成




msfpescan ,msfencode 等命令使用

首先下面额指令都是我用到时记录的,可以说是经常用到吧


先找到memdump.exe文件:

C:\Program Files\Metasploit\Framework3\msf3\tools\memdump\memdump.exe

在CMD下 运行  memdump.exe 进程PID c:\abc

然后进入console

运行   msfpescan -p -m c:/abc  > 1.txt 妈个蛋 要安装ruby 不安装了·······直接用msfpescan -p xx.dll我还觉得方便些


eg:  msfpescan player.dll -p   搜索DLL中所有pop pop ret 指令

Usage: /msf3/msfpescan [mode] <options> [targets]

Modes:
    -j, --jump [regA,regB,regC]      Search for jump equivalent instructions
    -p, --poppopret                  Search for pop+pop+ret combinations
    -r, --regex [regex]              Search for regex match
    -a, --analyze-address [address]  Display the code at the specified address
    -b, --analyze-offset [offset]    Display the code at the specified offset
    -f, --fingerprint                Attempt to identify the packer/compiler
    -i, --info                       Display detailed information about the image
    -R, --ripper [directory]         Rip all module resources to disk 
        --context-map [directory]    Generate context-map files

Options:
    -M, --memdump                    The targets are memdump.exe directories
    -A, --after [bytes]              Number of bytes to show after match (-a/-b)
    -B, --before [bytes]             Number of bytes to show before match (-a/-b)
    -D, --disasm                     Disassemble the bytes at this address
    -I, --image-base [address]       Specify an alternate ImageBase
    -F, --filter-addresses [regex]   Filter addresses based on a regular expression
    -h, --help                       Show this message


下面学习用 msfencode 加密shellcode 的方法:

root@bt:/opt/framework/msf3# ./msfencode -h

    Usage: ./msfencode <options>

OPTIONS:

    -a <opt>  The architecture to encode as
    -b <opt>  The list of characters to avoid: '\x00\xff'
    -c <opt>  The number of times to encode the data
    -d <opt>  Specify the directory in which to look for EXE templates
    -e <opt>  The encoder to use
    -h        Help banner
    -i <opt>  Encode the contents of the supplied file path
    -k        Keep template working; run payload in new thread (use with -x)
    -l        List available encoders
    -m <opt>  Specifies an additional module search path
    -n        Dump encoder information
    -o <opt>  The output file
    -p <opt>  The platform to encode for
    -s <opt>  The maximum size of the encoded data
    -t <opt>  The output format: raw,ruby,rb,perl,pl,c,js_be,js_le,java,dll,exe,exe-small,elf,macho,vba,vbs,loop-vbs,asp,war
    -v        Increase verbosity
    -x <opt>  Specify an alternate executable template


root@bt:/opt/framework/msf3# ./msfencode -l

Framework Encoders
==================

    Name                    Rank       Description
    ----                    ----       -----------
    cmd/generic_sh          good       Generic Shell Variable Substitution Command Encoder
    cmd/ifs                 low        Generic ${IFS} Substitution Command Encoder
    cmd/printf_php_mq       manual     printf(1) via PHP magic_quotes Utility Command Encoder
    generic/none            normal     The "none" Encoder
    mipsbe/longxor          normal     XOR Encoder
    mipsle/longxor          normal     XOR Encoder
    php/base64              great      PHP Base64 encoder
    ppc/longxor             normal     PPC LongXOR Encoder
    ppc/longxor_tag         normal     PPC LongXOR Encoder
    sparc/longxor_tag       normal     SPARC DWORD XOR Encoder
    x64/xor                 normal     XOR Encoder
    x86/alpha_mixed         low        Alpha2 Alphanumeric Mixedcase Encoder
    x86/alpha_upper         low        Alpha2 Alphanumeric Uppercase Encoder
    x86/avoid_utf8_tolower  manual     Avoid UTF8/tolower
    x86/call4_dword_xor     normal     Call+4 Dword XOR Encoder
    x86/context_cpuid       manual     CPUID-based Context Keyed Payload Encoder
    x86/context_stat        manual     stat(2)-based Context Keyed Payload Encoder
    x86/context_time        manual     time(2)-based Context Keyed Payload Encoder
    x86/countdown           normal     Single-byte XOR Countdown Encoder
    x86/fnstenv_mov         normal     Variable-length Fnstenv/mov Dword XOR Encoder
    x86/jmp_call_additive   normal     Jump/Call XOR Additive Feedback Encoder
    x86/nonalpha            low        Non-Alpha Encoder
    x86/nonupper            low        Non-Upper Encoder
    x86/shikata_ga_nai      excellent  Polymorphic XOR Additive Feedback Encoder
    x86/single_static_bit   manual     Single Static Bit
    x86/unicode_mixed       manual     Alpha2 Alphanumeric Unicode Mixedcase Encoder
    x86/unicode_upper       manual     Alpha2 Alphanumeric Unicode Uppercase Encoder

学习几种shellcode编码/加密方式:

每次得到的shellcode 都不相同了, 放在ESI 中的值,得到解码器起始地址的指令位置,记录位置的寄存器 ,循环前面的指令,变量的值都变了


1)    x86/shikata_ga_nai   

00427400    BA 99B20D32     mov edx,0x320DB299
00427405    DBC9            fcmovne st,st(1)
00427407    D97424 F4       fstenv (28-byte) ptr ss:[esp-0xC]  //这句代码得到解码器第一个FPU指令的地址,这个指令能工作的必备条件是前面至少有个FPU指令被执行
                                                               //可以是 fcmovne st,st(1)   fldpi     fldz	ffree st(3) fcmovnb st,st fcmovnbe st,st(5)
0042740B    5D              pop ebp
0042740C    29C9            sub ecx,ecx
0042740E    B1 46           mov cl,0x46
00427410    3155 13         xor dword ptr ss:[ebp+0x13],edx    //xor 解码
00427413    83C5 04         add ebp,0x4
00427416    0355 96         add edx,dword ptr ss:[ebp-0x6A]
00427419  ^\E2 F5           loopd Xtest1231.00427410           //用LOOP 去循环取值

2)x86/alpha_mixed    主要思想是 重新产生原始代码(通过一个循环)

00427400 >  89E0            mov eax,esp
00427402    DBD3            fcmovnbe st,st(3)
00427404    D970 F4         fstenv (28-byte) ptr ds:[eax-0xC]
00427407    5D              pop ebp
00427408    55              push ebp
00427409    59              pop ecx
0042740A    49              dec ecx
0042740B    49              dec ecx
0042740C    49              dec ecx
0042740D    49              dec ecx
0042740E    49              dec ecx
0042740F    49              dec ecx
00427410    49              dec ecx
00427411    49              dec ecx
00427412    49
最低0.47元/天 解锁文章
pandamac
关注
专栏目录
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2293
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
Shellcode-In-Memory-Decoder:一个简单的C实现,可对您的Shellcode进行解码并将其直接写入内存
03-21
Shellcode-In-Memory-Decoder 一个简单的C实现对您的shellcode进行解码并将其直接写入内存,您可以使用此代码执行进程注入。 用法 您需要首先对shellcode进行编码,文件xor-encoder.py是一个非常简单的示例,说明如何使用XOR编码shellcode。 然后,您需要复制xor-encoder.py的输出并将其粘贴到文件decoder.c中的shellcode数组中。 要从Linux编译代码,可以使用Mingw64 ,如下所示: x86_64-w64-mingw32-gcc decoder.c -o decoder.exe -w 之后,您可以在目标计算机上运行它并通过如下所示的PID进行传递: C:\Users\askar\Desktop>decoder.exe 3796 在运行它之后,我们将获得以下漂亮的信标:
shellcode基础学习
最新发布
m0_74731303的博客
07-15 335
主机填写阿里服务器的公网ip,用户名默认为root。首先在阿里云官网注册登录账号,免费试用3个月服务器。在本地安装finalshell:选择适合本机的版本。打开finalshell新建连接。
为metasploit添加自己的shellcode
ccplusplusjava的专栏
09-03 1068
<br />一、metasploit中payload的类型<br />二、single-stage payload的添加<br />三、multistage payload的添加<br />
[ShellCode] 动态解密 ShellCode,免杀
LYSM
11-27 2075
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征码查杀,当我们程序中使用了敏感的函数时,就会存在被杀的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么杀软将无法捕捉硬盘文件的特征,从而可以规避杀软针对硬盘特征的查杀手法。 经过阅读该案例
Shellcode 编码、解码
jackydai987的专栏
03-04 7294
Shellcode 编码、解码
shellcode转unicode工具
06-13
这是一款超级便宜的shellcode转unicode工具,非常好用!
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
03-30
"ExploitDev:各种ASM,C和C++工具,shellcode和利用实验"是一个专注于这一主题的资源集合,它包含了用于学习和实践exploit开发的各种工具和技术。 1. **汇编语言(ASM)**: ASM是计算机编程的基础,对于理解底层系统...
shellcode编码
06-06
"b'shellcode编码'"的意思是带有"b"前缀的字节字符串,其中包含了一个shellcode编码Shellcode是一段用汇编语言编写的二进制代码,通常用于利用计算机系统中的漏洞,从而实现攻击的目的。编码是一种对数据进行...
shellcode转换工具
07-26
shellcode转换工具
shellcode xor编码/解码[1]
weixin_34209851的博客
05-23 378
shellcode的初级变形的一点点总结,大部分搜集、翻译,少量原创 0x01 病毒上重定位问题0x02 shellcode解码0x03 一个unix例子0x04 源码解读0x05 参考 shellcode xor编码/解码器是一种较为初级的shellcode变形的方法,当然它从中采用的方法跟病毒上的方法有些类似 0x01 病毒上重定位问题病毒上的解决重定位的方法,可以方便的用到she...
shellcode加密与解密
weixin_30338461的博客
07-22 1218
// Encoder.cpp : Defines the entry point for the console application.// #include "stdafx.h"#include <Windows.h>#include <stdio.h> void encoder(char* input ,unsigned char key,int display_...
恶意代码分析基础-shellcode异或解码
zzzfff__的博客
05-21 191
对于二进制Shellcode机器代码编码,通常采用类似“加壳”思想的手段,采用: 自定义编码(异或编码、计算编码、简单加解密等)的方法完成shellcode编码;通过精心构造精简干练的解码程序,放在shellcode开始执行的地方,完成shellcode的编解码;当exploit成功时,shellcode顶端的解码程序首先运行,它会在内存中将真正的shellcode还原成原来的样子,然后执行。
shellcode 编码技术
weixin_30500289的博客
01-22 553
在很多漏洞利用场景中, shellcode 的内容将会受到限制。 例如你不能输入 \x00 这个字符,编辑框不能输入 \x0d \x0a这样的字符 所以需要完成 shellcode 的逻辑,然后使用编码技术对 shellcode 进行编码,使其内容达到限 制的要求,最后再精心构造十几个字节的解码程序,放在 shellcode 开始执行的地方。 当 exploit 成功时, shellcode...
大型计算机变形,ShellCode编码变形大法 -电脑资料
weixin_31124869的博客
07-24 266
现在的很多有溢出漏洞的程序对ShellCode都有特定的要求,一类是对ShellCode的长度大小有限制;另一类就是不能出现某些特殊字符,比如Cmail漏洞不能有大写字母啊,Foxmail不能有0x2E,0x2F字符一类的,要ShellCode避免出现特殊字符,有两种方法:一种是编写好ShellCode后,对不合要求的字符进行指令等价变换。比如,一些IIS漏洞里面不能出现0x20,对指令Mov e...
Shellcode提取、加载与解析
莫慌的博客
03-06 2026
msf的shellcode 如何实现的
恶意代码分析实战 16 Shellcode分析
农夫果园好好喝的博客
01-25 1518
切换回来,208处pop指令会将栈顶也就是224这个地址赋给esi,之后push则是将其压栈,mov指令将esi赋给edi,lodsb指令在这里是将esi赋给eax,esi中的地址是224,该地址的值是多少呢?可以看到该地址的值是49h,也就是将49h赋给eax,之后al赋给dl,dl此时的值就是49h,dl减去41h,所得结果左移4位,然后esi自增,变成了225,同样定位225,按d键,结果如下。这个shellcode使用了一种字母编码的方式,攻击负载的一个字节存储在两个编码字节的低4比特位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值