1.1.13 导出表劫持ShellCode加载2.1.12 进程注入ShellCode套接字3.1.10 内存ShellCode注入与格式化4.1.9 动态解密ShellCode反弹5.1.8 运用C编写ShellCode代码6.1.7 完善自定位ShellCode7.1.6 编写双管道ShellCode8.1.5 编写自定位ShellCode弹窗9.1.4 编写简易ShellCode弹窗10.1.3 Metasploit 生成SSL加密载荷11.1.1 Metasploit 工具简介12.5.14 汇编语言:仿写Switch选择结构13.5.13 汇编语言:仿写For循环语句14.5.12 汇编语言:仿写While循环语句15.5.11 汇编语言:仿写IF条件语句16.5.10 汇编语言:汇编过程与结构17.5.9 汇编语言:浮点数操作指令18.5.8 汇编语言:汇编高效除法运算19.5.7 汇编语言:汇编高效乘法运算20.5.6 汇编语言:汇编高效数组寻址21.5.5 汇编语言:函数调用约定22.5.4 汇编语言:算数运算指令集23.5.3 汇编语言:字符串操作指令24.5.2 汇编语言:标志位测试指令25.5.1 汇编语言:汇编语言概述26.4.9 C++ Boost 命令行解析库27.4.8 C++ Boost 应用JSON解析库28.4.7 C++ Boost 多线程并发库29.4.6 C++ Boost 函数绑定回调库30.4.5 C++ Boost 文件目录操作库31.4.4 C++ Boost 数据集序列化库32.4.3 C++ Boost 日期时间操作库33.4.2 C++ Boost 内存池管理库34.4.1 C++ Boost 字符串处理库35.11.1 C++ STL 应用字典与列表36.10.1 C++ STL 模板适配与迭代器37.9.1 C++ STL 排序、算数与集合38.8.1 C++ STL 变易拷贝算法39.7.1 C++ STL 非变易查找算法40.6.1 C++ STL 序列映射容器41.5.1 C++ STL 集合数据容器42.4.1 C++ STL 动态链表容器43.3.1 C++ STL 双向队列容器44.2.1 C++ STL 数组向量容器45.1.1 C++ STL 字符串构造函数46.7.5 C/C++ 实现链表队列47.7.4 C/C++ 实现链表栈48.7.3 C/C++ 实现顺序栈49.7.2 C/C++ 实现动态链表50.7.1 C/C++ 实现动态数组51.9.0 Python 内置模块应用52.8.0 Python 使用进程与线程53.7.0 Python 面向对象编程54.6.0 Python 使用函数装饰器55.5.0 Python 定义并使用函数56.4.0 Python 变量与作用域57.3.0 Python 迭代器与生成器58.2.0 Python 数据结构与类型59.21.1 使用PEfile分析PE文件60.1.0 Python 标准输入与输出
61.1.8 运用C编写ShellCode代码
62.5.2 基于ROP漏洞挖掘与利用63.5.1 缓冲区溢出与攻防博弈64.2.0 熟悉CheatEngine修改器65.4.9 x64dbg 内存处理与差异对比66.4.10 x64dbg 反汇编功能的封装67.4.8 x64dbg 学会扫描应用堆栈68.4.7 x64dbg 应用层的钩子扫描69.4.6 x64dbg 内存扫描与查壳实现70.4.5 x64dbg 探索钩子劫持技术71.4.4 x64dbg 绕过反调试保护机制72.4.3 x64dbg 搜索内存可利用指令73.4.2 x64dbg 针对PE文件的扫描74.4.1 探索LyScript漏洞挖掘插件75.1.5 为x64dbg编写插件76.1.1 熟悉x64dbg调试器77.1.7 完善自定位ShellCode后门78.1.6 编写双管道ShellCode后门79.1.5 编写自定位ShellCode弹窗80.1.4 编写简易ShellCode弹窗81.1.3 Metasploit 生成SSL加密载荷82.1.1 Metasploit 工具简介83.2.1 PE结构:文件映射进内存在笔者前几篇文章中,我们使用汇编语言并通过自定位的方法实现了一个简单的MessageBox弹窗功能,但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底,还需要写出更多的指令集,这对于普通人来说是非常困难的,当然除了通过汇编来实现ShellCode的编写以外,使用C同样可以实现编写,在多数情况下读者可以直接使用C开发,只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。
相较于汇编语言,使用C编写Shellcode可以更加方便、高效,特别是对于需要大量计算的操作。在编写Shellcode时,读者需要注意以下几点:
- 1.使用纯C语言进行编写:在编写Shellcode时,需要避免使用C++标准库或其他外部依赖库,因为这些库往往会增加代码的长度和复杂度。
- 2.关闭编译器优化:在编写Shellcode时,需要关闭编译器的优化功能,因为优化可能会改变代码的执行顺序,导致Shellcode无法正常工作。
- 3.避免使用全局变量和静态变量:在Shellcode中,全局变量和静态变量往往会导致代码长度过长,并且这些变量的地址也可能与Shellcode中其他代码的地址产生冲突。
- 4.使用裸指针和裸内存管理:为了减小Shellcode的长度和复杂度,需要使用裸指针和裸内存管理,这可以减少代码中不必要的辅助函数调用。
- 5.不能使用全局变量,或者用static修饰的变量,在Shellcode中要自定义入口函数,所有的字符串都要用字符串数组的方式代替。
首先读者应自行新建一个开发项目,并将编译模式调整为Release模式,这是因为Debug模式下的代码在转换成汇编后首先都是一个JMP指令,然后再跳到我们的功能代码处,但JMP指令是地址相关的 ,所以在转换成ShellCode时就会出错。此外在读者新建项目文件时请最好使用*.c结尾而不要使用*.cpp结尾。
当读者新建文件以后,接下来请修改配置属性,将运行库修改为多线程(MT)并关闭安全检查机制,如下图所示;
接着在连接器部分,新增一个EntryMain入口点,默认的Main入口点显然时不能使用的,如下图所示;
与前几章中的内容原理一致,首先我们需要得到kernel32.dll模块的基址,这段代码我们依然采用汇编实现,这里需要注意__declspec(naked)的含义,该声明是微软编译器提供的一个扩展,它用于指示编译器不要为函数自动生成函数头和尾,并将函数转化为裸函数。这种函数不会自动生成函数前缀和后缀的代码,也不会创建任何本地变量或保护寄存器。
在使用__declspec(naked)声明的函数中,开发者需要自己手动管理堆栈和调用函数的传递参数,然后在函数体中使用汇编指令实现所需的功能。使用__declspec(naked)声明的函数可以有效地减小生成的代码大小,因为不需要在函数前后添加额外的代码,而且可以精确控制函数内部的代码。
注意:使用
__declspec(naked)声明的函数需要开发者对汇编语言有一定的了解,否则容易出现错误。在使用时,需要非常小心,确保在函数内部正确地管理堆栈和传递参数,以确保函数能够正常工作。
// ----------------------------------------------
// 32位获取模块基址
// ----------------------------------------------
__declspec(naked) DWORD getKernel32()
{
__asm
{
mov eax, fs: [30h]
mov eax, [eax + 0ch]
mov eax, [eax + 14h]
mov eax, [eax]
mov eax, [eax]
mov eax, [eax + 10h]
ret
}
}
// ----------------------------------------------
// 64位获取模块基址
// ----------------------------------------------
/*
.code
getKernel32 proc
mov rax,gs:[60h]
mov rax,[rax+18h]
mov rax,[rax+30h]
mov rax,[rax]
mov rax,[rax]
mov rax,[rax+10h]
ret
getKernel32 endp
end
*/
当我们能够拿到kernel32.dll的模块基址时,则接下来就是通过该基址得到Kernel32的模块导出表,并获取该导出表内的GetProcessAddress函数的基址,至于为什么需要这么做,在读者前面的文章中有详细的分析,这里就不再重复叙述。
// ----------------------------------------------
// 32位取函数地址
// ----------------------------------------------
FARPROC getProcAddress(HMODULE hModuleBase)
{
PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;
PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS)((DWORD)hModuleBase + lpDosHeader->e_lfanew);
if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size)
{
return NULL;
}
if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
{
return NULL;
}
PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNames);
PWORD lpword = (PWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNameOrdinals);
PDWORD lpdwFunAddr = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfFunctions);
DWORD dwLoop = 0;
FARPROC pRet = NULL;
for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++)
{
char* pFunName = (char*)(lpdwFunName[dwLoop] + (DWORD)hModuleBase);
if (pFunName[0] == 'G' &&
pFunName[1] == 'e' &&
pFunName[2] == 't' &&
pFunName[3] == 'P' &&
pFunName[4] == 'r' &&
pFunName[5] == 'o' &&
pFunName[6] == 'c' &&
pFunName[7] == 'A' &&
pFunName[8] == 'd' &&
pFunName[9] == 'd' &&
pFunName[10] == 'r' &&
pFunName[11] == 'e' &&
pFunName[12] == 's' &&
pFunName[13] == 's')
{
pRet = (FARPROC)(lpdwFunAddr[lpword[dwLoop]] + (DWORD)hModuleBase);
break;
}
}
return pRet;
}
// ----------------------------------------------
// 64位取函数地址
// ----------------------------------------------
/*
FARPROC getProcAddress(HMODULE hModuleBase)
{
PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;
PIMAGE_NT_HEADERS64 lpNtHeader = (PIMAGE_NT_HEADERS64)((ULONG64)hModuleBase + lpDosHeader->e_lfanew);
if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size)
{
return NULL;
}
if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
{
return NULL;
}
PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((ULONG64)hModuleBase + (ULONG64)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
PDWORD lpdwFunName = (PDWORD)((ULONG64)hModuleBase + (ULONG64)lpExports->AddressOfNames);
PWORD lpword = (PWORD)((ULONG64)hModuleBase + (ULONG64)lpExports->AddressOfNameOrdinals);
PDWORD lpdwFunAddr = (PDWORD)((ULONG64)hModuleBase + (ULONG64)lpExports->AddressOfFunctions);
DWORD dwLoop = 0;
FARPROC pRet = NULL;
for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++)
{
char* pFunName = (char*)(lpdwFunName[dwLoop] + (ULONG64)hModuleBase);
if (pFunName[0] == 'G' &&
pFunName[1] == 'e' &&
pFunName[2] == 't' &&
pFunName[3] == 'P' &&
pFunName[4] == 'r' &&
pFunName[5] == 'o' &&
pFunName[6] == 'c' &&
pFunName[7] == 'A' &&
pFunName[8] == 'd' &&
pFunName[9] == 'd' &&
pFunName[10] == 'r' &&
pFunName[11] == 'e' &&
pFunName[12] == 's' &&
pFunName[13] == 's')
{
pRet = (FARPROC)(lpdwFunAddr[lpword[dwLoop]] + (ULONG64)hModuleBase);
break;
}
}
return pRet;
}
*/
接着我们需要编写主代码逻辑,主代码逻辑中使用GetProcAddress和LoadLibraryW来加载user32.dll并调用其中的MessageBoxW函数弹出一个消息框的示例。
下面是代码的详细实现流程:
- 1.定义函数指针类型FN_GetProcAddress,用于存储GetProcAddress函数的地址,该函数用于在加载的DLL中查找导出函数的地址。
- 2.通过getProcAddress函数获取kernel32.dll中的GetProcAddress函数地址,并将其转换为FN_GetProcAddress类型的函数指针fn_GetProcAddress。
- 3.定义函数指针类型FN_LoadLibraryW,用于存储LoadLibraryW函数的地址,该函数用于加载指定的DLL文件。
- 4.定义名为xyLoadLibraryW的字符数组,存储字符串"LoadLibraryW"。
- 5.使用fn_GetProcAddress函数指针获取kernel32.dll中的LoadLibraryW函数的地址,并将其转换为FN_LoadLibraryW类型的函数指针fn_LoadLibraryW。
- 6.定义函数指针类型FN_MessageBoxW,用于存储MessageBoxW函数的地址,该函数用于弹出消息框。
- 7.定义名为xy_MessageBoxW的字符数组,存储字符串"MessageBoxW"。
- 8.定义名为xy_user32的字符数组,存储字符串"user32.dll"。
- 9.使用fn_LoadLibraryW函数指针加载user32.dll,并使用fn_GetProcAddress函数指针获取其中的MessageBoxW函数地址,并将其转换为FN_MessageBoxW类型的函数指针fn_MessageBoxW。
- 10.定义名为MsgBox和Title的wchar_t数组,用于存储消息框的文本内容和标题。
- 11.使用fn_MessageBoxW函数指针弹出一个消息框,显示MsgBox中的文本内容,并使用Title中的文本作为标题。
#include 至此读者需要手动编译上述代码,当编译通过之后,请打开WinHex工具,并定位到ShellCode的开头位置,如下图所示则是我们需要提取的指令集;
选中这片区域,并右键点击编辑按钮,找到复制,C源码格式,此时读者即可得到一个完整的源代码格式;
至此读者只需要一个注入器用于测试代码的完善性,此处是简单实现的一个注入器,代码中shellcode是我们上图中提取出来的片段,读者需要修改targetPid为任意一个32位应用程序,并运行注入即可;
#include 如果一切顺利,则读者可看到这段ShellCode已经在特定进程内实现运行了,并输出了如下图所示的弹窗提示;
