【原创】Win 7下定位kernel32.dll基址及shellcode编写

最新推荐文章于 2023-11-13 17:51:02 发布
转载 最新推荐文章于 2023-11-13 17:51:02 发布 · 1.4k 阅读 · 1
文章标签:

#windows #module #c #测试 #平台 #汇编

 为了使shellcode在多种操作系统平台下都可以正常运行,就不得不动态的定位kernel32.dll的基地址。而被广泛使用的一种方法是通过TEB/PEB结构获取kernel32.dll基地址,我个人第一次接触是通过绿盟月刊的一篇文章“通过TEB/PEB枚举当前进程空间中用户模块列表”方才知道这种被众多编程人员使用的方法。至于这个方法的最原始出处该文作者也未提及。只得知29A杂志也有大量使用该技术。这种方法适用于除Win7以外的所有windows操作系统包括95/98/ME/NT/2K/XP,大小只有34 bytes,下面是其原理及实现代码;
      更详细的知识大家可以参考snowdbg大牛的文章Windows下的shellcode剖析浅谈http://bbs.pediy.com/showthread.php?t=99007
      利用PEB结构来查找kernel32.dll的原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构中,相应的双向链表头部的指针,该链表加载的DLL的顺序是ntdll.dll,kernel32.dl,因此该成员所指的链表偏移0x08处为kernel32.dll地址。
更详细的知识大家可以参考snowdbg大牛的文章Windows下的shellcode剖析浅谈http://bbs.pediy.com/showthread.php?t=99007
获取KERNEL32.DLL基址汇编实现代码:

;find kernel32.dll
find_kernel32:
    push esi
    xor eax, eax
    mov eax, [fs:eax+0x30]
    test eax, eax
    js find_kernel32_9x        ;win9x or nt
find_kernel32_nt:
    mov eax, [eax + 0x0c]
    mov esi, [eax + 0x1c]
    lodsd
    mov eax, [eax + 0x8]
    jmp find_kernel32_finished
find_kernel32_9x:
    mov eax, [eax + 0x34]
    lea eax, [eax + 0x7c]
    mov eax, [eax + 0x3c]
find_kernel32_finished:
    pop esi
    ret

但非常可惜的是这种方法在Win7下是不适用的,所以很高兴现在给大家分享国外网站上看到的一种新的方法来定位kernel32.dl的基地址,该方法可以在所有windows版本上适用!这种方法通过在InInitializationOrderModuleList中查找kernel32.dll模块名称的长度来定位它的基地址,因为"kernel32.dll"的最后一个字符为"\0"结束符。所以倘若模块最后一个字节为"\0"即可定位kernel32.dll的地址;

具体代码实现方法:
;find kernel32.dll
find_kernel32:
    push esi
    xor ecx, ecx
    mov esi, [fs:ecx+0x30]
    mov esi, [esi + 0x0c]
    mov esi, [esi + 0x1c]
next_module:
    mov eax, [esi + 0x8]
    mov edi,[esi+0x20]
    mov esi ,[esi]
    cmp [edi+12*2],cx
    jne next_module
    pop esi
    Ret
      通过我的测试,这种利用该方法编写的shellcode可以在32位平台Windows 5.0-7.0的所有版本上适用,下面是经我测试在win 7下实现执行calc.exe的shellcode,shellcode本身写的很粗糙只为验证该方法的可用性!

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main()
{
  unsigned char shellcode[219] = {
  0xE9, 0x96, 0x00, 0x00, 0x00, 0x56, 0x31, 0xC9, 0x64, 0x8B, 0x71, 0x30, 0x8B, 0x76, 0x0C, 0x8B, 
  0x76, 0x1C, 0x8B, 0x46, 0x08, 0x8B, 0x7E, 0x20, 0x8B, 0x36, 0x66, 0x39, 0x4F, 0x18, 0x75, 0xF2, 
  0x5E, 0xC3, 0x60, 0x8B, 0x6C, 0x24, 0x24, 0x8B, 0x45, 0x3C, 0x8B, 0x54, 0x05, 0x78, 0x01, 0xEA, 
  0x8B, 0x4A, 0x18, 0x8B, 0x5A, 0x20, 0x01, 0xEB, 0xE3, 0x37, 0x49, 0x8B, 0x34, 0x8B, 0x01, 0xEE, 
  0x31, 0xFF, 0x31, 0xC0, 0xFC, 0xAC, 0x84, 0xC0, 0x74, 0x0A, 0xC1, 0xCF, 0x0D, 0x01, 0xC7, 0xE9, 
  0xF1, 0xFF, 0xFF, 0xFF, 0x3B, 0x7C, 0x24, 0x28, 0x75, 0xDE, 0x8B, 0x5A, 0x24, 0x01, 0xEB, 0x66, 
  0x8B, 0x0C, 0x4B, 0x8B, 0x5A, 0x1C, 0x01, 0xEB, 0x8B, 0x04, 0x8B, 0x01, 0xE8, 0x89, 0x44, 0x24, 
  0x1C, 0x61, 0xC3, 0xAD, 0x50, 0x52, 0xE8, 0xA7, 0xFF, 0xFF, 0xFF, 0x89, 0x07, 0x81, 0xC4, 0x08, 
  0x00, 0x00, 0x00, 0x81, 0xC7, 0x04, 0x00, 0x00, 0x00, 0x39, 0xCE, 0x75, 0xE6, 0xC3, 0xE8, 0x19, 
  0x00, 0x00, 0x00, 0x98, 0xFE, 0x8A, 0x0E, 0x7E, 0xD8, 0xE2, 0x73, 0x81, 0xEC, 0x08, 0x00, 0x00, 
  0x00, 0x89, 0xE5, 0xE8, 0x5D, 0xFF, 0xFF, 0xFF, 0x89, 0xC2, 0xEB, 0xE2, 0x5E, 0x8D, 0x7D, 0x04, 
  0x89, 0xF1, 0x81, 0xC1, 0x08, 0x00, 0x00, 0x00, 0xE8, 0xB6, 0xFF, 0xFF, 0xFF, 0xEB, 0x0E, 0x5B, 
  0x31, 0xC0, 0x50, 0x53, 0xFF, 0x55, 0x04, 0x31, 0xC0, 0x50, 0xFF, 0x55, 0x08, 0xE8, 0xED, 0xFF, 
  0xFF, 0xFF, 0x63, 0x61, 0x6C, 0x63, 0x2E, 0x65, 0x78, 0x65, 0x00
};

printf("size of shellcode: %d\n", strlen(shellcode));
system("pause");
((void (*)())shellcode)();
return 0;
}
感谢所有朋友回复和意见以及riusksk的验证,漏洞方面我是新手,还需不断学习,我深信技术的提升总是通过一次一次的更新的认知!发现自己的不足,不断进步!这才是我一直关注看雪的原因!

 

第10章 shellcode实战:05 原则:Kernel32基址的获取
李小咖·网安技术库
05-01 1297
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导出函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 725
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写
Win 7定位kernel32.dll基址shellcode编写
wgdguodong2008的专栏
06-18 814
标 题: Win 7定位kernel32.dll基址shellcode编写 作 者: Cryin 时 间: 2010-10-14,22:19:43 链 接: http://bbs.pediy.com/showthread.php?t=122260 Win 7定位kernel32.dll基址shellcode编写 Author:Cryin Data:2010.10.14 B
学习笔记通过PEB获取kernal32.dll基地址
popkun222的专栏
03-06 1458
原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll基址 ; 从PEB结构中搜索kernel32.dll的基地址 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...
64位 SRDI DLL 转换 ShellCode 执行时不加载问题
SugarAndSalt的博客
11-13 452
于是使用 x64dbg 调试看问题到底出在了哪里,经调试发现,程序在运行到 ShellcodeRDI.c 427行时执行了 pSleep 函数,进入睡眠了。执行test.cpp,在命令行得到输出的目标字符串,复制 "Formatted content: " 后面的字符串,粘贴到 Native/Loader.cpp 中 LPSTR rdiShellcode64 = 后面,替换原来的,同时将 test.cpp 中 size= 输出的大小替换 源代码中rdiShellcode64Length的值。
(记录向)C格式shellcode异或加密生成dll,可免杀过 Windows Defender
daxi0ng的博客
01-13 1850
1、cs生成payload.c 2、使用https://github.com/k-fire/shellcode-To-DLL 测试用(https://github.com/k-fire/shellcode-To-DLL/blob/master/Release/call_dll.exe) 3、按照工具的操作方法生成dll文件。 4、将dll文件转化为exe。 先保存为bat,然后在转换为exe。 ...
Win 7定位kernel32.dll基址shellcode编写1
08-03
Windows 7中,可以使用类似上述的技巧来编写能够找到kernel32.dll基址并调用其中的函数,如`CreateProcess`,以启动calc.exe的shellcode。 总之,定位kernel32.dll基地址是编写平台、跨版本的Windows shellcode...
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1201
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5167
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
cpp-DllToShellCode快速将Windows动态链接库转换成ShellCode
08-16
DllToShellCode - 快速将Windows动态链接库转换成ShellCode
shellcode-to-dll:shellcode 异或加密并生成dll
04-23
shellcode To DLL shellcode 异或加密并生成dll
DllToShellCode DLLSHELL注入
10-17
DllToShellCode DLLSHELL注入
向其他进程注入代码的三种方法
小发猫
06-03 2012
向其他进程注入代码的三种方法Three Ways to Inject Your Code into Another Process作者:袁晓辉 译    文章来源:本站原创    点击数:35    更新时间:2005-5-23向其他进程注入代码的三种方法    本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Proce
C/C++ 到 shellcode 过程
qing666888的专栏
01-16 2029
最简单的弹出cmd代码 1 #include2 #include 3 void main()4 {5 system("start cmd");6 } 为了确保system函数存在,加入LoadLibrary("msvcrt.dll"); 1 #include2 #include 3 4 void main()5 {6 LoadLibrary("msvcrt
关于GetProcAddress返回错误代码为127的解决方案
u010523811的博客
05-06 4532
关于GetProcAddress返回错误代码为127的解决方案 关于GetProcAddress返回错误代码为127的解决方案 运行期间显示地去加载DLL库,当LoadLibrary可以返回当前DLL模块的句柄时,而GetProcAddress取得函数的地址为空时。通过GetLastError去获取错误代码为127,很有可能是动态链接库工程里面函数声明的没有加extern “C”。 解决方案 只针对自己写的dll项目提供解决方案, 如果是拿的第三方的动态链接库出这样的问题,不在此解决方案中。 通常写dll
驱动无模块注入dll
热门推荐
鬼手的博客
12-10 1万+
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
C/C++ 实现ShellCode编写与提取
优快云
07-16 1万+
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在转换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
PEB结构的获取
SauceJ的专栏
08-15 3780
PEB结构----枚举用户模块列表。 PEB
如果不用GetModuleHandle函数怎么获取kernel32基址
最新发布
03-04
<think>嗯,用户问的是如何在不使用GetModuleHandle函数的情况下获取kernel32.dll基址。这个问题看起来像是一个底层编程或者逆向工程相关的问题。首先,我需要确认用户的使用场景。可能用户是在进行一些需要绕过常规API调用的操作,比如编写shellcode或者进行某些安全研究,这时候不能直接调用系统提供的API,因为GetModuleHandle可能会被监控或者需要避免使用已知的函数。 接下来,我需要回想一下常见的替代方法。记得在Windows系统中,进程环境块(PEB)里存储了很多有用的信息,包括已加载模块的列表。通过访问PEB,可以遍历已加载的模块,找到kernel32.dll基址。这种方法不需要调用GetModuleHandle,而是直接通过内存结构来获取信息。 不过,用户可能对PEB结构不太熟悉,所以需要详细解释步骤。首先,如何获取PEB的地址?在x86架构下,FS寄存器指向TEB(线程环境块),而TEB的第一个成员指向PEB。对于x64架构,则是GS寄存器指向TEB。不过,用户可能需要一个跨平台的方法,或者针对特定架构的代码。 然后,遍历PEB中的Ldr结构,找到InMemoryOrderModuleList链表,这个链表包含了进程加载的所有模块。需要遍历这个链表,比较每个模块的名称,找到kernel32.dll对应的那个节点,然后获取其基址。 需要注意的问题包括不同Windows版本的结构偏移是否一致,比如PEB_LDR_DATA结构中的InMemoryOrderModuleList的位置可能会有变化。此外,直接操作内存结构可能存在兼容性问题,需要确保代码的健壮性。 另外,可能还有其他的方法,比如通过异常处理链或者TEB中的其他指针来获取kernel32基址,但最常用的方法应该是通过PEB和Ldr结构。 用户可能还需要示例代码,但考虑到他们可能是在编写shellcode,代码需要尽量简洁,避免依赖外部函数。因此,使用内联汇编或者直接通过指针操作来访问这些结构会更合适。 最后,需要提醒用户这种方法可能涉及未公开的结构,不同系统版本可能会有差异,存在兼容性风险,建议谨慎使用并进行充分测试。</think>在Windows系统编程中,若需要绕过`GetModuleHandle`获取kernel32.dll基地址,可通过PEB结构实现。以下是分步实现原理: 1. **获取TEB/PEB地址** ```c // x86架构实现 __asm { mov eax, fs:[0x30] // PEB地址存储在FS:[0x30] mov pPeb, eax } ``` 2. **遍历加载模块链表** ```c PPEB_LDR_DATA ldr = pPeb->Ldr; PLIST_ENTRY moduleList = &ldr->InMemoryOrderModuleList; PLIST_ENTRY moduleEntry = moduleList->Flink; while(moduleEntry != moduleList) { PLDR_DATA_TABLE_ENTRY module = CONTAINING_RECORD( moduleEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks ); // 检查DLL名称 if(wcsicmp(module->BaseDllName.Buffer, L"kernel32.dll") == 0) { return module->DllBase; } moduleEntry = moduleEntry->Flink; } ``` 3. **关键数据结构** ```c typedef struct _PEB_LDR_DATA { DWORD Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; // 要遍历的链表 LIST_ENTRY InInitializationOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; // 实际链表节点 PVOID DllBase; // 模块基地址 PVOID EntryPoint; // ...其他字段 UNICODE_STRING BaseDllName; // DLL名称 } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY; ``` **注意事项:** - x64架构需改用`GS`寄存器访问PEB - 结构偏移可能随Windows版本变化(示例基于Win10 1903+) - 推荐配合`RtlInitUnicodeString`进行安全字符串比较 - 在shellcode中建议硬编码关键偏移量 这种方法通过直接解析进程内存结构,避免调用任何敏感API,常见于安全研究、反病毒引擎和某些特殊场景的低层开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值