手戳shellcode编写 第一课(动态函数地址调用函数)

已于 2024-08-21 10:06:47 修改
阅读量457 收藏 1
点赞数 5
分类专栏: 深入C++编程入门 文章标签: c++ shellcode PEB PE文件 window内存管理 函数地址获取 函数地址调用
于 2024-08-21 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/arv002/article/details/141233276
版权

手戳shellcode编写入门第一课(动态函数地址调用函数)

一、介绍

在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
https://arv000.blog.youkuaiyun.com/article/details/141233276

二、PE文件讲解

在编写思路之前我们需要大致了解一下PE文件格式,PE文件被映射到内存中。我们如何通过映射关系拿到对应的函数在内存中的地址。然后通过这个地址调用对应的函数。

2.1 PE文件类型

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

2.2 PE文件格式

下图是PE文件格式,因为只需要找到函数地址,我们只需要关注PE文件头中的(DOS头部、IMAGE_NT_HEADERS)就可以了。这个部分很重要,需要读者自己去查看相关资料。
每一个exe和dll都是按照下面的内容映射到内存中的,一个exe的运行,你可以理解为多个pe文件映射到内存中,有多个相同的一下结构。
在这里插入图片描述
在这里插入图片描述

2.3 相对虚拟地址直接调用函数

在dll中保存了函数的相对虚拟地址(RVA)的信息。
我们可以通过dumpbin方法拿到相对虚拟地址(RVA)的信息。
kernel32.dll文件存储在C:\Windows\System32中
打开Native Tools Command Prompt for VS 2022控制台程序
如下图:
在这里插入图片描述
执行命令

cd C:\Windows\System32
dumpbin /exports kernel32.dll | findstr LoadLibraryA

0001F520 为函数地址的偏移量。
在这里插入图片描述

获取函数LoadLibraryA的地址偏移量。
RVA = 基地址 + 地址偏移量

#include <iostream>
#include <Windows.h>
int main(){
	HANDLE baseAddress = LoadLibraryA("kernel32.dll");
	std::cout << "baseAddress:" << baseAddress << std::endl;
	std::cout << "LoadLibraryA:" << &LoadLibraryA << std::endl;
	long offset = (long)&LoadLibraryA - (long)baseAddress;
	std::cout << std::hex << "offset:" << offset << std::endl;
	return 0;
}

运行结果可以看到程序中的offset的值和dumpbin查询出来的值是一样的。
在这里插入图片描述

三、开发思路

思路如下:
我们应该先拿到LoadLibarayA的函数地址才能加载其他的DLL动态库(我们需要的动态库不一定在程序加载的时候就已经加载进来,因此需要使用LoadLibarayA加载我们需要的dll,例如例子中的MessageBoxA这个函数所在的动态库位user32.dll),那么LoadLibarayA又在那个动态库中呢?LoadLibarayA在KERNEL32.DLL动态库中,KERNEL32.DLL是程序运行一定加载的一个库。所以我们需要先找到KERNEL32.DLL基地址,然后再找LoadLibarayA的函数地址。
步骤如下:

  1. 先获取PEB(Process Environment Block,进程环境块)的信息。
  2. 通过PEB获取InLoadOrderModuleList(InLoadOrderModuleList列表中包含了所有加载的模块,包括exe文件以及各个需要加载的dll)
  3. 循环InLoadOrderModuleList内容,对比dllName名称找到KERNEL32.DLL基地址。
  4. 通过KERNEL32.DLL基地址拿到KERNEL32.DLL基地址导出表的地址。
  5. 通过名称对比拿到LoadLibarayA的函数地址。
  6. 通过LoadLibarayA地址调用LoadLibarayA函数,获取到user32.dll的模块基地址
  7. 同理通过user32.dll基地址以及名称获取MessageBoxA的函数地址。
  8. 通过函数地址调用MessageBoxA函数。

四、开发源码

4.1 环境说明

操作系统:window10
架构:x64
开发工具:visual studio 2022

4.2 获取本程序的所有加载模块

获取本程序的所有加载模块的名称,以及每个模块的基地址。
CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(printAllDLLModule)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>
// 打印所有的dll模块内容。当然其中也包括exe本身。
void printAllDLLModule(){
    auto peb = (PEB*)NtCurrentTeb()->ProcessEnvironmentBlock;
    // 获取Ldr并遍历InLoadOrderModuleList来查找模块
    if (peb && peb->Ldr) {
        PLIST_ENTRY moduleList = &peb->Ldr->InLoadOrderModuleList;
        PLIST_ENTRY entry = moduleList->Flink;

        while (entry != moduleList) {
            // 获取当前模块的LDR_DATA_TABLE_ENTRY结构
            PLDR_DATA_TABLE_ENTRY currentModule = CONTAINING_RECORD(entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

            // 打印模块名称和基址
            std::wcout << "Module Name: " << currentModule->BaseDllName.Buffer << std::endl;
            std::wcout << "Base Address: " << currentModule->DllBase << std::endl;

            // 继续下一个模块
            entry = entry->Flink;
        }
    } else {
        std::cerr << "Failed to retrieve PEB or PEB->Ldr is NULL." << std::endl;
    }
    return;
}

int main(){
    printAllDLLModule();
    return 0;
}

4.2 获取某一个模块的所有函数名称,以及函数地址。

获取某一个模块中的所有函数的函数名称以及虚拟函数地址。
CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(printAllFunctionName)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>

void printAllFunctionName(HANDLE hModule){

    if (hModule == NULL) {
        std::cerr << "Failed to load DLL." << std::endl;
        return ;
    }

    // 获取PE头指针
    PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE*)hModule + pDOSHeader->e_lfanew);

    // 获取导出表的地址
    DWORD exportDirRVA = pNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportDirRVA);

    // 获取导出表的信息
    DWORD* pAddressOfFunctions = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    DWORD* pAddressOfNames = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfNames);
    WORD* pAddressOfNameOrdinals = (WORD*)((BYTE*)hModule + pExportDir->AddressOfNameOrdinals);

    // 遍历所有导出函数
    for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
        char* functionName = (char*)((BYTE*)hModule + pAddressOfNames[i]);
        DWORD functionRVA = pAddressOfFunctions[pAddressOfNameOrdinals[i]];
        void* functionAddress = (BYTE*)hModule + functionRVA;

            std::cout << "Function Name: " << functionName << std::endl;
            std::cout << "Function Address: " << functionAddress << std::endl;

    }
    return;
}
int main(){

    HANDLE hKernel32 = LoadLibraryA("kernel32.dll");
    printAllFunctionName(hKernel32);
    CloseHandle(hKernel32);

    return 0;
}

打印exe运行时模块中所有 的函数名称以及地址
https://download.youkuaiyun.com/download/arv002/89655996

  • 运行结果如下:
    在这里插入图片描述

4.4 C++完整源码

CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(demo)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

main.cpp文件内容如下:

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>

HANDLE SreachDLL(WCHAR*  dllName){
    auto peb = (PEB*)NtCurrentTeb()->ProcessEnvironmentBlock;
    // 获取Ldr并遍历InLoadOrderModuleList来查找模块
    if (peb && peb->Ldr) {
        PLIST_ENTRY moduleList = &peb->Ldr->InLoadOrderModuleList;
        PLIST_ENTRY entry = moduleList->Flink;

        while (entry != moduleList) {
            // 获取当前模块的LDR_DATA_TABLE_ENTRY结构
            PLDR_DATA_TABLE_ENTRY currentModule = CONTAINING_RECORD(entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

            // 打印模块名称和基址
            std::wcout << "Module Name: " << currentModule->BaseDllName.Buffer << std::endl;
            std::wcout << "Base Address: " << currentModule->DllBase << std::endl;

            if(!wcscmp(currentModule->BaseDllName.Buffer,dllName)){
                return currentModule->DllBase;
            }

            // 继续下一个模块
            entry = entry->Flink;
        }
    } else {
        std::cerr << "Failed to retrieve PEB or PEB->Ldr is NULL." << std::endl;
    }
    return nullptr;
}

void * GetProcNameE(HANDLE hModule,const char *funName){
    // 假设DLL基地址已经获取到,例如通过加载DLL的句柄

    if (hModule == NULL) {
        std::cerr << "Failed to load DLL." << std::endl;
        return nullptr;
    }

    // 获取PE头指针
    PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE*)hModule + pDOSHeader->e_lfanew);

    // 获取导出表的地址
    DWORD exportDirRVA = pNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportDirRVA);

    // 获取导出表的信息
    DWORD* pAddressOfFunctions = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    DWORD* pAddressOfNames = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfNames);
    WORD* pAddressOfNameOrdinals = (WORD*)((BYTE*)hModule + pExportDir->AddressOfNameOrdinals);

    // 遍历所有导出函数
    for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
        char* functionName = (char*)((BYTE*)hModule + pAddressOfNames[i]);
        DWORD functionRVA = pAddressOfFunctions[pAddressOfNameOrdinals[i]];
        void* functionAddress = (BYTE*)hModule + functionRVA;
        if(!strcmp(functionName, funName)){
            std::cout << "Function Name: " << functionName << std::endl;
            std::cout << "Function Address: " << functionAddress << std::endl;
            return functionAddress;
        }
    }
    return nullptr;
}
#define CALL_API(hModule,func) ((decltype(func)*)GetProcNameE(hModule,#func))
int main(){

    HANDLE hModule = SreachDLL(L"KERNEL32.DLL");
    typedef HMODULE(WINAPI *LoadLibraryFunc)(LPCSTR lpLibFileName);
    typedef int(WINAPI *MessageBoxAFunc)(HWND hWnd,LPCSTR lpText, LPCSTR lpCaption,UINT uType);
     // 函数执行方法一;
    // void * pLoadLibraryA = GetProcNameE(hModule,"LoadLibraryA");
    //  HANDLE hUser32 =  ((LoadLibraryFunc)pLoadLibraryA)("user32.dll");
    //  void * pMessageBoxA = GetProcNameE(hUser32,"MessageBoxA");
    // ((MessageBoxAFunc)pMessageBoxA)(NULL,"hello","hello",0);

    // 函数执行方法二:
    // HANDLE hUser32 = ((decltype(LoadLibraryA)*)GetProcNameE(hModule,"LoadLibraryA"))("user32.dll");
    // ((decltype(MessageBoxA)*)GetProcNameE(hUser32,"MessageBoxA"))(NULL,"hello","hello",0);

    // 函数执行方法三:
    HANDLE hUser32 = CALL_API(hModule,LoadLibraryA)("user32.dll");
    CALL_API(hUser32,MessageBoxA)(NULL,"hello","hello",0);
    return 0;
}

4.5 运行结果

在这里插入图片描述

五、源码地址

PPE解析+函数地址调用函数
https://download.youkuaiyun.com/download/arv002/89655989

打印exe运行时加载的所有dll模块地址以及模块名称
https://download.youkuaiyun.com/download/arv002/89655994

打印exe运行时模块中所有 的函数名称以及地址
https://download.youkuaiyun.com/download/arv002/89655996

文章地址:https://arv000.blog.youkuaiyun.com/article/details/141233276

【Unity小技巧】手戳一个简单易用的游戏UI框架(附源码)
向宇
08-29 1460
开发一款游戏美术成本是极其高昂的,以我们常见的宣传片CG为例,动辄就要成百上千万的价格,因此这种美术物料一般只会放在核心剧情节点,引爆舆论,做高潮展示!而另外一种表意方武:则是通过玩法设计,层层导玩家深入探讨游戏世界,这里则需要策划的精心设计和程序的秃头爆肝,因此对于绝大多数游戏而言,选择UI来进行剧情展示、玩法交互和核心表达才是最物美价廉的选择。
【unity实战】手戳一个类似星露谷物语的建筑系统(附工程源码)
向宇
10-17 1030
欢迎来到【unity实战】系列!本篇文章将带你一起探索一个令人兴奋的主题——建筑系统。如果你曾经沉浸在《星露谷物语》这样的游戏中,梦想着自己能够创建属于自己的农场、村庄或城市,那么你来对地方了!在本文中,我们将使用Unity引擎来实现一个类似于《星露谷物语》的建筑系统。通过简单的点击与拖拽操作,你将能够在虚拟世界中建造各种各样的建筑物,如房屋、农作物、商店等。这个建筑系统不仅会给你带来乐趣和创造力的发挥空间,还将涉及到一些基本的碰撞检测、资源管理和可交互性的实现。
shellcode中文教程
03-04
shellcode中文教程<br>目前中文这方面的资料太少了。对网络安全有兴趣的朋友可一定要研究研究。
ShellCode —— 入门
LYSM
07-22 4958
原理 简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。 具体注意: 使用 API 时应该动态调用(GetProAddress) 不能使用全局变量,或者用 static 修饰的变量 在 shellcode 工程中要自定义入口函数 确保调用 API 之前都已经加载了与之对应的 DLL 所有的字符串都要用字符串数组的方式代替 环境搭建 首先新建一个项目,这里我推荐 空项目,之后创建一个 main.cpp 文件: 使用 Release 模式写
windows下shellcode编写入门
x_nirvana的博客
03-31 1万+
本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。
Shellcode入门
weixin_30279751的博客
02-28 396
Shellcode入门 一、shellcode基础知识   Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着...
ShellCode入门(提取ShellCode
05-16 578
什么是ShellCode: 在计算机安全中,shellcode是一小段代码,可以用于软件漏洞利用的载荷。被称为“shellcode”是因为它通常启动一个命令终端,攻击者可以通过这个终端控制受害的计算机,但是所有执行类似任务的代码片段都可以称作shellcodeShellcode通常是以机器码形式编写的,所以我们要学习硬编码。 char shellcode[] = ...
【实现100个unity实战之1】从零手戳一个背包系统
向宇
04-05 1525
首先我们下载我们的人物和背景资源,因为主要是背包系统,所以人物的移动和场景的搭建这里我们就不多讲了,我这里直接提供基础项目源码给大家去使用就行基础项目下载地址:链接: https://pan.baidu.com/s/1o7_RW_QQ1rrAbDzT69ApRw 提取码: 8s95顺带说一下,这里用到了unity的几个免费资源包,有兴趣的也可以自己去unity资源商店下载使用人物资源:Tiny RPG-Forest背包ui资源:SIMPLE FANTASY GUI。
【制作100个unity实战之3】从零手戳一个库存背包系统(附项目源码)
向宇
09-20 811
库存背包系统是大多数游戏的关键部分,几乎在每种类型的游戏都可能会用到,今天我将带你从零实现一个能够进行拖放的库存拆分、堆叠和丢弃的背包系统,你可以将它轻松的移植到你的游戏中。老粉丝应该知道我之前有做过一个背包系统,当时做的比较简单,很多功能都没有实现,所以这次算一个重置版,当然你有兴趣可以看看之前实现的背包系统:https://blog.youkuaiyun.com/qq_36303853/article/details/129962414先来看看实现的最终效果 物品列表网格添加Grid Layout Gr
如何编写一个shellcode
weixin_34324081的博客
01-05 293
ShellCode编写就是将函数或变量在内存中的间接地址改为函数或变量在内存中的直接地址,直接调用!   以MessageBox函数为例进行讲解如下   新建shellcode.cpp:   编写代码如下: 运行结果: 将VC代码转换成汇编指令: 内存数据图: 函数的真实地址找到之后,修改代码如下: 将以上汇编指令转换成二进制数据: ...
网马 SHELLCODE 编写教程PDF
04-18
学了一年的编程。。 现在看这个简单多了 网页是这么回事
shellcode入门
04-09 578
整理自《0day安全:软件漏洞分析技术》第2版 系统:VMware安装的Window XP SP2 工具:vc++6.0, ollydbg, Dependency Walker, python 步骤:通过内联汇编__asm实现功能,再在OllyDbg中提取对应字节码,最后转化为shellcode。 例1: 该程序弹出一个对话框,点击确认后程序退出执行 用到的两个函数MessageBox
shellcode入门(win)
weixin_33755847的博客
06-04 244
重要的事情说下,搞windows安全一定要用win电脑实体机。我用的mac出现很多bug 好多函数地址获取不到。因此写shellcode 一定要注意平台1。先写个有缓冲区溢出的代码 // ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include<windows.h> #define PASSWORD...
★pwn 手写Shellcode保姆级教程
YX-hueimie
10-20 5870
本文章为手写Shellcode教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode编写能力,提升汇编能力,熟练掌握“异或”操作。
Shellcode编写
最新发布
weixin_54452942的博客
04-23 1378
二是ESI寄存器的值自动增加32位,也就是当第一轮执行之后,esi中放的是下一个函数名称的地址,继续将其指向的内存空间的前四个字节送到eax中(也就是函数名称列表中的第一个函数名称的前四个字节),同时esi加4,指向了第二个函数名称的地址,一直向后比对,直到每个字节都比对成功后,此时的ecx中存的就是目标函数函数名称列表中的位置。这个成员在PEB结构体中的偏移量是0x0C。在32位Windows系统中,FS寄存器指向TEB的起始地址,而在64位Windows系统中,GS寄存器指向TEB的起始地址
ARM(手机、嵌入式)架构上ShellCode编写入门教程
msInfoSec的博客
12-14 1251
ShellCode编写起来其实很简单。
shellcode编写
qq_44657899的博客
05-26 3029
文章目录注意事项基础知识开始编写第一步 初始化第二步 实现其他函数动态调用第三部 实现GetProcAddress和LoadLibraryA的动态调用获取kernel32.dll基址动态调用GetProcAddress实战CreateFileAMessageBoxA导出shellcode第一种shellcode编写实例1第一种shellcode编写实例2(优化结构)shellcode加载器 注意事项 不使用全局变量 不使用类似于"abc"这样的字符串,通过数组定义字符串,char name[] = {0x
Shellcode编写
WHACKW的专栏
06-06 1939
上次学习了下堆喷漏洞的原理,虽说之前有学习过缓冲区溢出的原理,但还没了解过堆喷这个概念,于是趁此机会学习了,顺便复习了缓冲区溢出这块知识,之前由于各种原因对Shellcode编写只是了解个大概,并没有真正动手写过一个Shellcode。眼前遇到个堆喷漏洞找Shellcode时就下决定自己写个Shellcode,考虑到时间和精力的有限就写个计算器简单的练练手,顺便让像我这种小白人士学习学习。。。
C++出现 error: no match for ‘operator==‘ (operand types are ‘Person‘ and ‘const Person‘)
热门推荐
啊渊的专栏
07-05 3万+
本文章向大家介绍C++出现 error: no match for 'operator==' (operand types are 'Person' and 'const Person') ,主要包括C++出现 error: no match for 'operator==' (operand types are 'Person' and 'const Person') 使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三雷科技

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值