通用ShellCode学习笔记——win7中获得LoadLibraryA地址

最新推荐文章于 2021-05-01 10:41:29 发布
转载 最新推荐文章于 2021-05-01 10:41:29 发布 · 462 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zodiac/archive/2010/09/19/1830968.html

本文介绍了一种在Windows 7环境下编写ShellCode的方法,包括如何遍历查询获取kernel32.dll地址,并进一步获取GetProcAddress及LoadLibraryA的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、ShellCode的编写

  1. Kernel32地址的获取

由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置

esi=fs:0->TEB

esi=TEB:30h->PEB

esi=PEB:0ch->_PEB_LDR_DATA

esi=_PEB_LDR_DATA:1ch->内存中的dll的地址

[esi]-> 内存中的下一个dll的地址(00h指向下一个Ldr_Module)

[esi+08h]->esi指向的地方的下一个dll的地址

edi->esi指向的地址的尾部

示意图:


 

 

 

 

我们需要找的kernel32.dll长度为12,用od跟踪发现kernel32.dll的函数名在内存中为“k e r n e l 3 2 . d l l”,即是说,我们查找到某个函数第24(12×2)的位置为空(字符串结尾),即是我们要找的kernel32.dll

 

代码:

push ebp

                    xor ecx,ecx

                    mov esi,fs:0x30

                    mov esi, [esi + 0x0C];

                    mov esi, [esi + 0x1C];

next_module:

                    mov ebp, [esi + 0x08];

                    mov edi, [esi + 0x20];

                    mov esi, [esi];

                    cmp [edi + 12*2],cl  

                    jne next_module

                    movedi,ebp;BaseAddr of Kernel32.dll

  1. GetProcAddress地址的获取

有了kernel32的地址以后,我们就可以方便的通过遍历的方式查询到GetProcAddress的地址

sub esp,100

                    movebp,esp;

                    moveax,[edi+3ch];pe header

                    movedx,[edi+eax+78h]

                    add edx,edi

                    movecx,[edx+18h];number of functions

                    movebx,[edx+20h]

                    addebx,edi;AddressOfName

search:

           dec ecx

           mov esi,[ebx+ecx*4]

           add esi,edi;

           moveax,0x50746547;PteG("GetP")

           cmp [esi],eax

           jne search

           moveax,0x41636f72;Acor("rocA")

           cmp [esi+4],eax

           jne search

           mov ebx,[edx+24h]

           add ebx,edi;indexaddress

           mov cx,[ebx+ecx*2]

           mov ebx,[edx+1ch]

           add ebx,edi

           mov eax,[ebx+ecx*4]

           add eax,edi

           mov [ebp+76],eax;将GetProcAddress地址存在ebp+76中

  1. LoadLibraryA地址的获取

通过调用API函数GetProcAddress获取LoadLibraryA的地址

    push 0;

           push DWORD PTR0x41797261;Ayra("aryA")

           push DWORD PTR0x7262694c;rbiL("Libr")

           push DWORD PTR0x64616f4c;daoL("Load")

           push esp

           push edi

           call [ebp+76]

           mov[ebp+80],eax;将LoadLibraryA地址存在ebp+80中

转载于:https://www.cnblogs.com/zodiac/archive/2010/09/19/1830968.html

手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 582
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
winxp、win2003、win7win8通用shellcode
冷风
06-16 6958
此代码在vc6下直接编译,提取shellcode时进行debug模式,打开内存窗口,复制出二进制代码,整理成shellcode就可以了
OS + Windows CE / XP / 2003 / 2008 / Vista / win7 / win8
04-07
NULL 博文链接:https://lindows.iteye.com/blog/470542
win7运行linux程序,WIN7下可执行的ShellCode
weixin_42356460的博客
05-01 187
#include #include int main(){byte shellcode[] = {0xE9, 0x96, 0x00, 0x00, 0x00, 0x56, 0x31, 0xC9, 0x64, 0x8B, 0x71, 0x30, 0x8B, 0x76, 0x0C, 0x8B,0x76, 0x1C, 0x8B, 0x46, 0x08, 0x8B, 0x7E, 0x20, 0x8B, 0x...
win7下测试shellcode的方法2:设置数据段为可执行
03-01 196
win7下,通过下面的方法测试shellcode: char shellcode [] ="..." ; int main ( int argc , char ** argv) { __asm { lea eax , shellcode call eax } ...
[Windows系统安装]PE/2000/XP/2003/Vista/2008/7/8/8.1Pre版本
weixin_30708329的博客
06-04 2799
近日,Windows 8.1 RTM 正式版已经泄漏在网上,其与十月将发布的MSDN 正式版不会有任何区别,推荐喜欢Windows 8的朋友下载安装,下载地址:详见此文,下面将分享Windows 8.1的安装与激活教程,以方便大家安装激活Win 8.1. 一,Windows 8.1 安装教程 在安装过程中,需要输入Windows 8.1密钥才能完成安装,根据需要安装的版本选择密钥进行安装。...
根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址
04-07 1615
本节与PE文件格式相关的术语以>为准([13]),不再强调该点。winnt.h中定义了部分相关数据结构,后面如未单独注明来自哪个头文件,均隐指来自winnt.h。执行vulnerable_0.exe,进入windbg调试状态。> !list -t _LIST_ENTRY.Flink -x "dd" -a "+18 L1" 241ec000241ed8  0040000000241f30  77f5
Windows Shellcode学习笔记——通过VisualStudio生成shellcode
weixin_33753003的博客
09-25 1797
本文讲的是Windows Shellcode学习笔记——通过VisualStudio生成shellcode, 0x00 前言 shellcode是一段机器码,常用作漏洞利用中的载荷(也就是payload)。 在渗透测试中,最简单高效的方式是通过metasploit生成shellcode,然而在某些环境下,需要定制开发自己的shellcode,所以需要对...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
ie7 0day当中的shellcode的escape+xor21加密
09-06
在"shellcode的escape+xor21加密"中,我们看到两种不同的脚本语言——VBScript和JavaScript——被用来实现加密过程。这种加密方式主要由两部分组成:编码(Encode)函数和生成(gen)函数。 1. **编码(Encode)...
Windows2000/xp/vista/win7(32/64)密码清除引导镜像_支持虚拟机
07-23
Windows2000/xp/vista/win7(32/64)密码清除引导镜像_支持虚拟机 可以很方便的加载在虚拟光驱中引导,或者烧录进U盘,启动系统然后按照提示进行操作,从而清除掉遗忘的windows登录密码,绝非简单的添加net用户批处理,里面是个password changer的程序,就是专门用作清除遗忘密码的。
TC 2.0- win2000/winxp/vista/win7 下完美运行
08-14
本系统可以在 win2000/winxp/vista/win7 下完美使用 Turbo C 2.0,包括图形程序。 所有环境均已经配置好,不用修改。 双击执行“Turbo C 2.0”即可。 我是WIN8的系统,运行完全没有问题。
一段动态装载DLL的ShellCode汇编代码
09-10
一段动态装载DLL的ShellCode汇编代码,不需要引入任何的库
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3349
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
shellcode学习
若面朝大海边竹妮春暖花开的博客
08-21 388
1、独立的存在,无需任何文件格式的包装 2、内存中运行,无需固定指定的宿主进程 生成shellcode的一种方法是找到编写的程序的文件偏移,用winhex打开程序,找到文件偏移,复制十六进制保存为文件。 用ida打开我们的文件,在函数名称栏我们可以看到有很多sub_开头的函数,这些全是vs给我们自动添加的代码,这些代码对我们编写shellcode有很大干扰,我们要尽量将其清除 1、修改程序入口点 2、关闭缓冲区安全检查 代码生成中的运行库debug版本要设置成为MTD,release版本要修改为MT
利用Shellcode注入PE文件加载计算器
威化饼的一隅
04-16 3356
文章目录简介C语言版shellcode汇编版shellcodeshellcode跳转到原入口地址代码编写思路源代码 简介 采用C语言查看和修改一些PE文件的关键结构,结合shellcode,完成功能: 先用C语言编写通过LoadLibrary()和GetProcAddress()调用msvcrt.dll中的system()函数来弹出计算器的代码。在OllyDbg中打开该程序,查看对应的汇编代码和...
LoadLibrary加载动态库失败
weixin_34396902的博客
07-20 2504
【1】LoadLibrary加载动态库失败的可能原因以及解决方案: (1)dll动态库文件路径不对。此场景细分为以下几种情况: 1.1 文件路径的确错误。比如:本来欲加载的是A文件夹下的动态库a.dll,但是经过仔细排查原因,发现a.dll动态库竟然被拷贝到B文件夹下去了。 若真遇到这种低级错误,建议你找个没人的墙角蹲下用小拇指逆时针划圈圈去吧。。。 1.2 实参传值错误。比如:实参...
编写通用shellcode
最新发布
01-05
### 编写通用Shellcode教程 编写通用Shellcode是一项复杂而敏感的任务,通常用于安全研究和渗透测试。为了确保Shellcode能够在不同环境中稳定运行,需考虑多种因素。 #### 1. Shellcode设计原则 - **平台独立性**:理想的Shellcode应能在多个操作系统版本上执行相同功能。 - **位置无关代码(PIC)**:由于加载地址不确定,Shellcode不应依赖固定内存位置。 - **避免坏字符**:某些字节可能会被过滤器拦截或破坏指令流,因此要避开这些特殊字符[^1]。 ```assembly ; Example of PIC assembly code avoiding null bytes and other bad characters section .text global _start _start: xor eax, eax ; Clear EAX register to avoid any initial values push eax ; Push a zero onto the stack as terminator for strings ; This also helps in creating position-independent code ``` #### 2. 获取API函数指针的方法 当调用Windows API时,直接硬编码导入表中的偏移量是不可取的做法,因为这会降低兼容性和可移植性。相反,可以通过遍历PE结构来动态解析所需函数的位置: - 使用`LoadLibraryA()`加载目标DLL; - 调用`GetProcAddress()`获取具体函数入口点; 这种方法虽然增加了实现难度,但却提高了灵活性和适应范围。 #### 3. 处理异常情况 如果检测到程序已被篡改,则可能需要采取额外措施以恢复正常操作流程或终止进程以防进一步损害。例如,在发现二进制文件损坏的情况下,可以尝试重新启动应用程序或将控制权转移给另一个实例[^2]。 #### 4. 利用已知模块基址构建可靠跳转序列 对于特定应用环境下的Shellcode开发而言,利用已加载的合法模块作为参照物是一种有效策略。通过Windbg等调试工具查询活动进程中各模块的实际映射区间,并据此规划后续逻辑走向能够显著提升成功率。比如针对BlazeDVD软件家族成员所占用的空间段落进行分析后得知其内部存在一段适合用来间接访问其他资源的关键路径[^3]。 ```nasm mov ecx, dword ptr ds:[esp+4] ; Assume ECX now holds base address like 0x64xxxxxx add ecx, offset_to_function_of_interest ; Calculate target function's VA based on module base jmp ecx ; Jump there directly without hardcoding absolute addresses ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值