第三个注入实例(机器码的注入)

最新推荐文章于 2023-09-19 18:02:55 发布
最新推荐文章于 2023-09-19 18:02:55 发布
阅读量306 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: c/c++
原文链接:http://www.cnblogs.com/DJ0322/p/4511642.html
本文详细介绍了一种使用自定义机器码进行进程注入的技术实现过程。通过具体代码实例展示了如何利用汇编语言生成的机器码,结合Windows API函数如VirtualAllocEx和CreateRemoteThread等,将指定的代码注入到目标进程中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注入的机器码是用汇编编译器生成的,与C语言相比,更灵活自由。以前用过一阵MASM,而这本书上是用OD地汇编功能,倒是第一次见过。。。汗,又发现一个没掌握的OD功能。

先上传四张图,前三张是注入代码的三种不同形式的呈现:

第一张是反汇编指令形式的图

第二张是经CTRL+A分析过后的反汇编指令,1033,1044处不是指令,是两个字符窜

第三张是数据形式

这一张表是修改后用来直接注入的数据

下图直观一点。

 

下面贴实现代码

 

#include "stdafx.h"
#include "windows.h"

typedef struct _THREAD_PARAM
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
} THREAD_PARAM, *PTHREAD_PARAM;

BYTE g_InjectionCode[] =
{
    0x55, 0x8B, 0xEC, 0x8B, 0x75, 0x08, 0x68, 0x6C, 0x6C, 0x00,
    0x00, 0x68, 0x33, 0x32, 0x2E, 0x64, 0x68, 0x75, 0x73, 0x65,
    0x72, 0x54, 0xFF, 0x16, 0x68, 0x6F, 0x78, 0x41, 0x00, 0x68,
    0x61, 0x67, 0x65, 0x42, 0x68, 0x4D, 0x65, 0x73, 0x73, 0x54,
    0x50, 0xFF, 0x56, 0x04, 0x6A, 0x00, 0xE8, 0x0C, 0x00, 0x00,
    0x00, 0x52, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x43, 0x6F,
    0x72, 0x65, 0x00, 0xE8, 0x14, 0x00, 0x00, 0x00, 0x77, 0x77,
    0x77, 0x2E, 0x72, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x63,
    0x6F, 0x72, 0x65, 0x2E, 0x63, 0x6F, 0x6D, 0x00, 0x6A, 0x00,
    0xFF, 0xD0, 0x33, 0xC0, 0x8B, 0xE5, 0x5D, 0xC3
};

//提权的

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
    TOKEN_PRIVILEGES tp;
    HANDLE hToken;
    LUID luid;

    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken))
    {
        printf("OpenProcessToken error: %u\n", GetLastError());
        return FALSE;
    }

    if (!LookupPrivilegeValue(NULL,           // lookup privilege on local system
        lpszPrivilege,  // privilege to lookup
        &luid))        // receives LUID of privilege
    {
        printf("LookupPrivilegeValue error: %u\n", GetLastError());
        return FALSE;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if (bEnablePrivilege)
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.
    if (!AdjustTokenPrivileges(hToken,
        FALSE,
        &tp,
        sizeof(TOKEN_PRIVILEGES),
        (PTOKEN_PRIVILEGES)NULL,
        (PDWORD)NULL))
    {
        printf("AdjustTokenPrivileges error: %u\n", GetLastError());
        return FALSE;
    }

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
    {
        printf("The token does not have the specified privilege. \n");
        return FALSE;
    }

    return TRUE;
}

//注入实现,与上一篇注入代码略有不同,实则上这样反而不够灵活了。。。重用性大大降低,但安全性确实能提高。
BOOL InjectCode(DWORD dwPID)
{
    HMODULE         hMod = NULL;
    THREAD_PARAM    param = { 0, };
    HANDLE          hProcess = NULL;
    HANDLE          hThread = NULL;
    LPVOID          pRemoteBuf[2] = { 0, };

    hMod = GetModuleHandleA("kernel32.dll");

    // set THREAD_PARAM
    param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
    param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");

    // Open Process
    if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS,               // dwDesiredAccess
        FALSE,                            // bInheritHandle
        dwPID)))                         // dwProcessId
    {
        printf("OpenProcess() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    // Allocation for THREAD_PARAM
    if (!(pRemoteBuf[0] = VirtualAllocEx(hProcess,                  // hProcess
        NULL,                      // lpAddress
        sizeof(THREAD_PARAM),      // dwSize
        MEM_COMMIT,                // flAllocationType
        PAGE_READWRITE)))         // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if (!WriteProcessMemory(hProcess,                               // hProcess
        pRemoteBuf[0],                          // lpBaseAddress
        (LPVOID)&param,                         // lpBuffer
        sizeof(THREAD_PARAM),                   // nSize
        NULL))                                 // [out] lpNumberOfBytesWritten
    {
        printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    // Allocation for ThreadProc()
    if (!(pRemoteBuf[1] = VirtualAllocEx(hProcess,                  // hProcess
        NULL,                      // lpAddress
        sizeof(g_InjectionCode),   // dwSize
        MEM_COMMIT,                // flAllocationType
        PAGE_EXECUTE_READWRITE))) // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if (!WriteProcessMemory(hProcess,                               // hProcess
        pRemoteBuf[1],                          // lpBaseAddress
        (LPVOID)&g_InjectionCode,               // lpBuffer
        sizeof(g_InjectionCode),                // nSize
        NULL))                                 // [out] lpNumberOfBytesWritten
    {
        printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if (!(hThread = CreateRemoteThread(hProcess,                    // hProcess
        NULL,                        // lpThreadAttributes
        0,                           // dwStackSize
        (LPTHREAD_START_ROUTINE)pRemoteBuf[1],
        pRemoteBuf[0],               // lpParameter
        0,                           // dwCreationFlags
        NULL)))                     // lpThreadId
    {
        printf("CreateRemoteThread() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}

int _tmain(int argc, _TCHAR* argv[])
{
    DWORD dwPID = 0;

    if (argc != 2)
    {
        printf("\n USAGE  : %s <pid>\n", argv[0]);
        return 1;
    }

    // change privilege
    if (!SetPrivilege(SE_DEBUG_NAME, TRUE))
        return 1;

    // code injection
    dwPID = (DWORD)_wtol(argv[1]);
    InjectCode(dwPID);
    return 0;
}

 

从上面的代码并不能看出那些像是花指令的代码如何正确运行的,必须跟踪调试一步一步观察才能彻底了解。所以个人觉得,学习编程特别是逆向,特别花时间,不能理所当然地以为自己掌握了而忽略了实践的过程。事实上,就算你实践了,大部分情况下你也不大可能一次掌握其中所有的技巧,只有通过多次调试,修改代码,举一反三的加深印象,才能掌握更多地知识。

转载于:https://www.cnblogs.com/DJ0322/p/4511642.html

第三方模块远程注入C++软件中引发软件异常的若干实战案例分享
dvlinker的技术专栏
11-22 1万+
本文详细分享第三方模块远程注入到软件中引发软件异常的若干实战案例。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
热门推荐
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
注入机器码到指定进程
05-08
注入机器码关联目的进程源码例程程序调用API函数项目的进程中注入机器码,当本进程要被关闭时,等待目的进程先被关闭再关闭自己。易语言!
PE插缝 和PE添节
04-16 929
#include "stdafx.h"#include #include #include #include typedef struct tagPeInfo{        DWORD dwPeNewEntryAddress;        DWORD dwPeOldEntryAddress;        DWORD dwPePhysicalSize;        DWORD dwPePhy
OD+CE+代码注入
11-04
Cheat Engine 中文版(CE游戏修改器) OllyDBG_1.10 ollyice WG开发人员必备的优良工具!
几种注入方式介绍
weixin_44891742的博客
04-14 5906
DLL注入介绍
解决 OD的 注入的代码无响应问题
cantellow
10-09 970
现象为: ---------------------------注入的代码无响应---------------------------为了执行系统不支持的动作, OllyICE 在这个被调试的程序中注入了一点代码, 但是经过5秒仍未收到响应. 您想再等5秒吗? (如果您选择否, 程序的一致性及稳定性将无法保证,您应一有可能就重新启动它).--------------------------...
DLLzhuru.zip_dllzhuru_win7 dll_win7 注入DLL
09-14
3. **分配内存**:通过`VirtualAllocEx` API在目标进程的地址空间内分配内存,用于存放DLL的路径和加载函数的机器码。 4. **写入内存**:使用`WriteProcessMemory` API将DLL的路径和加载函数的机器码写入到目标进程...
SQL注入漏洞之sqlmap自动注入
XZZbh的博客
09-19 720
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
Day 3 学习代码注入技术
neuisf的博客
09-28 481
代码注入,MessageBoxA的第一个参数压入栈,此时,eax是MessageBoxA函数的地址。此处有一个技巧:在call address1 指令执行时,会将下一个地址(ReverseCore字符串的地址)作为下一条指令的地址(函数返回地址)压入栈,实际上是将MessageBoxA的第三个参数压入了栈。
莫离汇编代码注入器 v1.0免费版
12-24
为您提供莫离汇编代码注入器下载,莫离汇编代码注入器,不仅仅是一个x86/x64注入器,还是一个汇编编写工具,它可以编写x64或x86汇编,它还可以把x64或x86汇编代码转成机器码或16进制文本亦或是x64或x86机器码转成汇编代码!操作展示  X64进程测试  X86进程测试
Dll注入经典方法完整版
jiht594的专栏
04-12 2366
//windows核心編程中dll章節有相關介紹 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://pnig0s1992.blog.51cto.com/393390/804484 Pnig0s1992:算是复习了,最经典的教科书式的Dll注入。 总结一下基本的注入过程,分注入和卸载 注入Dll:
第六课 代码注入(汇编语言)
xuenixiang.com
09-10 2006
这节课的目标是把上节课的ThreadProc函数通过纯汇编语言注入到notepad.exe进程 等会要用到内联汇编,将汇编指令插入到C语言代码中,使用的工具可以是MASM,这里为了方便起见,我使用OllyDbg的汇编命令编写汇编代码 首先随便拿一个程序当做我们写汇编代码的载体,这里使用asmtest.exe当载体,载入od后,goto到401000写代码   把401000设为ei...
CreateRemoteThread 失败错误码 5
wk5032的博客
04-15 1006
CreateRemoteThread总是返回0,GetLastError()总是5
详解最实用的几种dll注入方式
陈子青的博客
07-16 1万+
要谈dll注入,首先则要了解dll,对dll的概念和使用不熟悉的读者可移步所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。这样该进程和dll共享同一内存空间,这样dll可以使用该进程的所有资源,随时监控程序运行。通常,我们将需要实现的功能封装生成dll文件,然后将其注入到某一进程中,从而在该进程中添加或扩展我们需要的功能。因此dll注入技术被广泛运用在恶意攻击、游戏外挂、木马等程序中。.........
代码注入
weixin_30588675的博客
07-09 148
// CodeInjection.cpp // reversecore@gmail.com // http://www.reversecore.com #include "windows.h" #include "stdio.h" typedef struct _THREAD_PARAM { FARPROC pFunc[2]; //...
逆向工程核心原理读书笔记-代码注入
liujiayu2的专栏
06-09 1240
代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 和DLL注入相比代码注入占用内存少并难以查找痕迹。所以DLL注入技术主要用在代码量大且复杂的时候,而代码注入技术则适用于代码量小且简单的情况比如shellcode。下面我们先测试一下代码。 运行notepad.e
CreateRemoteThread访问拒绝
u014675953的专栏
04-25 4175
CreateRemoteThread 返回 ERROR_ACCESS_DENIED (5) 访问拒绝错误 本地测试一个远程DLL注入的例子。发现注入系统默认的notepad.exe失败。 单步调试到这句: HANDLE hRemoteThread = CreateRemoteThread(hProcess,0, 0,(DWORD(__stdcall *)( void
[Seedlab]3 SQL注入
最新发布
01-08
### SQL注入原理概述 SQL注入是一种安全漏洞,允许攻击者通过应用程序向数据库发送恶意的SQL语句。这种技术利用了Web应用未能正确过滤用户输入的情况。当这些未经过滤的数据被用于构建动态SQL查询时,就可能执行任意的SQL命令[^1]。 在具体实现上,如果一个网站存在SQL注入风险,则可以通过修改URL参数、POST数据或Cookie等方式来尝试构造特殊的字符串,使服务器端程序将其作为部分SQL指令处理并最终提交给后台的关系型数据库管理系统(RDBMS),从而达到控制RDBMS的目的[^2]。 对于如何防范此类攻击,在开发过程中应该遵循最小权限原则设置账户;采用预编译语句代替直接拼接字符串形成SQL表达式的方法;并对所有的外部输入做严格的验证与清理工作,比如去除掉不必要的特殊字符等措施可以有效减少遭受SQL注入的风险[^3]。 ### SeedLab 实验环境部署指南 为了更好地理解SQL注入的工作机制以及学习相应的防护手段,建议按照如下步骤完成SeedLab实验平台上的SQL注入练习: #### 准备阶段 - 安装必要的软件包和服务,包括但不限于Apache HTTP Server, PHP 和 MySQL/MariaDB 数据库服务。 - 下载 sqli-labs 项目源码至本地机器,并解压到 Web根目录下以便能够正常访问各个测试页面[^4]。 ```bash git clone https://github.com/Audi-1/sqli-labs.git /var/www/html/ ``` #### 构建数据库结构 启动MySQL客户端工具连接到已安装的服务实例中创建一个新的名为 `users` 的数据库对象及其内部表格用来存储模拟用户的认证凭证信息(用户名/密码)。这一步骤通常涉及编写一系列DDL(Data Definition Language) 命令以定义模式(schema)。 ```sql CREATE DATABASE users; USE users; CREATE TABLE credentials ( id INT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50), password TEXT NOT NULL ); INSERT INTO credentials (username,password) VALUES ('Alice','secret'); ``` #### 执行基本注入案例 现在可以在浏览器里打开对应于第一个任务(Task 1)的教学材料链接,它会引导参与者逐步探索不同类型的SELECT语句下的潜在弱点位置。例如,在登录界面处尝试输入类似 `' OR '1'='1 --` 这样的值作为EID字段的内容将会绕过身份验证逻辑而成功登陆系统。 ```python eid = "5002'#" # 用户提供的恶意输入 password = "xyz" query = f"SELECT * FROM credentials WHERE eid='{eid}' AND passwd='{password}';" print(query) ``` 上述代码片段展示了怎样将不受信任的数据嵌入到了SQL查询之中,进而破坏原始意图之外的行为表现形式。请注意实际环境中绝不可如此操作!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值