使用CreateRemoteThread执行ShellCode代码的一个问题-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决使用CreateRemoteThread执行ShellCode代码的一个问题

发表于: 2020-9-17 14:56 2766

未解决使用CreateRemoteThread执行ShellCode代码的一个问题

psycongroo 活跃值

2020-9-17 14:56

2766

如题，使用CreateRemoteThread来执行一段弹窗的ShellCode却一直报错。
ShellCode目的是使用MessageBoxA进行弹窗，其主要内容：

__declspec (naked)
void shellCodeFun(void) {
    __asm {
        call L001;
 
        L001:
        pop ebx;
        sub ebx, 5;
        push 0;
        push dword ptr ds : [ebx + 0x24] ;  
        push dword ptr ds : [ebx + 0x20] ;
        push 0;
        call dword ptr ds : [ebx + 0x28] ;
        nop;
    }
}

注入自己写的目标程序后，通过32dbg调试找到了报错的地方，正是这段ShellCode代码的第一句call + 标号产生了异常：

很明显在32dbg看到，原本visual studio中写的内联汇编call + 标号却变成了call + 一段数字（地址）。这种表达方式在似乎从来没见过的...
32dbg下面的异常代码为：
exception_access_violation 0xc0000005

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (6)
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 2 楼 1、windows有shell code这一说法吗？linux、unix才有这个说法。而且你这个代码明显不是shell code。 2、call + 标号应该不会异常。应该是ebx + 0x24、 ebx + 0x20这些数据部分才可能读取异常。如果你确认是call + 标号产生了异常，那应该是dep保护，你在数据区执行代码。 2020-9-17 15:39 0
psycongroo 雪币： 3523 活跃值： (3454) 能力值： ( LV9，RANK：150 ) 在线值：发帖 12 回帖 43 粉丝 30 关注私信	psycongroo 2 3 楼 tDasm 1、windows有shell code这一说法吗？linux、unix才有这个说法。而且你这个代码明显不是shell code。 2、call + 标号应该不会异常。应该是ebx + 0x24、 ... 十分感谢Dasm的回答。 1.对于shell code的定义说实话我也不太清楚，上面代码大多数是仿造书中的写法的，因为书上都把其叫做shell code，所以我也这么说的。 2.确实是数据保护的问题，这个报错是因为我使用VirtualAllocEx传递了PAGE_READWRITE，在修改为PAGE_EXECUTE_READWRITE问题解决了。 2020-9-17 16:42 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 4 楼另外根据楼主的帖子看到 ShellCode 并不完整，ebx + 0x20 后的数据都没有，根据代码分析这部分数据应该是字符串数据和 MessageBoxA 的地址。最后于 2020-9-17 17:08 被KevinsBobo编辑，原因： 2020-9-17 17:05 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 5 楼 MDebug 写完用这个工具调试 2020-9-18 13:46 0
kakahu 雪币： 134 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	kakahu 6 楼印象中shellcode是没有绝对地址的~kernel32的地址都要自己找~ 2020-9-25 09:50 0
kakahu 雪币： 134 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	kakahu 7 楼 MessageBoxA(NULL,"TEST","TEST",0x000040); (x64) "\x40\x55\x48\x8B\xEC\x48\x83\xEC\x50\xC7\x45\xD0\x55\x53\x45\x52" "\xC7\x45\xD4\x33\x32\x2E\x64\x66\xC7\x45\xD8\x6C\x6C\xC6\x45\xDA" "\x00\xC7\x45\xE0\x4D\x65\x73\x73\xC7\x45\xE4\x61\x67\x65\x42\xC7" "\x45\xE8\x6F\x78\x41\x00\x65\x48\x8B\x04\x25\x60\x00\x00\x00\x48" "\x8B\x48\x18\x48\x8B\x49\x30\xEB\x03\x48\x8B\x09\x48\x8B\x41\x40" "\x66\x83\x78\x18\x00\x75\xF2\x48\x8B\x49\x10\x48\x8D\x55\xF0\xC7" "\x45\xF0\x4C\x6F\x61\x64\xC7\x45\xF4\x4C\x69\x62\x72\xC7\x45\xF8" "\x61\x72\x79\x41\xC6\x45\xFC\x00\xE8\x37\x00\x00\x00\x48\x8D\x4D" "\xD0\xFF\xD0\x48\x8D\x55\xE0\x48\x8B\xC8\xE8\x25\x00\x00\x00\x4C" "\x8D\x45\x10\x48\x8D\x55\x10\x41\xB9\x40\x00\x00\x00\x33\xC9\xC7" "\x45\x10\x54\x45\x53\x54\xC6\x45\x14\x00\xFF\xD0\x48\x83\xC4\x50" "\x5D\xC3\xCC\xCC\x48\x89\x5C\x24\x08\x48\x89\x74\x24\x10\x57\x48" "\x83\xEC\x20\x65\x48\x8B\x04\x25\x60\x00\x00\x00\x4C\x8B\xDA\x48" "\x8B\xD9\x4C\x8B\x40\x18\x4D\x8B\x48\x30\x45\x33\xC0\xEB\x03\x4D" "\x8B\x09\x49\x8B\x41\x40\x66\x44\x39\x40\x18\x75\xF2\x49\x8B\x51" "\x10\x4D\x8B\xC8\x48\x63\x42\x3C\x8B\x8C\x10\x88\x00\x00\x00\x48" "\x03\xCA\x44\x8B\x51\x20\x8B\x79\x24\x8B\x71\x1C\x8B\x49\x18\x4C" "\x03\xD2\x48\x03\xFA\x48\x03\xF2\x85\xC9\x74\x75\x41\x8B\x02\x48" "\x03\xC2\x80\x38\x47\x75\x4E\x80\x78\x01\x65\x75\x48\x80\x78\x02" "\x74\x75\x42\x80\x78\x03\x50\x75\x3C\x80\x78\x04\x72\x75\x36\x80" "\x78\x05\x6F\x75\x30\x80\x78\x06\x63\x75\x2A\x80\x78\x07\x41\x75" "\x24\x80\x78\x08\x64\x75\x1E\x80\x78\x09\x64\x75\x18\x80\x78\x0A" "\x72\x75\x12\x80\x78\x0B\x65\x75\x0C\x80\x78\x0C\x73\x75\x06\x80" "\x78\x0D\x73\x74\x0E\x41\xFF\xC0\x49\x83\xC2\x04\x44\x3B\xC1\x73" "\x10\xEB\x99\x41\x8B\xC0\x0F\xB7\x0C\x47\x44\x8B\x0C\x8E\x4C\x03" "\xCA\x49\x8B\xD3\x48\x8B\xCB\x48\x8B\x5C\x24\x30\x48\x8B\x74\x24" "\x38\x48\x83\xC4\x20\x5F\x49\xFF\xE1\xCC\xCC\xCC" 2020-9-25 10:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

psycongroo

发帖

回帖

150

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 2 楼 1、windows有shell code这一说法吗？linux、unix才有这个说法。而且你这个代码明显不是shell code。 2、call + 标号应该不会异常。应该是ebx + 0x24、 ebx + 0x20这些数据部分才可能读取异常。如果你确认是call + 标号产生了异常，那应该是dep保护，你在数据区执行代码。 2020-9-17 15:39 0
psycongroo 雪币： 3523 活跃值： (3454) 能力值： ( LV9，RANK：150 ) 在线值：发帖 12 回帖 43 粉丝 30 关注私信	psycongroo 2 3 楼 tDasm 1、windows有shell code这一说法吗？linux、unix才有这个说法。而且你这个代码明显不是shell code。 2、call + 标号应该不会异常。应该是ebx + 0x24、 ... 十分感谢Dasm的回答。 1.对于shell code的定义说实话我也不太清楚，上面代码大多数是仿造书中的写法的，因为书上都把其叫做shell code，所以我也这么说的。 2.确实是数据保护的问题，这个报错是因为我使用VirtualAllocEx传递了PAGE_READWRITE，在修改为PAGE_EXECUTE_READWRITE问题解决了。 2020-9-17 16:42 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 4 楼另外根据楼主的帖子看到 ShellCode 并不完整，ebx + 0x20 后的数据都没有，根据代码分析这部分数据应该是字符串数据和 MessageBoxA 的地址。最后于 2020-9-17 17:08 被KevinsBobo编辑，原因： 2020-9-17 17:05 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 5 楼 MDebug 写完用这个工具调试 2020-9-18 13:46 0
kakahu 雪币： 134 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	kakahu 6 楼印象中shellcode是没有绝对地址的~kernel32的地址都要自己找~ 2020-9-25 09:50 0
kakahu 雪币： 134 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	kakahu 7 楼 MessageBoxA(NULL,"TEST","TEST",0x000040); (x64) "\x40\x55\x48\x8B\xEC\x48\x83\xEC\x50\xC7\x45\xD0\x55\x53\x45\x52" "\xC7\x45\xD4\x33\x32\x2E\x64\x66\xC7\x45\xD8\x6C\x6C\xC6\x45\xDA" "\x00\xC7\x45\xE0\x4D\x65\x73\x73\xC7\x45\xE4\x61\x67\x65\x42\xC7" "\x45\xE8\x6F\x78\x41\x00\x65\x48\x8B\x04\x25\x60\x00\x00\x00\x48" "\x8B\x48\x18\x48\x8B\x49\x30\xEB\x03\x48\x8B\x09\x48\x8B\x41\x40" "\x66\x83\x78\x18\x00\x75\xF2\x48\x8B\x49\x10\x48\x8D\x55\xF0\xC7" "\x45\xF0\x4C\x6F\x61\x64\xC7\x45\xF4\x4C\x69\x62\x72\xC7\x45\xF8" "\x61\x72\x79\x41\xC6\x45\xFC\x00\xE8\x37\x00\x00\x00\x48\x8D\x4D" "\xD0\xFF\xD0\x48\x8D\x55\xE0\x48\x8B\xC8\xE8\x25\x00\x00\x00\x4C" "\x8D\x45\x10\x48\x8D\x55\x10\x41\xB9\x40\x00\x00\x00\x33\xC9\xC7" "\x45\x10\x54\x45\x53\x54\xC6\x45\x14\x00\xFF\xD0\x48\x83\xC4\x50" "\x5D\xC3\xCC\xCC\x48\x89\x5C\x24\x08\x48\x89\x74\x24\x10\x57\x48" "\x83\xEC\x20\x65\x48\x8B\x04\x25\x60\x00\x00\x00\x4C\x8B\xDA\x48" "\x8B\xD9\x4C\x8B\x40\x18\x4D\x8B\x48\x30\x45\x33\xC0\xEB\x03\x4D" "\x8B\x09\x49\x8B\x41\x40\x66\x44\x39\x40\x18\x75\xF2\x49\x8B\x51" "\x10\x4D\x8B\xC8\x48\x63\x42\x3C\x8B\x8C\x10\x88\x00\x00\x00\x48" "\x03\xCA\x44\x8B\x51\x20\x8B\x79\x24\x8B\x71\x1C\x8B\x49\x18\x4C" "\x03\xD2\x48\x03\xFA\x48\x03\xF2\x85\xC9\x74\x75\x41\x8B\x02\x48" "\x03\xC2\x80\x38\x47\x75\x4E\x80\x78\x01\x65\x75\x48\x80\x78\x02" "\x74\x75\x42\x80\x78\x03\x50\x75\x3C\x80\x78\x04\x72\x75\x36\x80" "\x78\x05\x6F\x75\x30\x80\x78\x06\x63\x75\x2A\x80\x78\x07\x41\x75" "\x24\x80\x78\x08\x64\x75\x1E\x80\x78\x09\x64\x75\x18\x80\x78\x0A" "\x72\x75\x12\x80\x78\x0B\x65\x75\x0C\x80\x78\x0C\x73\x75\x06\x80" "\x78\x0D\x73\x74\x0E\x41\xFF\xC0\x49\x83\xC2\x04\x44\x3B\xC1\x73" "\x10\xEB\x99\x41\x8B\xC0\x0F\xB7\x0C\x47\x44\x8B\x0C\x8E\x4C\x03" "\xCA\x49\x8B\xD3\x48\x8B\xCB\x48\x8B\x5C\x24\x30\x48\x8B\x74\x24" "\x38\x48\x83\xC4\x20\x5F\x49\xFF\xE1\xCC\xCC\xCC" 2020-9-25 10:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 使用CreateRemoteThread执行ShellCode代码的一个问题

未解决使用CreateRemoteThread执行ShellCode代码的一个问题