首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[原创]开源一个基于C++的shellcode框架
2021-7-29 18:00 18680

[原创]开源一个基于C++的shellcode框架

windpiaoxue 活跃值
2021-7-29 18:00
18680

前言

最近工作中要经常编写shellcode,纯手工汇编编写shellcode太麻烦,又没有找到一个比较灵活的shellcode生成器框架,因此便有自己动手写了一个简单的基于C++的框架。已经使用了一段时间并没有发现什么问题,现在将代码开源。

代码示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
SC_MAIN_BEGIN()
{
    // *** Place function declaration here! ***
    UINT MyFunc(VOID);
 
    SC_IMPORT_API_BATCH_BEGIN();
    SC_IMPORT_API_BATCH("User32.dll", MessageBoxA);
    SC_IMPORT_API_BATCH("User32.dll", MessageBoxW);
    SC_IMPORT_API_BATCH("Kernel32.dll", ExitProcess);
    SC_IMPORT_API_BATCH_END();
 
    // *** Place code here! ***
    MessageBoxA(NULL, SC_PISTRINGA("Hello Ansi!"), SC_PISTRINGA("Hello!"), MB_OK);
    MessageBoxW(NULL, SC_PISTRINGW(L"Hello Unicode!"), SC_PISTRINGW(L"Hello!"), MB_OK);
 
    ExitProcess(MyFunc());
}
 
// *** Place function definition here! ***
SC_NOINLINE UINT MyFunc(VOID) { return 0; }
 
SC_MAIN_END()

上述代码的主要功能是调用两次MessageBox(一次用的是Ansi版本一次是Unicode版本)然后调用ExitProcess结束进程。可以看出来,使用该C++框架编写shellcode基本上除了前面的导入API代码后续代码就与常规C++没有区别了。考虑到从PE文件中手动提取shellcode也挺麻烦,因此增加了一个提取shellcode的python脚本,添加到了vs中的Post-Build Event中(代码仓库中的src目录下有配置好的vs2019项目),在编译成功后可自动提取shellcode到编译目录下(*.sh)。

编译环境

由于MSVC没有关闭SSE指令集的编译选项(使用SSE指令集会导致长字符串被存储到只读区段,然后在通过SSE指令集拷贝到栈中,如果有大佬知道怎么关闭SSE指令集希望一个指点一下),因此只能使用Clang编译器,所幸vs2019可以一键安装Clang编译器,还是比较方便的。有几个比较重要的编译选项一定要改,其余的看个人喜好,暂时未发现对生成的代码有较大影响:

  • /MT(d) /GS- /Gs1048576 -mno-sse
  • /O1(比O2生成的代码要小) /O2(RELEASE模式默认开启)

已知问题

  • 由于关闭了SSE指令集,导致无法进行浮点数运算。
  • 可以调用函数(如代码中的MyFunc),但是无法获取函数指针。 已修复,见210731更新

获取代码

下载代码

更新210731

上一个版本中提到说到无法获取函数指针,后来想了一个方案:提取shellcode时根据重定位表将函数的VA修改成基于当前EIP的偏移,使用时通过以下代码获取。

1
2
3
CALL $+5
POP  EAX
LEA  EAX, [EAX+Foo] ; Foo是需要作回调的函数,编译后会在重定位表中看到这条重定位信息,然后我们在提取shellcode时根据重定位记录修改成偏移即可。

后来想了一下觉得这种方案还要借助于提取脚本来做,而且不方便直接调试,因此退而求其次,换了一种方法:在shellcode开始动态获取SCMain函数的SCMainVA(SCMain函数的虚拟地址),然后需要用函数指针时计算一下即可获取到(Foo-SCMain+SCMainVA),但缺点是只能在SCMain函数中获取函数的指针(一般情况也足够用了)。详细代码可见更新,使用函数指针的代码示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
SC_MAIN_BEGIN()
{
    // *** Place function declaration here! ***
    UINT WINAPI WorkerThread(PCSTR lpAnsiMsg);
 
    SC_IMPORT_API_BATCH_BEGIN();
    SC_IMPORT_API_BATCH("Kernel32.dll", CreateThread);
    SC_IMPORT_API_BATCH("Kernel32.dll", WaitForSingleObject);
    SC_IMPORT_API_BATCH("Kernel32.dll", ExitProcess);
    SC_IMPORT_API_BATCH_END();
 
    // *** Place code here! ***
    HANDLE hWorker = CreateThread(
        NULL,
        0,
        (PTHREAD_START_ROUTINE)SC_PIFUNCTION(WorkerThread),
        SC_PISTRINGA("Hello Ansi!"),
        0,
        NULL);
    WaitForSingleObject(hWorker, INFINITE);
 
    ExitProcess(0);
}
 
// *** Place function definition here! ***
SC_NOINLINE UINT WINAPI WorkerThread(PCSTR lpAnsiMsg) {
    SC_IMPORT_API_BATCH_BEGIN();
    SC_IMPORT_API_BATCH("User32.dll", MessageBoxA);
    SC_IMPORT_API_BATCH("User32.dll", MessageBoxW);
    SC_IMPORT_API_BATCH_END();
 
    MessageBoxA(NULL, lpAnsiMsg, SC_PISTRINGA("Hello!"), MB_OK);
    MessageBoxW(NULL, SC_PISTRINGW(L"Hello Unicode!"), SC_PISTRINGW(L"Hello!"), MB_OK);
 
    return 0;
}
 
SC_MAIN_END()

[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

最后于 2021-7-30 14:25 被windpiaoxue编辑 ,原因: 更新版本
收藏
点赞6
打赏
分享
最新回复 (15)
r0Cat
雪    币: 8715
活跃值: (8610)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
私信
r0Cat 7 2021-7-29 21:40
2
0
支持开源~楼主666~
pureGavin
雪    币: 12040
活跃值: (15364)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
pureGavin 2 2021-7-29 23:24
3
1
MSF:终究是错付了
万剑归宗
雪    币: 914
活跃值: (2183)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
私信
万剑归宗 1 2021-7-30 10:17
4
0
已知问题
由于关闭了SSE指令集,导致无法进行浮点数运算。
可以调用函数(如代码中的MyFunc),但是无法获取函数指针。

那么设置回调,创建线程 就无法使用了吗?
v0id_
雪    币: 8270
活跃值: (4786)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
v0id_ 2021-7-30 10:46
5
0
mark
windpiaoxue
雪    币: 352
活跃值: (785)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
windpiaoxue 2021-7-30 10:48
6
0
万剑归宗 已知问题 由于关闭了SSE指令集,导致无法进行浮点数运算。 可以调用函数(如代码中的MyFunc),但是无法获取函数指针。 那么设置回调,创建线程 就无法使用了吗?
x64下没问题,x86下目前有一个思路准备试试,如果可以用的话会更新上去。
git_12977huolongguo10
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
git_12977huolongguo10 2021-7-30 12:00
7
0
帮我改改火绒论坛上那个烂尾帖子呗
windpiaoxue
雪    币: 352
活跃值: (785)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
windpiaoxue 2021-8-2 11:24
8
0
已更新,支持动态获取函数指针
换个刀锋
雪    币: 29
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
换个刀锋 2021-8-2 17:28
9
0
mark
快乐的小跳蛙
雪    币: 40
活跃值: (1433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
快乐的小跳蛙 2021-8-3 01:02
10
0
关闭sse  把o1改成od就可以了
dico
雪    币: 94
活跃值: (385)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dico 2023-5-24 15:47
11
0

改框架有个地方不太明白,就是对BYTE进行运算总会出错。例如

BYTE szTest[256]={0};//这里编译时会报错,说MEMSET不行

for (DWORD i=0;i<256;i++)

    szTest[i] ^= 0x71;//执行到这里总是出错退出

最后于 2023-5-25 15:02 被dico编辑 ,原因: 内容写错了
dico
雪    币: 94
活跃值: (385)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dico 2023-5-25 15:28
12
0
另外,只要用到memcpy之类的API,总是会返回lld-link : error : undefined symbol: memcpy这样的编译错误。
windpiaoxue
雪    币: 352
活跃值: (785)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
windpiaoxue 2023-9-9 17:52
13
0
dico 另外,只要用到memcpy之类的API,总是会返回lld-link : error : undefined symbol: memcpy这样的编译错误。

BYTE szTest[256]={0}初始化的方式会被编译器转换成对memset的调用,memset和memcpy都是c标准库里的函数,不能在shellcode里使用

最后于 2023-9-9 18:01 被windpiaoxue编辑 ,原因:
dico
雪    币: 94
活跃值: (385)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dico 2023-10-9 11:33
14
0
windpiaoxue dico 另外,只要用到memcpy之类的API,总是会返回lld-link : error : undefined symbol: memcpy ...
那请问我要对一个数组初始化赋值应该怎么做呢?
bestbird
雪    币: 30090
活跃值: (2027)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
bestbird 2023-10-9 13:47
15
0
写shellcode看来还是delphi好使,特别是涉及字符串。所有东西根本不用二次加工和提取和修复
dico
雪    币: 94
活跃值: (385)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dico 1天前
16
0
升级了VS后,编译居然出现了error : no member named 'index_sequence' in namespace 'std'这样的错误,以前都好好的。请问怎么解决呢?
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回