[原创]shellcode编写-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]shellcode编写

发表于: 2024-1-12 17:19 14470

[原创]shellcode编写

很强强

2024-1-12 17:19

14470

因为shellcode作为一段能独立运行的代码，对于一些使用的函数、变量等有一定的要求。
1、不能使用全局变量
2、不能使用常量字符串
3、编译时使用release编译
4、需要指定出程序入口点
5、对于一些需要接收外部输入或是创建某些进程或线程时，需要手动创建内存进行保存

图片描述

release模式编译好exe后，以16进制打开，找到.text节数据
图片描述
.text节从0x00000400开始，那么现在就找一段连续的数据，不一定要到最大地址。

选中后以C格式化方式复制下载，放到加载器中。

如果你需要实现的是例如一个通信shellcode，那么你应该对接收数据手动的创建一块内存进行存储，如果只是简单的动态加载了api，但是你现在是以shellcode的方式进行执行，会引发内存异常，这是因为程序在执行这块数据的时候没有找到。

FARPROC getProcAddress(HMODULE hModuleBase)
{

    PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;

    PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS)((DWORD)hModuleBase + lpDosHeader->e_lfanew);

    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size) {

        return NULL;

    }

    if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) {

        return NULL;

    }

    PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

    PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNames);

    PWORD lpword = (PWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNameOrdinals);

    PDWORD lpdwFunAddr = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfFunctions);
 
    DWORD dwLoop = 0;

    FARPROC pRet = NULL;

    for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++) {

        char* pFunName = (char*)(lpdwFunName[dwLoop] + (DWORD)hModuleBase);
 
        if (pFunName[0] == 'G' &&

            pFunName[1] == 'e' &&

            pFunName[2] == 't' &&

            pFunName[3] == 'P' &&

            pFunName[4] == 'r' &&

            pFunName[5] == 'o' &&

            pFunName[6] == 'c' &&

            pFunName[7] == 'A' &&

            pFunName[8] == 'd' &&

            pFunName[9] == 'd' &&

            pFunName[10] == 'r' &&

            pFunName[11] == 'e' &&

            pFunName[12] == 's' &&

            pFunName[13] == 's')

        {

            pRet = (FARPROC)(lpdwFunAddr[lpword[dwLoop]] + (DWORD)hModuleBase);

            break;

        }

    }

    return pRet;
}

FARPROC getProcAddress(HMODULE hModuleBase)

{

PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;

PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS)((DWORD)hModuleBase + lpDosHeader->e_lfanew);

if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size) {

return NULL;

}

if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) {

return NULL;

}

PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNames);

PWORD lpword = (PWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNameOrdinals);

PDWORD lpdwFunAddr = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfFunctions);

DWORD dwLoop = 0;

FARPROC pRet = NULL;

for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++) {

char* pFunName = (char*)(lpdwFunName[dwLoop] + (DWORD)hModuleBase);

if (pFunName[0] == 'G' &&

pFunName[1] == 'e' &&

pFunName[2] == 't' &&

pFunName[3] == 'P' &&

pFunName[4] == 'r' &&

pFunName[5] == 'o' &&

pFunName[6] == 'c' &&

pFunName[7] == 'A' &&

pFunName[8] == 'd' &&

pFunName[9] == 'd' &&

pFunName[10] == 'r' &&

pFunName[11] == 'e' &&

pFunName[12] == 's' &&

pFunName[13] == 's')

{

pRet = (FARPROC)(lpdwFunAddr[lpword[dwLoop]] + (DWORD)hModuleBase);

break;

}

return pRet;

}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#基础知识

收藏・24

免费・11

支持

最新回复 (9)
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 2 楼学习了，谢谢楼主分享 2024-1-16 14:40 0
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-1-18 10:14 1
AsuraCoder 雪币： 1014 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	AsuraCoder 4 楼感觉不如直接用asmjit生成汇编啊 2024-3-3 15:15 0
bestbird 雪币： 30050 活跃值： (2432) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 5 楼老实说，用高级语言写ShellCode还是Delphi最方便。。。。。。 1、字符串随便用。例如： @fnLocalAlloc := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalAlloc')); if @fnLocalAlloc = nil then Exit; @fnLocalReAlloc := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalReAlloc')); if @fnLocalReAlloc = nil then Exit; @fnLocalFree := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalFree')); if @fnLocalFree = nil then Exit; @fnIsBadReadPtr := fnGetProcAddress(hKernel32, FixPAnsiChar('IsBadReadPtr')); if @fnIsBadReadPtr = nil then Exit; 原理：Delphi的字符串编译后是跟函数放在一起的。所以，写的时候可以一边写一边调试，写完就已经是ShellCode了，不用二次加工。 function EnumWindowsProc(Wnd: hwnd; Param: Pointer): BOOL; stdcall; var szClassName: array[0..MAX_PATH] of AnsiChar; begin WindowsAPI^.fnGetClassNameA(Wnd, szClassName, MAX_PATH); if WindowsAPI.fnlstrcmpiA(szClassName, FixPAnsiChar('MyWINDOW')) = 0 then begin if WindowsAPI.pPath.bIsEnabled then WindowsAPI.fnPostMessageW(Wnd, WM_LOCAL_SETCONTEXT, 1, 0) else WindowsAPI.fnPostMessageW(Wnd, WM_LOCAL_SETCONTEXT, 0, 0); end; Result := True; end; procedure UpdateState(bEnable: Boolean); begin WindowsAPI.pPath.bIsImeEnabled := bEnable; WindowsAPI.fnEnumThreadWindows(0, TFNWndEnumProc(FixPAnsiChar(@EnumWindowsProc)), 0); end; 2、64位支持内镶汇编。 3、调试完毕后： nCodeSize := PAnsiChar(@CodeEnd) - PAnsiChar(@Path); SetLength(Bytes, nCodeSize); CopyMemory(@Bytes[0], @Path, nCodeSize); save to file,Done. 2024-3-3 22:32 1
bestbird 雪币： 30050 活跃值： (2432) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 6 楼补充一点：上面类似 WindowsAPI.pPath这些，其实这里WindowsAPI相当于全局变量，也是Delphi才可以轻易实现的，VS要实现非常困难。我平时写ShellCode就跟正常程序一样编写，直接新建一个工程然后在上面放一个按钮，写完、直接IDE里面调试完，在按钮事件调用最后那段保存代码即可。如果不用存为ShellCode，就是普通的程序了。最后于 2024-3-4 01:15 被bestbird编辑，原因： 2024-3-4 01:12 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 7 楼 bestbird 补充一点：上面类似 WindowsAPI.pPath这些，其实这里WindowsAPI相当于全局变量，也是Delphi才可以轻易实现的，VS要实现非常困难。我平时写ShellCode ... 感谢，之前没了解到，就直接用C写 2024-3-7 17:56 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 8 楼 AsuraCoder 感觉不如直接用asmjit生成汇编啊感谢分享，之前没了解到 2024-3-7 17:58 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 9 楼 keystone+capstone就能写而且代码量少90% 2024-3-8 12:09 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 10 楼 chengqiyan keystone+capstone就能写而且代码量少90% 还是比较习惯写C语言，其他的语言看着有点不舒服 2024-3-23 14:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

很强强

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 2 楼学习了，谢谢楼主分享 2024-1-16 14:40 0
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-1-18 10:14 1
AsuraCoder 雪币： 1014 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	AsuraCoder 4 楼感觉不如直接用asmjit生成汇编啊 2024-3-3 15:15 0
bestbird 雪币： 30050 活跃值： (2432) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 5 楼老实说，用高级语言写ShellCode还是Delphi最方便。。。。。。 1、字符串随便用。例如： @fnLocalAlloc := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalAlloc')); if @fnLocalAlloc = nil then Exit; @fnLocalReAlloc := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalReAlloc')); if @fnLocalReAlloc = nil then Exit; @fnLocalFree := fnGetProcAddress(hKernel32, FixPAnsiChar('LocalFree')); if @fnLocalFree = nil then Exit; @fnIsBadReadPtr := fnGetProcAddress(hKernel32, FixPAnsiChar('IsBadReadPtr')); if @fnIsBadReadPtr = nil then Exit; 原理：Delphi的字符串编译后是跟函数放在一起的。所以，写的时候可以一边写一边调试，写完就已经是ShellCode了，不用二次加工。 function EnumWindowsProc(Wnd: hwnd; Param: Pointer): BOOL; stdcall; var szClassName: array[0..MAX_PATH] of AnsiChar; begin WindowsAPI^.fnGetClassNameA(Wnd, szClassName, MAX_PATH); if WindowsAPI.fnlstrcmpiA(szClassName, FixPAnsiChar('MyWINDOW')) = 0 then begin if WindowsAPI.pPath.bIsEnabled then WindowsAPI.fnPostMessageW(Wnd, WM_LOCAL_SETCONTEXT, 1, 0) else WindowsAPI.fnPostMessageW(Wnd, WM_LOCAL_SETCONTEXT, 0, 0); end; Result := True; end; procedure UpdateState(bEnable: Boolean); begin WindowsAPI.pPath.bIsImeEnabled := bEnable; WindowsAPI.fnEnumThreadWindows(0, TFNWndEnumProc(FixPAnsiChar(@EnumWindowsProc)), 0); end; 2、64位支持内镶汇编。 3、调试完毕后： nCodeSize := PAnsiChar(@CodeEnd) - PAnsiChar(@Path); SetLength(Bytes, nCodeSize); CopyMemory(@Bytes[0], @Path, nCodeSize); save to file,Done. 2024-3-3 22:32 1
bestbird 雪币： 30050 活跃值： (2432) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 6 楼补充一点：上面类似 WindowsAPI.pPath这些，其实这里WindowsAPI相当于全局变量，也是Delphi才可以轻易实现的，VS要实现非常困难。我平时写ShellCode就跟正常程序一样编写，直接新建一个工程然后在上面放一个按钮，写完、直接IDE里面调试完，在按钮事件调用最后那段保存代码即可。如果不用存为ShellCode，就是普通的程序了。最后于 2024-3-4 01:15 被bestbird编辑，原因： 2024-3-4 01:12 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 7 楼 bestbird 补充一点：上面类似 WindowsAPI.pPath这些，其实这里WindowsAPI相当于全局变量，也是Delphi才可以轻易实现的，VS要实现非常困难。我平时写ShellCode ... 感谢，之前没了解到，就直接用C写 2024-3-7 17:56 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 8 楼 AsuraCoder 感觉不如直接用asmjit生成汇编啊感谢分享，之前没了解到 2024-3-7 17:58 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 9 楼 keystone+capstone就能写而且代码量少90% 2024-3-8 12:09 0
很强强雪币： 651 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 11 粉丝 3 关注私信	很强强 10 楼 chengqiyan keystone+capstone就能写而且代码量少90% 还是比较习惯写C语言，其他的语言看着有点不舒服 2024-3-23 14:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复