shellcode——1、采用硬编码弹出计算器

一、shellcode的介绍

    用一句话给的shellcode的下个定义,那就是“一段可以执行特定功能的机器码”。

二、实验环境及工具介绍

实验环境:Windows XP SP3

实验工具:OllyDbg、WinHex、LordPE

三、编程思路

     用c语言来描述其实就是两句:

WinExec("calc.exe", 5);
ExitProcess(0);
    看到有些文章会在开头还加一句:
LoadLibrary(“kernel32.dll”);
    看不懂为啥要加这一句,因为大部分软件都会加载kernel32.dll这个的DLL,更何况LoadLibrary()本来就是在kernel32.dll中的。。。

shellcode——1、采用硬编码弹出计算器_第1张图片


四、确定被调用函数的虚拟地址

    因为这次是用的是硬编码的方式,所以需要通过查找kernel32.dll的导出表,来确定的的WinExec()和ExitProcess()的虚拟地址。使用LordPE加载kernel32.dll,在导出表中查找这两个函数得出两个函数的RVA(相对虚拟地址)为别为:0x000623AD和0x0001CAFA。

shellcode——1、采用硬编码弹出计算器_第2张图片shellcode——1、采用硬编码弹出计算器_第3张图片

    当然,光有RVA是不够的,还需要知道基址,即0x7C800000。

shellcode——1、采用硬编码弹出计算器_第4张图片

    所以计算得出了ExitProcess()的地址为0x7C81CAFA,WinExec()的地址为0x7C8623AD。

五、编写汇编代码

int main()
{
	__asm
	{
		push ebp
		mov ebp,esp
		//WinExec("calc.exe", 5)
		xor eax,eax						//eax清0
		push eax						//“0x00”,用于分割字符串
		mov eax,0x6578652e				        //".exe"
		push eax
		mov eax,0x636c6163				        //"calc"
		push eax
		mov eax,esp
		push 5							//arg2=SW_SHOW
		push eax						//arg1="calc.exe"
		mov eax,0x7c8623ad				        //WinExec的地址
		call eax
		//ExitProcess(0)
		xor eax,eax
		push eax						//arg1=0
		mov eax,0x7c81cafa				        //ExitProcess的地址
		call eax			

		mov esp,ebp
		pop ebp
	}
	return 0;
}

测试结果:

shellcode——1、采用硬编码弹出计算器_第5张图片


六、提取机器码

    用OD加载程序,二进制复制,再粘贴到的的WinHex中。


提取机器码,并测试:

unsigned char shellcode[]=
"/x55/x8B/xEC/x33"
"/xC0/x50/xB8/x2E"
"/x65/x78/x65/x50"
"/xB8/x63/x61/x6C"
"/x63/x50/x8B/xC4"
"/x6A/x05/x50/xB8"
"/xAD/x23/x86/x7C"
"/xFF/xD0/x33/xC0"
"/x50/xB8/xFA/xCA"
"/x81/x7C/xFF/xD0"
"/x8B/xE5/x5D/x33";

int main()
{
	__asm
	{
		lea eax,shellcode
		call eax
	}
	return 0;
}

shellcode——1、采用硬编码弹出计算器_第6张图片

至此,一段用硬编码的shellcode的就完成了(@ _ @)!

参考链接:https://www.cnblogs.com/toorist/p/4428340.html



你可能感兴趣的:(shellcode)