shellcode——1、采用硬编码弹出计算器

一、shellcode的介绍

    用一句话给的shellcode的下个定义，那就是“一段可以执行特定功能的机器码”。

二、实验环境及工具介绍

实验环境：Windows XP SP3

实验工具：OllyDbg、WinHex、LordPE

三、编程思路

     用c语言来描述其实就是两句：

WinExec("calc.exe", 5);
ExitProcess(0);

    看到有些文章会在开头还加一句：

LoadLibrary（“kernel32.dll”）;

    看不懂为啥要加这一句，因为大部分软件都会加载kernel32.dll这个的DLL，更何况LoadLibrary()本来就是在kernel32.dll中的。。。

四、确定被调用函数的虚拟地址

    因为这次是用的是硬编码的方式，所以需要通过查找kernel32.dll的导出表，来确定的的WinExec()和ExitProcess()的虚拟地址。使用LordPE加载kernel32.dll，在导出表中查找这两个函数得出两个函数的RVA（相对虚拟地址）为别为：0x000623AD和0x0001CAFA。

    当然，光有RVA是不够的，还需要知道基址，即0x7C800000。

    所以计算得出了ExitProcess()的地址为0x7C81CAFA，WinExec()的地址为0x7C8623AD。

五、编写汇编代码

int main()
{
	__asm
	{
		push ebp
		mov ebp,esp
		//WinExec("calc.exe", 5)
		xor eax,eax						//eax清0
		push eax						//“0x00”，用于分割字符串
		mov eax,0x6578652e				        //".exe"
		push eax
		mov eax,0x636c6163				        //"calc"
		push eax
		mov eax,esp
		push 5							//arg2=SW_SHOW
		push eax						//arg1="calc.exe"
		mov eax,0x7c8623ad				        //WinExec的地址
		call eax
		//ExitProcess(0)
		xor eax,eax
		push eax						//arg1=0
		mov eax,0x7c81cafa				        //ExitProcess的地址
		call eax			

		mov esp,ebp
		pop ebp
	}
	return 0;
}

测试结果：

六、提取机器码

    用OD加载程序，二进制复制，再粘贴到的的WinHex中。

提取机器码，并测试：

unsigned char shellcode[]=
"/x55/x8B/xEC/x33"
"/xC0/x50/xB8/x2E"
"/x65/x78/x65/x50"
"/xB8/x63/x61/x6C"
"/x63/x50/x8B/xC4"
"/x6A/x05/x50/xB8"
"/xAD/x23/x86/x7C"
"/xFF/xD0/x33/xC0"
"/x50/xB8/xFA/xCA"
"/x81/x7C/xFF/xD0"
"/x8B/xE5/x5D/x33";

int main()
{
	__asm
	{
		lea eax,shellcode
		call eax
	}
	return 0;
}

至此，一段用硬编码的shellcode的就完成了（@ _ @）！

参考链接：https://www.cnblogs.com/toorist/p/4428340.html