用ASM编写一个简单的Windows Shellcode思路总结

shellcode 是什么？

“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”

为了写出位置无关的代码，需要注意以下几点：

不能对字符串使用直接偏移，必须将字符串存储在堆栈中

dll中的函数寻址，由于 ASLR 不会每次都在同一个地址中加载，可以通过 PEB.PEB_LDR_DATA 找到加载模块调用其导出的函数，或加载新 dll。

避免空字节

NULL 字节的值为 0x00，在 C/C++ 代码中，NULL 字节被视为字符串的终止符。因此，shellcode 中这些字节的存在可能会干扰目标应用程序的功能，并且我们的 shellcode 可能无法正确复制到内存中。

用下面的语句代替上面的语句，结果是一样的。

此外，在某些特定情况下，shellcode 必须避免使用字符，例如 \r 或 \n，甚至只使用字母数字字符。

windows下dll加载的机制

在 Windows 中，应用程序不能直接访问系统调用，使用来自 Windows API ( WinAPI ) 的函数，Windows API函数都存储在 kernel32.dll、advapi32.dll、gdi32.dll 等中。ntdll.dll 和 kernel32.dll 非常重要，以至于每个进程都会导入它们：

这是我编写 nothing_to_do 程序，用 listdlls列出导入的 dll：

dll寻址

TEB（线程环境块）该结构包含用户模式中的线程信息，32位系统中我们可以使用 FS 寄存器在偏移0x30处找到进程环境块(PEB) 的地址。

PEB.ldr 指向PEB_LDR_DATA提供有关加载模块的信息的结构的指针，包含kernel32 和 ntdll 的基地址

PEB_LDR_DATA.InMemoryOrderModuleList 包含进程加载模块的双向链表的头部。列表中的每一项都是指向 LDR_DATA_TABLE_ENTRY 结构的指针

LDR_DATA_TABLE_ENTRY 加载的 DLL 信息：

tips

在 Vista 之前的 Windows 版本中，InInitializationOrderModuleList 中的前两个DLL是 ntdll.dll和kernel32.dll，但对于 Vista 及以后的版本，第二个DLL更改为kernelbase.dll。

InMemoryOrderModuleList 中的第一个 calc.exe（可执行文件），第二个是ntdll.dll，第三个是kernel32.dll，目前这适用于所有 Windows 版本是首选方法。

kernel32.dll寻址流程：

转化为汇编代码：

dll导出表中函数寻址

之前学习pe结构相关资料在这。

ImageOptionalHeader32.DataDirectory[0].VirtualAddress 指向导出表RVA，导出表的结构如下：

函数寻址流程：：

导出表寻址汇编：

查找 Winexec 函数名：

查找 Winexec 函数指针：

调用 Winexec 函数：

最终的shellcode:

dump shellcode

vs 生成 shellcode 体积膨胀了好多，用 masm 重新写一下，体积小了很多：shellcode.asm

编译：

两种方法：

dumpbin.exe

$ dumpbin.exe /ALL .\shellcode.obj

从 PE .text 区块中读取

从 PointerToRawData 开始，取 VirtualSize 大小的数据

用 golang 写个 loader

loader.go，直接用Makefile编译：$ make

成功！！！

最后

关注私我获取【网络安全学习攻略】