nim-lang callback uuid shellcode

0x00 描述

Nim(最初叫 Nimrod)是⼀⻔命令式静态类型编程语⾔,可以被编译成 C 或 JavaScript。它是开源的,维护很活跃,还结合了 来⾃成熟语⾔(如Python,Ada和Modula)的成功概念。 Nim具有⾼效性,⽣成的执⾏⽂件⼩,编译器⽀持所有平台,⾮常适合嵌⼊式硬实时系统,⽀持各种后端编译等等,Nim强⼤的宏 系统和独⽴性,接下来将介绍如何利⽤Nim结合⼀些未被⼤规模滥⽤的winapi进⾏免杀。

本⽂测试将shellcode转换为 string UUID,再利⽤API将string UUID转换为⼆进制,并通过回调函数的 ⽅式调⽤内存地址加载执⾏shellcode。

Windows安装nim https://hl4.gitee.io/install_windows.html

0x01 主要过程-涉及到的API

主要过程可概括为:
1.shellcode.bin:将 bytes 转成 string UUID
2.创建并分配堆内存
3.将shellcode写⼊堆内存
4.执⾏shellcode

1.1 将 bytes 转成 string UUID
UUID是⼀个由4个连字号(-)将32个字节⻓的字符串分隔后⽣成的字符串,总共36个字节⻓。 ⽐如: "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51"
"e48348fc-e8f0-00c8-0000-4151
①使⽤python代码转换

代码地址:https://github.com/ChoiSG/UuidShellcodeExec/blob/main/shellcodeToUUID.py 修改shellcode即可:

ToUUID.jpeg

为了后⾯好操作,最好删掉原来sep的\n:

ToUUID.jpeg

convert.jpeg

②使⽤nim转换 https://github.com/StudyCat404/uuid_exec_shellcode/blob/main/greetings.nim
image.jpeg

--使⽤copyMem先将 bytes 转为 binary
--使⽤UuidToStringA函数,将binary UUID转换为String UUID

RPC_STATUS UuidToStringA( 
          const UUID *Uuid, 
          RPC_CSTR *StringUuid );

参数:
● Uuid:指向⼆进制UUID的指针
● StringUuid:指向存放UUID格式的字符串的指针

--调⽤gkkaekgaEE($uidStr, password)传⼊string uuid的shellcode 和随机⽣成的key进⾏xor处理

gkkaekgaEE.jpeg

最后会将所得的uuid存放与同⼀⽬录下的uuid.txt,key显示在console上

1.2 创建并分配堆内存
创建堆:HeapCreate

HANDLE HeapCreate( 
              DWORD flOptions, 
              SIZE_T dwInitialSize, 
              SIZE_T dwMaximumSize );

参数:

● flOptions:需要为有执⾏权限的关键字:

● dwInitialSize:初始化⼤⼩--0

HEAP_CREATE_ENABLE_EXECUTE

● dwMaximumSize:最⼤值--0(根据系统⼤⼩确定)

分配堆内存:HeapAlloc

DECLSPEC_ALLOCATOR LPVOID HeapAlloc( 
                HANDLE hHeap, 
                DWORD dwFlags, 
                SIZE_T dwBytes );

参数:
● hHeap:要分配堆的句柄
● dwFlags:堆分配时的可选参数
● dwBytes:要分配堆的字节数

1.3 将shellcode写⼊堆内存
①将UUDI转换为⼆进制

RPC_STATUS UuidFromStringA( 
        RPC_CSTR StringUuid, 
        UUID *Uuid );

参数:

● StringUuid:指向UUID表示形式的字符串的指针
● Uuid:以⼆进制形式返回指向UUID的指针

②将转换出的Uuid所指内容放⼊堆内存中

1.4 执⾏shellcode

BOOL EnumSystemLocalesA( 
          LOCALE_ENUMPROCA lpLocaleEnumProc, 
          DWORD dwFlags );

参数:
● lpLocaleEnumProc:指定回调函数(指向应⽤程序定义的回调函数的指针)
● dwFlags:指定0默认为 LCID_SUPPORTED (枚举所有⽀持的语⾔环境标识符)

0x02 使⽤⽅式

nim编译成exe:
nim c filename.nim

修改SIZEUUIDARR:
UUIDARR对应string UUID
SIZE对应UUID的长度

替换UUID shellcode.jpeg

注意:数组元素不能有换⾏
byt3bl33d3r版本: https://github.com/byt3bl33d3r/OffensiveNim/blob/master/src/uuid_exec_bin.nim 没有shellcode没有xor加密,可以直接结合[1.1中的python版]转换⽅式使⽤

StudyCat版本: 多了xor加密,使⽤[1.1中的nim版]转换,还需要替换xorpassword https://github.com/StudyCat404/uuid_exec_shellcode/blob/main/uuid_exec_bin.nim

0x03 上线测试

对python转换使⽤CS⽣成的x64.c
对nim转换使⽤CS⽣成x64.bin


bypass.jpeg

可绕过主流杀软。

你可能感兴趣的:(nim-lang callback uuid shellcode)