nim-lang callback uuid shellcode

0x00 描述

Nim（最初叫 Nimrod）是⼀⻔命令式静态类型编程语⾔，可以被编译成 C 或 JavaScript。它是开源的，维护很活跃，还结合了 来⾃成熟语⾔（如Python，Ada和Modula）的成功概念。 Nim具有⾼效性，⽣成的执⾏⽂件⼩，编译器⽀持所有平台，⾮常适合嵌⼊式硬实时系统，⽀持各种后端编译等等，Nim强⼤的宏 系统和独⽴性，接下来将介绍如何利⽤Nim结合⼀些未被⼤规模滥⽤的winapi进⾏免杀。

本⽂测试将shellcode转换为 string UUID，再利⽤API将string UUID转换为⼆进制，并通过回调函数的 ⽅式调⽤内存地址加载执⾏shellcode。

Windows安装nim https://hl4.gitee.io/install_windows.html

0x01 主要过程-涉及到的API

主要过程可概括为：
1.shellcode.bin：将 bytes 转成 string UUID
2.创建并分配堆内存
3.将shellcode写⼊堆内存
4.执⾏shellcode

1.1 将 bytes 转成 string UUID
UUID是⼀个由4个连字号(-)将32个字节⻓的字符串分隔后⽣成的字符串，总共36个字节⻓。 ⽐如: "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51"
"e48348fc-e8f0-00c8-0000-4151
①使⽤python代码转换

代码地址：https://github.com/ChoiSG/UuidShellcodeExec/blob/main/shellcodeToUUID.py 修改shellcode即可：

ToUUID.jpeg

为了后⾯好操作，最好删掉原来sep的\n：

ToUUID.jpeg

convert.jpeg

②使⽤nim转换 https://github.com/StudyCat404/uuid_exec_shellcode/blob/main/greetings.nim

image.jpeg

--使⽤copyMem先将 bytes 转为 binary
--使⽤UuidToStringA函数，将binary UUID转换为String UUID

RPC_STATUS UuidToStringA( 
          const UUID *Uuid, 
          RPC_CSTR *StringUuid );

参数：
● Uuid：指向⼆进制UUID的指针
● StringUuid：指向存放UUID格式的字符串的指针

--调⽤gkkaekgaEE($uidStr, password)传⼊string uuid的shellcode 和随机⽣成的key进⾏xor处理

gkkaekgaEE.jpeg

最后会将所得的uuid存放与同⼀⽬录下的uuid.txt，key显示在console上

1.2 创建并分配堆内存
创建堆：HeapCreate

HANDLE HeapCreate( 
              DWORD flOptions, 
              SIZE_T dwInitialSize, 
              SIZE_T dwMaximumSize );

参数：

● flOptions：需要为有执⾏权限的关键字：

● dwInitialSize：初始化⼤⼩--0

HEAP_CREATE_ENABLE_EXECUTE

● dwMaximumSize：最⼤值--0（根据系统⼤⼩确定）

分配堆内存：HeapAlloc

DECLSPEC_ALLOCATOR LPVOID HeapAlloc( 
                HANDLE hHeap, 
                DWORD dwFlags, 
                SIZE_T dwBytes );

参数：
● hHeap：要分配堆的句柄
● dwFlags：堆分配时的可选参数
● dwBytes：要分配堆的字节数

1.3 将shellcode写⼊堆内存
①将UUDI转换为⼆进制

RPC_STATUS UuidFromStringA( 
        RPC_CSTR StringUuid, 
        UUID *Uuid );

参数：

● StringUuid：指向UUID表示形式的字符串的指针
● Uuid：以⼆进制形式返回指向UUID的指针

②将转换出的Uuid所指内容放⼊堆内存中

1.4 执⾏shellcode

BOOL EnumSystemLocalesA( 
          LOCALE_ENUMPROCA lpLocaleEnumProc, 
          DWORD dwFlags );

参数：
● lpLocaleEnumProc：指定回调函数（指向应⽤程序定义的回调函数的指针）
● dwFlags：指定0默认为 LCID_SUPPORTED （枚举所有⽀持的语⾔环境标识符）

0x02 使⽤⽅式

nim编译成exe：
nim c filename.nim

修改SIZE和UUIDARR:
UUIDARR对应string UUID
SIZE对应UUID的长度

替换UUID shellcode.jpeg

注意：数组元素不能有换⾏
byt3bl33d3r版本： https://github.com/byt3bl33d3r/OffensiveNim/blob/master/src/uuid_exec_bin.nim 没有shellcode没有xor加密，可以直接结合[1.1中的python版]转换⽅式使⽤

StudyCat版本： 多了xor加密，使⽤[1.1中的nim版]转换，还需要替换xorpassword https://github.com/StudyCat404/uuid_exec_shellcode/blob/main/uuid_exec_bin.nim

0x03 上线测试

对python转换使⽤CS⽣成的x64.c
对nim转换使⽤CS⽣成x64.bin

bypass.jpeg

可绕过主流杀软。