執行shellcode的幾種方式

原創 d1l1 2020-02-25 07:16

首先寫出彙編成功彈出計算器

#pragma comment(linker,"/section:.data,RWE")	//data段可讀寫

#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")	//不顯示窗口

#pragma comment(linker,"/INCREMENTAL:NO")	//指定非增量編譯
#include "windows.h"
void main()
{
	__asm{
	  sub esp,0x454
	  xor ebx,ebx
	  push ebx
	  mov eax,0x6578652e
	  push eax
	  mov eax,0x636c6163
	  push eax
	  mov eax,esp
	  push 5
	  push eax
	  mov eax,0x74f0dab0
	  call eax
	  mov esp,0x450
	  
   }
 }

下面這兩條語句時和call dword ptr [WinExec]功能相同,可以利用這條語句找出自己機子上WinExec地址,然後將0x74f0dab0替換成自己機子上的地址

 mov eax,0x74f0dab0
 call eax

提取彙編的機器碼

unsigned char shellcode[]="\x81\xEC\x54\x04\x00\x00\x33\xDB\x53\xB8\x2E\x65\x78\x65\x50"
"\xB8\x63\x61\x6C\x63\x50\x8B\xC4\x6A\x05\x50"
"\xB8\xB0\xDA\xF0\x74\xFF\xD0"
"\xBC\x50\x04\x00\x00";

接下來就是如何執行shellcode了

0x01

將shellcode硬改成函數名,然後shellcode的內容相當於函數體

void Run1()
{
	((void(*)(void))&shellcode)();
}

0x02

取shellcode的偏移地址,然後到shellcode處執行

//第2種方法
void Run2()
{
	__asm{
		lea eax,shellcode
		jmp eax
	}
}

0x03

和0x02方法相同,寫法不一樣

//第3種方法

void Run3()
{

	__asm{
		mov eax,offset shellcode
		jmp eax
	}
}

0x04

用emit在當前位置直接插入數據(實際上是指令),硬編碼執行

//第四種方法
void Run4()
{

	__asm{
		mov eax,offset shellcode
		_emit 0xff;	
		_emit 0xe0;
	}

}
調試
#pragma comment(linker,"/section:.data,RWE")	//data段可讀寫

#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")	//不顯示窗口

#pragma comment(linker,"/INCREMENTAL:NO")	//指定非增量編譯
#include "windows.h"
unsigned char shellcode[]="\x81\xEC\x54\x04\x00\x00\x33\xDB\x53\xB8\x2E\x65\x78\x65\x50"
"\xB8\x63\x61\x6C\x63\x50\x8B\xC4\x6A\x05\x50"
"\xB8\xB0\xDA\xF0\x74\xFF\xD0"
"\xBC\x50\x04\x00\x00";


//第一種方法
void Run1()
{
	((void(*)(void))&shellcode)();
}

//第2種方法
void Run2()
{
	__asm{
		lea eax,shellcode
		jmp eax
	}
}

//第3種方法

void Run3()
{

	__asm{
		mov eax,offset shellcode
		jmp eax
	}
}

//第四種方法
void Run4()
{

	__asm{
		mov eax,offset shellcode
		_emit 0xff;	//用emigt就是在當前位置直接插入數據(實際上是指令),硬編碼執行
		_emit 0xe0;
	}

}

void main()
{

/*	
	__asm{
	  sub esp,0x454
	  xor ebx,ebx
	  push ebx
	  mov eax,0x6578652e
	  push eax
	  mov eax,0x636c6163
	  push eax
	  mov eax,esp
	  push 5
	  push eax
	  mov eax,0x74f0dab0
	  call eax
	  mov esp,0x450
	  
   }
   */
	
	Run1();
}

在這裏插入圖片描述
其他三種方法我都調試了都可以彈出計算器

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

shellcode的隱藏運行

學習shellcode程序設計時,在我們提取了shellcode以後,可以簡單的實現其隱藏運行。  一、shellcode的運行 下面的這段代碼,是簡略的過程。 #include<windows.h>unsigned char Shell

淡淡的琉璃 2020-07-07 07:32:24

others_shellcode

這題我也不知道要表達什麼,上一題還是堆題,這有點突兀… 就32位的int 80系統調用,eax存放系統調用號,只是這裏搞了一下,sub相減後就是11,就是execve,參數上面已經push了,直接就獲得一個shell… fro

、moddemod 2020-06-29 16:40:12

針對IIS6.0 WebDAV漏洞(cve-2017-7269)製作純字符數字的shellcode回連msf

環境: Kali攻擊機1 IP:192.168.114.140 Win7攻擊機2 IP(安裝gcc和python2.7):192.168.114.130 Windows server 2003目標主機(開啓webdev服務):192.16

MickeyMouse1928 2020-06-24 00:17:35

IEE754 shellcode

IEE754 shellcode fixedpoint_plaid_2016的一題,留着備用https://github.com/ispoleet/ctf-writeups/tree/master/plaid_ctf_2016/fixed

haivk 2020-06-12 13:51:16

xman_2019_nooocall(pwn裏基於時間的盲注)

haivk 2020-05-02 09:55:12

shellcode題總結

haivk 2020-05-02 09:55:12

inndy_onepunch(text段有時是可以修改的)

haivk 2020-05-02 09:55:12

內存蠕蟲

d1l1 2020-02-24 19:01:34

機器碼作爲shellcode運行時段錯誤

ysc_ysc 2020-02-24 12:48:53

一種提取shellcode的方法

淡淡的琉璃 2020-02-24 01:42:41

Shellcode學習之編寫變形的shellcode[實戰篇]

淡淡的琉璃 2020-02-24 01:42:41

6.2 ShellCode的高效提取技巧

淡淡的琉璃 2020-02-24 01:42:41

Shellcode學習之編寫變形的shellcode[原理篇]

淡淡的琉璃 2020-02-24 01:42:41

DEP原理及關閉

淡淡的琉璃 2020-02-24 01:42:41

編寫shellcode(vs2017)

osummertime 2020-02-23 02:00:31