从exe生成Shellcode？

Question

所以最近我一直在学习低级编程语言（例如汇编，据我了解，它只是符号二进制）并且遇到了Shellcoding（例如“\x4D ...”等）。 我发现您可以将 Shellcode 输入到 C/C++ 应用程序中然后执行它 - 我的问题是，是否可以从现有的 exe 应用程序生成 Shellcode，然后在 C/C++ 应用程序中使用这个生成的 Shellcode？ 我是否误解了 Shellcoding 的可能性？ 非常感谢 - 一个对低级编程知识非常有限的人

Answer 1

是否可以从现有的 exe 应用程序生成 Shellcode，然后在 C/C++ 应用程序中使用这个生成的 Shellcode

答：不。Shellcode 是独立于基础的，可执行的 PE 文件有大量的头文件等，你不能在执行某些操作之前执行它/

Shellcode - 这是一个非常大的问题。

首先，需要知道kernel32、user32 libs等外部库的函数地址存放在Import Adress Table中，由windows-loader在启动时填充。 所有内存工作都是通过地址完成的，即在编译阶段进行计算。 所以需要自己找地址。

要从 shellcode 调用函数，您必须拥有自己的函数地址加载器。 这个加载器必须加载 kernel32.dll 库，搜索 GetProcAddress 函数并填写 IAT

你不知道你的 shellcode 将被加载到哪个地址，你可以从这样的代码中知道它，调用“delta-offset”

call    delta
 delta:
pop     ebp
sub     ebp,offset delta

现在在 ebp 中实际地址的偏移量，因此要获得函数地址的变量，您需要加上偏移量，例如：

lea eax, [variable]
add eax, ebp; adding a delta-offset
mov ecx, dword ptr DS:[eax]

要编译代码以供将来使用，您应该使用 FASM 之类的东西，编译后使用 WinHex 编辑器 -> 复制 -> 全部复制 -> GREP C 源

你会得到类似 "\x00\x28" 等的东西，要调用它，你需要为你的 shellcode 数组设置执行权限，并通过 jmp/call/etc 等命令处理程序更改 EIP

有一个例子显示在 Windows-system Hello, World MessageBox

# include <stdlib.h>
# include <stdio.h>
# include <string.h>

# include <windows.h>


int
main(void)
{
  char *shellcode = "\x33\xc9\x64\x8b\x49\x30\x8b\x49\x0c\x8b"
    "\x49\x1c\x8b\x59\x08\x8b\x41\x20\x8b\x09"
    "\x80\x78\x0c\x33\x75\xf2\x8b\xeb\x03\x6d"
    "\x3c\x8b\x6d\x78\x03\xeb\x8b\x45\x20\x03"
    "\xc3\x33\xd2\x8b\x34\x90\x03\xf3\x42\x81"
    "\x3e\x47\x65\x74\x50\x75\xf2\x81\x7e\x04"
    "\x72\x6f\x63\x41\x75\xe9\x8b\x75\x24\x03"
    "\xf3\x66\x8b\x14\x56\x8b\x75\x1c\x03\xf3"
    "\x8b\x74\x96\xfc\x03\xf3\x33\xff\x57\x68"
    "\x61\x72\x79\x41\x68\x4c\x69\x62\x72\x68"
    "\x4c\x6f\x61\x64\x54\x53\xff\xd6\x33\xc9"
    "\x57\x66\xb9\x33\x32\x51\x68\x75\x73\x65"
    "\x72\x54\xff\xd0\x57\x68\x6f\x78\x41\x01"
    "\xfe\x4c\x24\x03\x68\x61\x67\x65\x42\x68"
    "\x4d\x65\x73\x73\x54\x50\xff\xd6\x57\x68"
    "\x72\x6c\x64\x21\x68\x6f\x20\x57\x6f\x68"
    "\x48\x65\x6c\x6c\x8b\xcc\x57\x57\x51\x57"
    "\xff\xd0\x57\x68\x65\x73\x73\x01\xfe\x4c"
    "\x24\x03\x68\x50\x72\x6f\x63\x68\x45\x78"
    "\x69\x74\x54\x53\xff\xd6\x57\xff\xd0";

  DWORD why_must_this_variable;
  BOOL ret = VirtualProtect (shellcode, strlen(shellcode),
    PAGE_EXECUTE_READWRITE, &why_must_this_variable);

  if (!ret) {
    printf ("VirtualProtect\n");
    return EXIT_FAILURE;
  }

  printf("strlen(shellcode)=%d\n", strlen(shellcode));

  ((void (*)(void))shellcode)();

  return EXIT_SUCCESS;
}

您可能正在寻找 RunPE 算法。 该算法可以在另一个内部执行PE可执行文件。 您正在打开另一个进程、复制部分、填充 IAT 表并从新入口点恢复目标进程。 这是一种代码注入技术，使用了我的恶意软件。 所以我不会解释如何实现它

Answer 2

Shellcode是用作漏洞利用（例如缓冲区溢出）的有效负载的机器代码。 根据它所使用的漏洞，它可能有限制，例如最大长度，或者不允许某些字节值（例如零）。 对于 shellcode 可以是什么，没有万能的答案。

但总的来说：是的，原则上可以在 shellcode 中嵌入一个完整的程序。 它可以采用小型包装器的形式（可能是用汇编手写的），将程序写入新的.exe文件然后运行它，或者它可以使用更复杂的技术来替换内存中的当前程序。 可能有自动化工具可以创建这种 shellcode，尽管我不知道具体的。

但是，您的问题的语气让我认为您可能误解了一些重要的事情：

我发现你可以将 Shellcode 输入到 C/C++ 应用程序中然后执行它

这是一个错误，而不是一个功能。 能够将新代码注入正在运行的程序中，而该程序并非专门允许这样做，这是一个主要的安全漏洞。 在过去的几十年里，这类事情一直是许多安全漏洞的根源，开发人员花费了大量的精力来阻止它的发生。

如果可以将 shellcode 注入到程序中，那么程序就会被破坏。