一、shellcode的介绍
用一句话给的shellcode的下个定义,那就是“一段可以执行特定功能的机器码”。
二、实验环境及工具介绍
实验环境:Windows XP SP3
实验工具:OllyDbg、WinHex、LordPE
三、编程思路
用c语言来描述其实就是两句:
WinExec("calc.exe", 5);
ExitProcess(0);
看到有些文章会在开头还加一句:
LoadLibrary(“kernel32.dll”);
看不懂为啥要加这一句,因为大部分软件都会加载kernel32.dll这个的DLL,更何况LoadLibrary()本来就是在kernel32.dll中的。。。
四、确定被调用函数的虚拟地址
因为这次是用的是硬编码的方式,所以需要通过查找kernel32.dll的导出表,来确定的的WinExec()和ExitProcess()的虚拟地址。使用LordPE加载kernel32.dll,在导出表中查找这两个函数得出两个函数的RVA(相对虚拟地址)为别为:0x000623AD和0x0001CAFA。
当然,光有RVA是不够的,还需要知道基址,即0x7C800000。
所以计算得出了ExitProcess()的地址为0x7C81CAFA,WinExec()的地址为0x7C8623AD。
五、编写汇编代码
int main()
{
__asm
{
push ebp
mov ebp,esp
//WinExec("calc.exe", 5)
xor eax,eax //eax清0
push eax //“0x00”,用于分割字符串
mov eax,0x6578652e //".exe"
push eax
mov eax,0x636c6163 //"calc"
push eax
mov eax,esp
push 5 //arg2=SW_SHOW
push eax //arg1="calc.exe"
mov eax,0x7c8623ad //WinExec的地址
call eax
//ExitProcess(0)
xor eax,eax
push eax //arg1=0
mov eax,0x7c81cafa //ExitProcess的地址
call eax
mov esp,ebp
pop ebp
}
return 0;
}
测试结果:
六、提取机器码
用OD加载程序,二进制复制,再粘贴到的的WinHex中。
提取机器码,并测试:
unsigned char shellcode[]=
"/x55/x8B/xEC/x33"
"/xC0/x50/xB8/x2E"
"/x65/x78/x65/x50"
"/xB8/x63/x61/x6C"
"/x63/x50/x8B/xC4"
"/x6A/x05/x50/xB8"
"/xAD/x23/x86/x7C"
"/xFF/xD0/x33/xC0"
"/x50/xB8/xFA/xCA"
"/x81/x7C/xFF/xD0"
"/x8B/xE5/x5D/x33";
int main()
{
__asm
{
lea eax,shellcode
call eax
}
return 0;
}
至此,一段用硬编码的shellcode的就完成了(@ _ @)!
参考链接:https://www.cnblogs.com/toorist/p/4428340.html