隐形Shellcode注入:利用 Windows Forking 绕过内存保护

admin
admin
admin
138325
文章
113
评论
2024年11月3日22:30:55评论19 views字数 1004阅读3分20秒阅读模式

隐形Shellcode注入:利用 Windows Forking 绕过内存保护

RWX_MEMEORY_HUNT_AND_INJECTION_DV

滥用 Windows fork API 和 OneDrive.exe 进程注入恶意 shellcode,而无需分配新的 RWX 内存区域。此技术是在已运行的进程(本例中为 OneDrive.exe)中找到 RWX 区域,然后将 shellcode 写入该区域并执行它,而无需调用 VirtualProtect、VirtualAllocEx、VirtualAlloc。

用法

只需编译程序并运行(EXE),无需任何参数。

步骤

  • 在运行的进程中找到OneDrive.exe。

  • 获取OneDrive.exe的句柄。

  • 查询远程进程内存信息。

  • 寻找 RWX 内存区域。

  • 将 shellcode 写入 OneDrive.exe 的找到区域中

  • 将 OneDrive.exe 分叉到一个新的进程中。

  • 将分叉进程的起始地址设置为克隆的shellcode。

  • 执行后终止克隆的进程。

Shell code 代码

此技术适用于基于 ntdll 的 shellcode,它不依赖于任何部分。我使用https://github.com/rainerzufalldererste/windows_x64_shellcode_template来生成我的 shellcode。

Shellcode 创建

  • 根据https://github.com/rainerzufalldererste/windows_x64_shellcode_template上的说明编辑 shellcode 模板文件函数“shellcode_template”

  • 编译代码并在任何十六进制编辑器(HxD)中打开.EXE 文件

  • 提取 .text 部分并在给定的项目文件中使用它。

  • 要提取 shellcode,存储库中还解释了其他方法。

仅用于教育目的。

演示

https://www.linkedin.com/posts/usman-sikander13_%3F%3F%3F-%3F%3F%3F%3F%3F%3F-activity-7196426924351488001-RXOk?utm_source=share&utm_medium=member_desktop

项目地址:
https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV

隐形Shellcode注入:利用 Windows Forking 绕过内存保护

原文始发于微信公众号(Ots安全):隐形Shellcode注入:利用 Windows Forking 绕过内存保护

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月3日22:30:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   隐形Shellcode注入:利用 Windows Forking 绕过内存保护https://cn-sec.com/archives/3350289.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息