[远程Call]32位远程多参数带返回调用

引子

在Windows上可以使用CreateRemoteThread实现远程Call,但是有不带返回值且只能传递一个参数的限制。

解决思路

将多个参数利用VirtualAllocEx和WriteProcessMemory写入目标程序,再通过此方法注入一段shellcode,通过shellcode完成多参数的调用。

核心shellcode
push var_1

...

push var_n

mov eax,function_addr

/*

如果为 cdcel则需要平栈

add esp,count_param

*/

call eax
实现c++代码
#include <iostream>

#include <Windows.h>

#include <vector>

#include <thread>

using namespace std;

LPVOID RemoteNew(HANDLE hProcess, PUCHAR data,size_t size)

{

    auto hMem=VirtualAllocEx(hProcess, NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    if (hMem == NULL)

    {

        return FALSE;

    }

    if (WriteProcessMemory(hProcess, hMem, data, size,NULL) == FALSE)

    {

        VirtualFreeEx(hProcess, hMem, 0, MEM_RELEASE);

        return FALSE;

    }

    return hMem;

}

BOOL RemoteCall(

    HANDLE hProcess,

    LPVOID remoteFuncAddr,

    vector<LPVOID> param,

    bool cdcelCall,

    bool waitRemoteThread

)

{

    if (remoteFuncAddr == NULL)

        return FALSE;

    vector<UCHAR> shellcode;

    //push 结构

    for (int i = param.size() - 1; i >= 0; i--)//调用栈是个栈

    {

        if (((UINT)param[i]) <= 255) //小参数可以只传低位

            shellcode.push_back(106), shellcode.push_back((UCHAR)param[i]); //push byte

        else

            shellcode.push_back(104), shellcode.insert(shellcode.end(), (PUCHAR)&param[i], (PUCHAR)(&param[i] + 1)); //push dword

    }

    //把addr塞入寄存器

    shellcode.push_back(184); //mov

    shellcode.insert(shellcode.end(), (PUCHAR)&remoteFuncAddr, (PUCHAR)(&remoteFuncAddr + 1)); //eax,addr

    shellcode.push_back(255),shellcode.push_back(208);//call eax

    if (cdcelCall)

    {

        size_t paramSize = param.size() * sizeof(LPVOID);

        //cdcel是函数调用后平栈,stdcall是函数自己平

        shellcode.push_back(129), shellcode.push_back(196);//add esp

        shellcode.insert(shellcode.end(), (PUCHAR)&paramSize, (PUCHAR)(&paramSize + 1));

    }

    shellcode.push_back(195);//ret

    auto shellcodeAddr=RemoteNew(hProcess, shellcode.data(), shellcode.size() * sizeof(UCHAR));

    if (shellcodeAddr == NULL)

        return FALSE;

    auto hThread=CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)shellcodeAddr, NULL, NULL, NULL);

    if (hThread == NULL)

    {

        VirtualFreeEx(hProcess, shellcodeAddr, 0, MEM_RELEASE);

        return FALSE;

    }

    thread waiter([hThread, hProcess, shellcodeAddr] {

        WaitForSingleObject(hThread, INFINITE);

        VirtualFreeEx(hProcess, shellcodeAddr, 0, MEM_RELEASE);

        DWORD retCode;

        GetExitCodeThread(hThread, &retCode);

        cout <<"Ret: " << retCode << endl;

    });

    if (waitRemoteThread)

        waiter.join();

    else

        waiter.detach();

    return TRUE;

}

int add(int a, int b)

{

    return a + b;

}

int main()

{

    char a[] = "hello world";

    char b[] = "C++ YES";

    //-1是自己

    RemoteCall((HANDLE)-1, add, { (LPVOID)1,(LPVOID)3 }, true, true);

    auto p1 = RemoteNew((HANDLE)-1, (PUCHAR)a, sizeof(a));

    auto p2 = RemoteNew((HANDLE)-1, (PUCHAR)b, sizeof(b));

    RemoteCall((HANDLE)-1, MessageBoxA, { 0, p1,p2,(LPVOID)64 }, true, true);

    std::cout << "Hello World!\n";

    Sleep(-1);

}
实现缺陷

  1. 目前只能实现32位的远程调用,64位新增了内存的可执行权限,这样注入的shellcode没法执行。

  2. 返回值只能接受32位整数,其实实现64位整数和浮点的方法也不复杂,都可以用汇编把对应寄存器的值写到内存里,但是情况比较多,懒得写了。

[远程Call]32位远程多参数带返回调用的更多相关文章

  1. VBA: 带参数带返回值的函数

    Function pda(x) a = x If Len(a) = 1 Then ab = "00" & a ElseIf Len(a) = 2 Then ab = &qu ...

  2. 32位的Win7系统下安装64位的Sql Sever?

    来自:http://zhidao.baidu.com/link?url=nQBoaLgoOyYCUdI7V4WZCMlTW3tKscdkOnLTIvlYtPpwoVhQkSahq44HeofBfzFT ...

  3. Linux:使用rpcgen实现64位程序调用32位库函数

    摘要:本文介绍使用rpcgent实现64位程序调用32位库函数的方法,并给出样例代码. 我的问题 我的程序运行在64位Linux系统上,需要使用一个从外部获得的共享库中的函数,这个共享库是32位的,无 ...

  4. IOS是否存在32位和64位版本的区分

    苹果于2013年9月推出了iPhone 5S新手机,采用的全新A7处理器其最大特色就是支持64位运算.其64位A7处理器的使用意味着iPhone性能会大有提高,性能和速度更加出色:而要到达到这样的性能 ...

  5. CLR调试报错“Visual Studio远程调试监视器 (MSVSMON.EXE) 的 64 位版本无法调试 32 位进程或 32 位转储。请改用 32 位版本”的解决

    Win7 64位电脑上进行visual studio的数据库项目的CLR存储过程进行调试时,报错: ---------------------------Microsoft Visual Studio ...

  6. Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储

    在VS2013中调试Silverlight项目时,提示:无法附加.Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储.请改用64位版本. ...

  7. 使用visual c++ 2005远程调试64位系统上32位与64位程序

    一直都挺喜欢使用visual c++远程调试代码,它能展现给我们当时代码执行最真实的情景,今天有时间记录一下,以免以后忘了. 远程调试需要在被调试端安装服务器,对于visual c++ 2005来说调 ...

  8. mysql 远程连接不上,bind-address参数配置要求,以及怎么去使得mysql能够允许远程的客户端访问

    刚安装了MySQL服务器,使用远程管理工具总是连接不上,因为知道mysql的默认端口是3306,于是使用telnet连接这个端口,(从这里可以学到telnet是可以这样用的) telnet 192.1 ...

  9. Photoshop做32位带Alpha通道的bmp图片

    原文链接: http://blog.sina.com.cn/s/blog_65c0cae801016e5u.html   批量制作32位带Alpha通道的bmp图片,可以制作一个动作,内容可以如下: ...

  10. 论DATASNAP远程方法支持自定义对象作参数

    论DATASNAP远程方法支持自定义对象作参数 DATASNAP远程方法已经可以支持自定义对象作参数,这是非常方便的功能. 1)自定义对象 type TMyInfo = class(TObject) ...

随机推荐

  1. Django接入drf_yasg2 API接口文档-完整操作(包含错误处理)

    drf_yasg2的简介: drf-yasg是Django RestFramework的一个扩展,使⽤drf_yasg2下载⾃动⽣成的api⽂档的json或yaml⽂件配置项. drf_yasg2的安 ...

  2. CSS文本过长时设置省略号

    写页面时很多时候会遇到一个容器中文本内容超出,使用overflow : hidden;,但是跟用户体验不太友好,设置overflow : scroll; 会出现滚动看着也不爽,所以我就想使用css 设 ...

  3. Linux运维5月2号

    了解安装VMware虚拟机  镜像文件 以及镜像文件安装过程中的设置 vmware安装步骤                                                        ...

  4. 【python基础】基本数据类型-字符串类型

    1.初识字符串 字符串就是一系列字符.在python中,用引号括起来文本内容的都是字符串. 其语法格式为:'文本内容'或者"文本内容" 我们发现其中的引号可以是单引号,也可以是双引 ...

  5. QQ 邮箱设置自定义域名邮箱

    编者有话说 这篇文章来源于2019年12月左右,我在配置 Galaxy 生信分析平台的邮件服务过程中的一个尝试,我最早把它记录在了语雀上面,但由于某些原因一直迟迟没有更新到生信科技爱好者的公众号.直至 ...

  6. 2023-06-13:统计高并发网站每个网页每天的 UV 数据,结合Redis你会如何实现?

    2023-06-13:统计高并发网站每个网页每天的 UV 数据,结合Redis你会如何实现? 答案2023-06-13: 选用方案:HyperLogLog 如果统计 PV (页面浏览量)那非常好办,可 ...

  7. 【whale-starry-stl】01天 list学习笔记

    一.知识点 1. std::bidirectional_iterator_tag std::bidirectional_iterator_tag 是 C++ 标准库中定义的一个迭代器类型标签,用于标识 ...

  8. asp.net程序通过Microsoft Azure中SAML协议实现单点登录

    1. 新建应用程序 登录Azure门户,进入左侧菜单"企业应用程序--所有应用程序",点"新建应用程序", 继续点"创建你自己的应用程序", ...

  9. 倒排Tree树

    倒排Tree树 需求说明为: ​ 树节点存在(标识)或者叶子节点存在标识 都需要展示出来 存在※的节点及其上级节点需要返回 其余节点需要剔除 ​ A() ----------------------- ...

  10. FHQ-Treap的详细图解

    第一部分 按值分裂的 FHQ-Treap 按值分裂的 FHQ-Treap 的典型例题是P3369 [模板]普通平衡树. 思路 FHQ-Treap 是什么? FHQ-Treap 是二叉搜索树的一种. 比 ...