https://www.cnblogs.com/theseventhson/p/13236421.html  这里介绍了利用回调函数执行shellcode的基本原理;这里介绍另外一种利用回调执行shellcode的方法:kernelcallbacktable;从字面意思看,kernelcallbacktable应该有如下几个特点:

  • 首先是个table,table里面装满了各个回调函数的入口;
  • 其次:既然是kernelcallback,应该是被内核回调的,那么内核在什么时候才会回调这些函数了?众说周知,windows操作系统的基石就是无数个展现在用户界面的窗口(所以该操作系统才得名windows的嘛),窗口之间是需要互相通信的,窗口和系统其他模块之间也是要互相通信的, table里的这些函数通常用于窗口响应各种不同类型的消息。例如,A窗口给B窗口发送WM_COPYDATA消息,B窗口就会执行_fnCOPYDATA函数(shellcode注入关键点就在这了:在目标进程写入shellcode,然后让_fnCOPYDATA指向shellcode的入口);而当一个键盘消息来了,收到消息的窗口就会执行__ClientImmProcessKey;
  • kernelcallbacktable在哪了?既然目标进程选explorer,就从这里开始逐个查看

(1)先看看explorer的各种数据,发现peb在008e1000这里;

kd> !process 0 0 explorer.exe
PROCESS ffff9006c6645080
SessionId: 1 Cid: 09cc Peb: 008e1000 ParentCid: 09b4
DirBase: 48555000 ObjectTable: ffffb789d5512040 HandleCount: 3177.
Image: explorer.exe

(2)继续查看PEB的内容:在偏移0x58处找到exlporer进程的内核回调表:

kd> dt _PEB 008e1000
nt!_PEB
+0x000 InheritedAddressSpace : 0 ''
+0x001 ReadImageFileExecOptions : 0 ''
+0x002 BeingDebugged : 0 ''
+0x003 BitField : 0x4 ''
................................................
+0x054 Padding1 : [4] ""
+0x058 KernelCallbackTable : 0x00007ffa`ef0e31e0 Void

(3)继续查看这个表的内容:根据上面回调函数表的地址继续查表内函数地址,如下:

kd> dps 00007ffa`ef0e31e0
00007ffa`ef0e31e0 00007ffa`ef07e3e0
00007ffa`ef0e31e8 00007ffa`ef0da990
00007ffa`ef0e31f0 00007ffa`ef081990
00007ffa`ef0e31f8 00007ffa`ef086a90
00007ffa`ef0e3200 00007ffa`ef0860b0
00007ffa`ef0e3208 00007ffa`ef0daf00
00007ffa`ef0e3210 00007ffa`ef087450
00007ffa`ef0e3218 00007ffa`ef0dad20
00007ffa`ef0e3220 00007ffa`ef0db1b0
00007ffa`ef0e3228 00007ffa`ef0dadd0
00007ffa`ef0e3230 00007ffa`ef083e40
00007ffa`ef0e3238 00007ffa`ef0dae20
00007ffa`ef0e3240 00007ffa`ef088b30
00007ffa`ef0e3248 00007ffa`ef0db350
00007ffa`ef0e3250 00007ffa`ef0db350
00007ffa`ef0e3258 00007ffa`ef08eb50

     (4)查看第一个函数,也就是_fnCOPYDATA代码如下:
kd> u 00007ffa`ef07e3e0
00007ffa`ef07e3e0 4883ec58 sub rsp,58h
00007ffa`ef07e3e4 33c0 xor eax,eax
00007ffa`ef07e3e6 4c8bd1 mov r10,rcx
00007ffa`ef07e3e9 89442438 mov dword ptr [rsp+38h],eax
00007ffa`ef07e3ed 4889442440 mov qword ptr [rsp+40h],rax
00007ffa`ef07e3f2 394108 cmp dword ptr [rcx+8],eax
00007ffa`ef07e3f5 740b je 00007ffa`ef07e402
00007ffa`ef07e3f7 48394120 cmp qword ptr [rcx+20h],rax

(5)只要把这个函数的内容换成我们自己的shellcode就行,代码下面会贴出来,这里先下个断点:

kd> bp 00007ffa`ef07e3e0

(6)执行代码,成功断了下来:

kd> g
Breakpoint 0 hit
0033:00007ffa`ef07e3e0 4883ec58 sub rsp,58h
kd> k
# Child-SP RetAddr Call Site
00 00000000`056ff398 00007ff8`bbbc3b14 0x00007ffa`ef07e3e0
01 00000000`056ff3a0 00000000`00000000 0x00007ff8`bbbc3b14

F5放过去继续执行,成功弹出了记事本:

     (7)KernelCallBackTable如下,全是内核回调函数:

typedef struct _KERNELCALLBACKTABLE_T {

    ULONG_PTR __fnCOPYDATA;

    ULONG_PTR __fnCOPYGLOBALDATA;

    ULONG_PTR __fnDWORD;

    ULONG_PTR __fnNCDESTROY;

    ULONG_PTR __fnDWORDOPTINLPMSG;

    ULONG_PTR __fnINOUTDRAG;

    ULONG_PTR __fnGETTEXTLENGTHS;

    ULONG_PTR __fnINCNTOUTSTRING;

    ULONG_PTR __fnPOUTLPINT;

    ULONG_PTR __fnINLPCOMPAREITEMSTRUCT;

    ULONG_PTR __fnINLPCREATESTRUCT;

    ULONG_PTR __fnINLPDELETEITEMSTRUCT;

    ULONG_PTR __fnINLPDRAWITEMSTRUCT;

    ULONG_PTR __fnPOPTINLPUINT;

    ULONG_PTR __fnPOPTINLPUINT2;

    ULONG_PTR __fnINLPMDICREATESTRUCT;

    ULONG_PTR __fnINOUTLPMEASUREITEMSTRUCT;

    ULONG_PTR __fnINLPWINDOWPOS;

    ULONG_PTR __fnINOUTLPPOINT5;

    ULONG_PTR __fnINOUTLPSCROLLINFO;

    ULONG_PTR __fnINOUTLPRECT;

    ULONG_PTR __fnINOUTNCCALCSIZE;

    ULONG_PTR __fnINOUTLPPOINT5_;

    ULONG_PTR __fnINPAINTCLIPBRD;

    ULONG_PTR __fnINSIZECLIPBRD;

    ULONG_PTR __fnINDESTROYCLIPBRD;

    ULONG_PTR __fnINSTRING;

    ULONG_PTR __fnINSTRINGNULL;

    ULONG_PTR __fnINDEVICECHANGE;

    ULONG_PTR __fnPOWERBROADCAST;

    ULONG_PTR __fnINLPUAHDRAWMENU;

    ULONG_PTR __fnOPTOUTLPDWORDOPTOUTLPDWORD;

    ULONG_PTR __fnOPTOUTLPDWORDOPTOUTLPDWORD_;

    ULONG_PTR __fnOUTDWORDINDWORD;

    ULONG_PTR __fnOUTLPRECT;

    ULONG_PTR __fnOUTSTRING;

    ULONG_PTR __fnPOPTINLPUINT3;

    ULONG_PTR __fnPOUTLPINT2;

    ULONG_PTR __fnSENTDDEMSG;

    ULONG_PTR __fnINOUTSTYLECHANGE;

    ULONG_PTR __fnHkINDWORD;

    ULONG_PTR __fnHkINLPCBTACTIVATESTRUCT;

    ULONG_PTR __fnHkINLPCBTCREATESTRUCT;

    ULONG_PTR __fnHkINLPDEBUGHOOKSTRUCT;

    ULONG_PTR __fnHkINLPMOUSEHOOKSTRUCTEX;

    ULONG_PTR __fnHkINLPKBDLLHOOKSTRUCT;

    ULONG_PTR __fnHkINLPMSLLHOOKSTRUCT;

    ULONG_PTR __fnHkINLPMSG;

    ULONG_PTR __fnHkINLPRECT;

    ULONG_PTR __fnHkOPTINLPEVENTMSG;

    ULONG_PTR __xxxClientCallDelegateThread;

    ULONG_PTR __ClientCallDummyCallback;

    ULONG_PTR __fnKEYBOARDCORRECTIONCALLOUT;

    ULONG_PTR __fnOUTLPCOMBOBOXINFO;

    ULONG_PTR __fnINLPCOMPAREITEMSTRUCT2;

    ULONG_PTR __xxxClientCallDevCallbackCapture;

    ULONG_PTR __xxxClientCallDitThread;

    ULONG_PTR __xxxClientEnableMMCSS;

    ULONG_PTR __xxxClientUpdateDpi;

    ULONG_PTR __xxxClientExpandStringW;

    ULONG_PTR __ClientCopyDDEIn1;

    ULONG_PTR __ClientCopyDDEIn2;

    ULONG_PTR __ClientCopyDDEOut1;

    ULONG_PTR __ClientCopyDDEOut2;

    ULONG_PTR __ClientCopyImage;

    ULONG_PTR __ClientEventCallback;

    ULONG_PTR __ClientFindMnemChar;

    ULONG_PTR __ClientFreeDDEHandle;

    ULONG_PTR __ClientFreeLibrary;

    ULONG_PTR __ClientGetCharsetInfo;

    ULONG_PTR __ClientGetDDEFlags;

    ULONG_PTR __ClientGetDDEHookData;

    ULONG_PTR __ClientGetListboxString;

    ULONG_PTR __ClientGetMessageMPH;

    ULONG_PTR __ClientLoadImage;

    ULONG_PTR __ClientLoadLibrary;

    ULONG_PTR __ClientLoadMenu;

    ULONG_PTR __ClientLoadLocalT1Fonts;

    ULONG_PTR __ClientPSMTextOut;

    ULONG_PTR __ClientLpkDrawTextEx;

    ULONG_PTR __ClientExtTextOutW;

    ULONG_PTR __ClientGetTextExtentPointW;

    ULONG_PTR __ClientCharToWchar;

    ULONG_PTR __ClientAddFontResourceW;

    ULONG_PTR __ClientThreadSetup;

    ULONG_PTR __ClientDeliverUserApc;

    ULONG_PTR __ClientNoMemoryPopup;

    ULONG_PTR __ClientMonitorEnumProc;

    ULONG_PTR __ClientCallWinEventProc;

    ULONG_PTR __ClientWaitMessageExMPH;

    ULONG_PTR __ClientWOWGetProcModule;

    ULONG_PTR __ClientWOWTask16SchedNotify;

    ULONG_PTR __ClientImmLoadLayout;

    ULONG_PTR __ClientImmProcessKey;

    ULONG_PTR __fnIMECONTROL;

    ULONG_PTR __fnINWPARAMDBCSCHAR;

    ULONG_PTR __fnGETTEXTLENGTHS2;

    ULONG_PTR __fnINLPKDRAWSWITCHWND;

    ULONG_PTR __ClientLoadStringW;

    ULONG_PTR __ClientLoadOLE;

    ULONG_PTR __ClientRegisterDragDrop;

    ULONG_PTR __ClientRevokeDragDrop;

    ULONG_PTR __fnINOUTMENUGETOBJECT;

    ULONG_PTR __ClientPrinterThunk;

    ULONG_PTR __fnOUTLPCOMBOBOXINFO2;

    ULONG_PTR __fnOUTLPSCROLLBARINFO;

    ULONG_PTR __fnINLPUAHDRAWMENU2;

    ULONG_PTR __fnINLPUAHDRAWMENUITEM;

    ULONG_PTR __fnINLPUAHDRAWMENU3;

    ULONG_PTR __fnINOUTLPUAHMEASUREMENUITEM;

    ULONG_PTR __fnINLPUAHDRAWMENU4;

    ULONG_PTR __fnOUTLPTITLEBARINFOEX;

    ULONG_PTR __fnTOUCH;

    ULONG_PTR __fnGESTURE;

    ULONG_PTR __fnPOPTINLPUINT4;

    ULONG_PTR __fnPOPTINLPUINT5;

    ULONG_PTR __xxxClientCallDefaultInputHandler;

    ULONG_PTR __fnEMPTY;

    ULONG_PTR __ClientRimDevCallback;

    ULONG_PTR __xxxClientCallMinTouchHitTestingCallback;

    ULONG_PTR __ClientCallLocalMouseHooks;

    ULONG_PTR __xxxClientBroadcastThemeChange;

    ULONG_PTR __xxxClientCallDevCallbackSimple;

    ULONG_PTR __xxxClientAllocWindowClassExtraBytes;

    ULONG_PTR __xxxClientFreeWindowClassExtraBytes;

    ULONG_PTR __fnGETWINDOWDATA;

    ULONG_PTR __fnINOUTSTYLECHANGE2;

    ULONG_PTR __fnHkINLPMOUSEHOOKSTRUCTEX2;

} KERNELCALLBACKTABLE;

参考:https://zhuanlan.zhihu.com/p/40368047

https://modexp.wordpress.com/2018/07/15/process-injection-sharing-payload/  内核回调函数机制详解

https://github.com/odzhan/injection/tree/master/kct  代码和shellcode(注意要编译成64位的,否则无法执行shellcode)

windows:shellcode 远程线程hook/注入(四)的更多相关文章

  1. windows:shellcode 远程线程hook/注入(一)

    https://www.cnblogs.com/theseventhson/p/13199381.html 上次分享了通过APC注入方式,让目标线程运行shellcode.这么做有个前提条件:目标线程 ...

  2. windows:shellcode 远程线程hook/注入(三)

    今天介绍第三种远程执行shellcode的思路:函数回调: 1.所谓回调,简单理解: windows出厂时,内部有很多事务的处理无法固化(无法100%预料外部会遇到哪些情况),只能留下一堆的接口,让开 ...

  3. windows:shellcode 远程线程hook/注入(二)

    https://www.cnblogs.com/theseventhson/p/13218651.html   上次分享了基本的远程注入方法,遗留了一个问题:shellcode执行完后怎么回到线程su ...

  4. windows:shellcode 远程线程hook/注入(五)

    前面几篇文章介绍了通过APC注入.进程注入.windows窗口处理函数回调.kernercallback回调执行shellcode,今天继续介绍通过heap Spray(翻译成中文叫堆喷射)执行she ...

  5. 《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

    windows内的各个进程有各自的地址空间.它们相互独立互不干扰保证了系统的安全性.但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作.虽然他们是为调试 ...

  6. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

  7. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  8. Dll注入:X86/X64 远程线程CreateRemoteThread 注入

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的L ...

  9. 实现远程线程DLL注入

    ### 32位:远程线程注入 远程线程注入是最常用的一种注入技术,该技术利用的核心API是 `CreateRemoteThread()` 这个API可以运行远程线程,其次通过创建的线程调用 `Load ...

随机推荐

  1. MySQL实验 子查询优化双参数limit

    MySQL实验 子查询优化双参数limit 没想到双参数limit还有优化的余地,为了亲眼见到,今天来亲自实验一下.   实验准备 使用MySQL官方的大数据库employees进行实验,导入该示例库 ...

  2. (四)ansible 通过堡垒机访问内网服务器

    场景:     在ansible的使用过程中,存在这样的场景,ansible所在的管理节点与被管理的机器需要 通过一个跳板机才能连接,无法直接连接.要解决这个问题,并不需要在 ansible里做什么处 ...

  3. 代码注入——c++代码注入

    代码注入之——c++代码注入 0x00  代码注入和DLL注入的区别 DLL注入后DLL会通过线程常驻在某个process中,而代码注入完成之后立即消失. 代码注入体积小,不占内存 0x01  通过c ...

  4. Java 项目创建 -- 统一结果处理、统一异常处理、统一日志处理

    一.IDEA 插件使用 1.说明 此处使用 SpringBoot 2.2.6 .JDK 1.8 .mysql 8.0.18 作为演示. 使用 IDEA 作为开发工具. 2.IDEA 插件 -- Lom ...

  5. 使用IDEA创建Spring boot项目,继承mybaits。并进行简单的数据库查询操作

    本文讲的是使用IEDA创建Spring boot项目,对于环境安装需要自行准备,如JDK1.8.Maven 3.3.IDEA编译器.Mysql5.7等需事前准备好. 1.创建Spring boot项目 ...

  6. linux专题(二):走近Linux系统 (2020-04-08 10:08)

    http://dwz.date/UDf 走近Linux系统 开机登录 开机会启动许多程序.它们在Windows叫做"服务"(service),在Linux就叫做"守护进程 ...

  7. 使用OpenCV对图片进行特征点检测和匹配(C++)

    背景 最近从不同网站下载了非常多的动漫壁纸,其中有一些内容相同,但是大小.背景颜色.色调.主人公的位置不同(例子如下).正因为如此,基础的均方误差.直方图检测等方法很难识别出这些相似的图片. 思路 O ...

  8. Ubuntu18.04安装GitLab搭建私有仓库服务器过程笔记

      百度了很多资料结果折腾很久还没安装成功,索性就直接上官网找文档参考顺利搭建完成 因为有2台服务器做练习,总结了2种安装方式提供参考:第一种官网安装方式,第二种国内镜像安装方式(建议采用第二种) 第 ...

  9. 印象笔记如何使用二次验证码/虚拟MFA/两步验证/谷歌验证器?

    一般点账户名——设置——安全设置中开通虚拟MFA两步验证 具体步骤见链接  印象笔记如何使用二次验证码/虚拟MFA/两步验证/谷歌验证器? 二次验证码小程序于谷歌身份验证器APP的优势 1.无需下载a ...

  10. 检查string是否有重复尝试用map

    链接: 题意:输入一些单词,找出所有满足如下条件的单词:该单词不能通过字母重排,得到输入文本的另外一个单词.在判断是否满足条件时,字母不分大小写,但在输出时应保留输入的大小写,按字典序排列. 题解:先 ...