C++代码注入
一、C++代码注入原则:
- 在注入代码中不允许使用API。
- 在注入代码中不允许使用全局变量。
- 在注入代码中不允许使用字符串(编译时也被当做全局变量)。
- 在注入代码中不允许使用函数嵌套。
二、注入代码编写思路:
- 在本进程通过获取 LoadLibraryA 与 GetProcess 函数的地址。
- 涉及一组参数,里面包括 {函数地址、模块地址、函数名、传递参数}。
- 传入进去后,利用LoadLibraryA 与 GetProcess 函数,在注入代码中直接现场"加载模块-获取函数-调用",来达到调用API的目的。
三、编写过程的几个坑:
- 使用typedef定义函数指针,先在msdn搜索函数原型,复制过去,将名字定义成指针并大写。
- 申请内存时的权限,参数的内存使用 PAGE_READWRITE权限;代码的内存使用PAGE_EXECUTE_READWRITE权限,否则代码无法被执行。
- 一定要预先在msdn上搜索确定函数要加载的模块以及函数名,这一步很容易出错。如果出错只能调试被注入程序获取结果,比较麻烦。
四、olldbg调试思路:
- 在 "选项-调试设置-事件"中勾选“中断于新线程”。
- 注入后就可以在新线程上一步步进行调试。
五、源代码(练习了两套,一套是注入MessageBoxA,另一套是注入CreateFileA)
// 代码注入.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
// 代码注入,实现在任意进程注入 messagebox() 这段代码 #include "pch.h"
#include <stdio.h>
#include <Windows.h>
DWORD WINAPI ThreadProc(LPVOID lpParameter);
// 定义传入参数
typedef struct _THREAD_PARAM {
FARPROC pFunc[]; // 存放两个函数 LoadLibraryA ; GetProcess;
char szBuff[][]; // 存放四个参数
}THREAD_PARAM, *PTHREAD_PARAM; // LoadLibraryA函数
typedef HMODULE(WINAPI *PFLOADLIBARAYA)(LPCSTR lpLibFileName); // GetProcAddress()函数
typedef FARPROC(WINAPI *PGETPROCADDRESS)(HMODULE hModule, LPCSTR lpProcName); // MessageBox()函数
typedef int(WINAPI *PMESSAGEBOXA)(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType); // 注入目标进程的线程函数
DWORD WINAPI ThreadProc(LPVOID lpParameter) {
/*
牢记:在代码注入中
1. 不能使用系统函数。
2. 不能使用全局变量。
2. 不能使用字符串(因为这会被当成全局函数)
*/ // 先将传入的参数值取出来
PTHREAD_PARAM pParam = (PTHREAD_PARAM)lpParameter;
HMODULE hMod = NULL;
FARPROC pFunc = NULL; // messageBox这个函数 // 先调用 LoadLibarayA函数来加载user32.dll
hMod = ((PFLOADLIBARAYA)pParam->pFunc[])(pParam->szBuff[]); //LoadLibraryA(kernel32.dll) 先获取模块句柄,在获取 MessageBox这个函数。
if (!hMod) return ;
// 再来调用 GetProcess 得到 MessageBox 这个函数
pFunc = (FARPROC)((PGETPROCADDRESS)pParam->pFunc[])(hMod, pParam->szBuff[]);
if (!pFunc) return ;
// 调用函数来弹出对话框
((PMESSAGEBOXA)pFunc)(NULL, pParam->szBuff[], pParam->szBuff[], MB_OK); return ;
} BOOL InjectCode(DWORD Pid) { THREAD_PARAM param = { , };
LPVOID lpBuffer[] = { , }; // 存储两块开辟内存,一块存储参数,另一块存储代码 // 获取 kernel32.dll模块句柄,因为需要的函数全部存储在此
HMODULE hModule = GetModuleHandleA(("kernel32.dll")); // 初始化传入线程的参数
param.pFunc[] = GetProcAddress(hModule, "LoadLibraryA");
param.pFunc[] = GetProcAddress(hModule, "GetProcAddress");
strcpy_s(param.szBuff[], "user32.dll"); //加载的模块名
strcpy_s(param.szBuff[], "MessageBoxA"); //加载的函数名
strcpy_s(param.szBuff[], "abc"); //传入的第一个参数
strcpy_s(param.szBuff[], "def"); // 传入的第二个参数 //开辟内存,将线程参数传入内存中
HANDLE hProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);
DWORD dwSize = sizeof(THREAD_PARAM); lpBuffer[] = VirtualAllocEx(hProcessHandle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (WriteProcessMemory(hProcessHandle, lpBuffer[], (LPVOID)¶m, dwSize, NULL)) {
printf("第一段代码写入成功\n");
}
else {
printf("第一段代码写入失败,错误码:%d\n", GetLastError());
return FALSE;
} // 开辟内存给线程,并将注入代码写入
dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
lpBuffer[] = VirtualAllocEx(hProcessHandle, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (WriteProcessMemory(hProcessHandle, lpBuffer[], (LPVOID)ThreadProc, dwSize, NULL)) {
printf("第二段代码写入成功\n");
}
else {
printf("第二段代码写入失败,错误码:%d\n", GetLastError());
return FALSE;
} // 开始创建远程线程
HANDLE hThread = CreateRemoteThread(hProcessHandle, NULL, , (LPTHREAD_START_ROUTINE)lpBuffer[], (LPVOID)lpBuffer[], , NULL);
if (hThread) {
printf("线程开始执行!\n");
}
else {
printf("创建远程线程失败,错误码:%d\n", GetLastError());
return FALSE;
}
// 等待线程开始执行
printf("到目前位置成功!");
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hProcessHandle);
CloseHandle(hThread); return TRUE;
} // 拒绝访问时的提权代码
BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
TOKEN_PRIVILEGES tp;
HANDLE hToken;
LUID luid; if (!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
&hToken))
{
wprintf(L"OpenProcessToken error: %u\n", GetLastError());
return FALSE;
} if (!LookupPrivilegeValue(NULL, // lookup privilege on local system
lpszPrivilege, // privilege to lookup
&luid)) // receives LUID of privilege
{
wprintf(L"LookupPrivilegeValue error: %u\n", GetLastError());
return FALSE;
} tp.PrivilegeCount = ;
tp.Privileges[].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;
else
tp.Privileges[].Attributes = ; // Enable the privilege or disable all privileges.
if (!AdjustTokenPrivileges(hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES)NULL,
(PDWORD)NULL))
{
wprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError());
return FALSE;
} if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
{
wprintf(L"The token does not have the specified privilege. \n");
return FALSE;
} return TRUE;
} int main(int argc,char *argv[])
{
//判断参数个数
if (argc != ) {
printf("\n USAGE : %s <pid>\n", argv[]);
return ;
}
if (!SetPrivilege(SE_DEBUG_NAME, TRUE)) {
printf("提权失败!\n");
}
else {
printf("提权成功!\n");
//atol 将字符串转换为数字
if (InjectCode(atol(argv[]))) {
printf("开启成功!\n");
}
else {
printf("开启失败!\n");
}
} getchar();
}
注入调用MessageBoxA()
// 代码注入CreateFile函数.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
// #include "pch.h"
#include <iostream>
#include <Windows.h> // 构建参数
typedef struct _thread_param {
FARPROC pFunc[]; // LoadLibrary / GetProcAddress 函数
// 这里应该存放字符
char szBuffer[][]; // 加载的模块名字 user32.dll / CreateFileA / szFilePath
}THREAD_PARAM,*PTHREAD_PARAM; // 先来构建函数指针
typedef HANDLE (WINAPI *PCREATEFILEA)(
LPCSTR lpFileName,
DWORD dwDesiredAccess,
DWORD dwShareMode,
LPSECURITY_ATTRIBUTES lpSecurityAttributes,
DWORD dwCreationDisposition,
DWORD dwFlagsAndAttributes,
HANDLE hTemplateFile
); // LoadLibrary
typedef HMODULE (WINAPI* PLOADLIBRARYA)(
LPCSTR lpLibFileName
); // GetProcAddress
typedef FARPROC (WINAPI* PGETPROCADDRESS)(
HMODULE hModule,
LPCSTR lpProcName
); // GetProcess
DWORD WINAPI ThreadProc(_In_ LPVOID lpParameter) { // 先取出参数,注意:传入一个指针,对应的也应该生成一个指针变量
PTHREAD_PARAM pParam = (PTHREAD_PARAM)lpParameter; // 注意:loadLibraryA与getprocaddress 在kernel32.dll,这个不用导出,因为我们直接传入其函数地址,直接根据函数指针调用即可 // 调用 LoadLibarayA来获取存放CreateFile模块
HMODULE hModule = (HMODULE)((PLOADLIBRARYA)pParam->pFunc[])(pParam->szBuffer[]);
if (!hModule) return ; // 调用GetPrcAddress来加载模块
FARPROC pFunc = (FARPROC)((PGETPROCADDRESS)pParam->pFunc[])(hModule, pParam->szBuffer[]);
if (!pFunc) return ; // 现在调用CreateFileA函数
((PCREATEFILEA)pFunc)(pParam->szBuffer[], GENERIC_READ | GENERIC_WRITE, , NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); return ;
} BOOL CodeInject(DWORD Pid) { // 我们的思路是获取目标进程句柄,分配-写入,最后再根据地址开启返回线程 // 加载LoadLibraryA和GetProcAddress 两个函数的地址并且初始化参数
THREAD_PARAM param;
HMODULE hMoudle = LoadLibraryA("kernel32.dll");
param.pFunc[] = (FARPROC)GetProcAddress(hMoudle, "LoadLibraryA");
param.pFunc[] = (FARPROC)GetProcAddress(hMoudle, "GetProcAddress");
strcpy_s(param.szBuffer[], "Kernel32.dll");
strcpy_s(param.szBuffer[], "CreateFileA");
strcpy_s(param.szBuffer[], "OneFile.txt"); LPVOID pBuffer[]; // 两个存储目标进程地址的数组。
int Res;
HANDLE hProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid); // 向目标进程分配参数内存,参数内存可读写。
DWORD dwSize = sizeof(THREAD_PARAM);
pBuffer[] = VirtualAllocEx(hProcessHandle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
if (!WriteProcessMemory(hProcessHandle, pBuffer[], (LPVOID)¶m, dwSize, NULL)) {
printf("写入参数失败,错误码:%d", GetLastError());
return FALSE;
} // 向目标进程分配代码内存,参数内存读写-可执行。
dwSize = (DWORD)CodeInject - (DWORD)ThreadProc;
pBuffer[] = VirtualAllocEx(hProcessHandle, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (!WriteProcessMemory(hProcessHandle, pBuffer[], (LPVOID)ThreadProc, dwSize, NULL)) {
printf("写入代码失败,错误码:%d", GetLastError());
return FALSE;
} // 创建远程线程并执行
HANDLE hThread = CreateRemoteThread(hProcessHandle, NULL, , (LPTHREAD_START_ROUTINE)pBuffer[], (LPVOID)pBuffer[], , (LPDWORD )&Res);
if (!hThread) {
printf("创建远程线程失败,错误码:%d", GetLastError());
return FALSE;
}
printf("线程结果:%d\n", Res);
// 关闭资源句柄
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hMoudle);
CloseHandle(hThread); return TRUE;
} BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
TOKEN_PRIVILEGES tp;
HANDLE hToken;
LUID luid; if (!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
&hToken))
{
wprintf(L"OpenProcessToken error: %u\n", GetLastError());
return FALSE;
} if (!LookupPrivilegeValue(NULL, // lookup privilege on local system
lpszPrivilege, // privilege to lookup
&luid)) // receives LUID of privilege
{
wprintf(L"LookupPrivilegeValue error: %u\n", GetLastError());
return FALSE;
} tp.PrivilegeCount = ;
tp.Privileges[].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;
else
tp.Privileges[].Attributes = ; // Enable the privilege or disable all privileges.
if (!AdjustTokenPrivileges(hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES)NULL,
(PDWORD)NULL))
{
wprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError());
return FALSE;
} if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
{
wprintf(L"The token does not have the specified privilege. \n");
return FALSE;
} return TRUE;
} int main(int argc,char*argv[])
{ // 在本地创建一个文件夹
// HANDLE hFile = CreateFileA("一个文件", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
//CloseHandle(hFile);
// 现在实现代码注入,要求在notepad.exe中运行上段代码。 //判断参数个数
if (argc != ) {
printf("\n USAGE : %s <pid>\n", argv[]);
return ;
} if (!SetPrivilege(SE_DEBUG_NAME, TRUE)) {
printf("提权失败!\n");
}
else {
printf("提权成功!\n");
if (CodeInject(atol(argv[]))) {
printf("开启成功1!\n");
}
else {
printf("开启失败!\n");
}
} getchar(); }
注入调用CreateFileA()
C++代码注入的更多相关文章
- 阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法
适用所有用UC整合 阿里云提示漏洞: discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,.......... 漏洞名称:Discuz uc.key泄露导致代 ...
- 【原】iOS动态性(三) Method Swizzling以及AOP编程:在运行时进行代码注入
概述 今天我们主要讨论iOS runtime中的一种黑色技术,称为Method Swizzling.字面上理解Method Swizzling可能比较晦涩难懂,毕竟不是中文,不过你可以理解为“移花接木 ...
- Java链接MySQL练习题:格式化日期、性别;避免代码注入
一.查询人员名单,按序号 姓名 性格(男或女) 民族(某族) 生日(年月日)输出 import java.sql.*; import java.text.SimpleDateFormat; publi ...
- 转:EasyHook远程代码注入
EasyHook远程代码注入 最近一段时间由于使用MinHook的API挂钩不稳定,经常因为挂钩地址错误而导致宿主进程崩溃.听同事介绍了一款智能强大的挂钩引擎EasyHook.它比微软的detours ...
- Android 反编译 代码注入之HelloWorld
为了向经典的"Hello, World"致敬,我们也从一个简单的程序开始HelloWorld.apk.当你把这个APK安装到手机上运行后,在屏幕上就显示一行文字"Hell ...
- apk反编译(4)Smali代码注入
转自 : http://blog.sina.com.cn/s/blog_5674d18801019i89.html 应用场景 Smali代码注入只能应对函数级别的移植,对于类级别的移植是无能为力的.具 ...
- 注入攻击-SQL注入和代码注入
注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险.实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功.虽然这是最明显的组合关系,但是注入攻击带来的不仅 ...
- Method Swizzling以及AOP编程:在运行时进行代码注入-备用
概述 今天我们主要讨论iOS runtime中的一种黑色技术,称为Method Swizzling.字面上理解Method Swizzling可能比较晦涩难懂,毕竟不是中文,不过你可以理解为“移花接木 ...
- 32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式
32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式 一丶RadAsm的配置和使用 用了怎么长时间的命令行方式,我们发现了几个问题 1.没有代码提醒功能 2.编写代码很慢,记不住各 ...
- CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警
11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改.数据泄漏.服务器被远程控 ...
随机推荐
- codeforces 811 C. Vladik and Memorable Trip(dp)
题目链接:http://codeforces.com/contest/811/problem/C 题意:给你n个数,现在让你选一些区间出来,对于每个区间中的每一种数,全部都要出现在这个区间. 每个区间 ...
- CodeForces 55D Beautiful numbers(数位dp+数学)
题目链接:http://codeforces.com/problemset/problem/55/D 题意:一个美丽数就是可以被它的每一位的数字整除的数. 给定一个区间,求美丽数的个数. 显然这是一道 ...
- CF 987C Three displays DP或暴力 第十一题
Three displays time limit per test 1 second memory limit per test 256 megabytes input standard input ...
- VS Code 前端开发常用快捷键插件
一.vs code 的常用快捷键 1.注释:a) 单行注释:[ctrl+k,ctrl+c] 或 ctrl+/ b) 取消单行注释:[ctrl+k,ctrl+u] (按下ctrl不放,再按k + u) ...
- Flask大型项目框架结构理解
导语:前段时间学习狗书的flask大型项目框架结构的时候有点混乱,到现在也知道是个啥了,想着,把关系理一理,写一篇博客.也方便后来学习的人查阅.以下是我创建项目时候的结构. myproject --- ...
- shell中日期循环的方式
第一种 # 这里的例子以周为循环 !/bin/bash begin_date="20160907" end_date="20170226" while [ &q ...
- [ERR] 1118 - Row size too large (> 8126). Changing some columns to TEXT or BLOB may help. In current row format, BLOB prefix of 0 bytes is stored inline.
昨天,在测试新的数据库时,迁移表遇到了这个问题.现在记录一下解决方案. 1.在配置文件中添加关闭严格模式的配置:sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS ...
- 分析spring4和spring5日志中的不同
日志在工作中起到关键作用,我们经常使用它来打印关键信息,方便分析,或者是输出错误信息,用于bug排查,spring中同样使用了日志进行信息的输出,但是spring4和spring5之间的日志又有些不同 ...
- 2019CSP初赛基础知识整理
一.硬件 计算机发展: 年代 元件 第一代 1946~1958 电子管 第二代 1959~1964 晶体管 第三代 1965~1970 集成电路 第四代 1971~? 大规模集成电路 世界上第一台 ...
- 基于SSM后台管理系统/人事管理系统
今天给大家分享一个基于SpringMVC+Mybatis+Mysql的后台管理系统,顾名思义,一个系统一般分为前台和后台,前台主要面向用户,而后台主要面向的则是管理员,后台和前台有所不同,后台的业务一 ...