首页
论坛
专栏
课程

[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护

2018-9-20 08:36 20387

[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护

2018-9-20 08:36
20387
论坛上内存注入的帖子不止三两个,来来去去也就那样.
无非抄来抄去说原创.
我也是抄的,不敢说原创,但是牛逼还是说的过去.
支持注入任意进程,包括csrss,前提是你能有读写进程内存的权限.
看到MemLoadLibrary2注释的人,如果觉得有点熟悉,那你一定老了.
哈哈哈,因为这个MemLoadLibrary2的原型,没记错的话,应该是2009年以前的一个memoryloaddll.具体是谁写的我也不懂了.
包括现在的论坛上出现的各种MemoryLoad,我基本上都能看到这个 memoryloaddll的身影.

整体源码很简单,就两个文件,loader2.h和MainLoad.cpp.
loader2.h 是主要功能,包含:
MemLoadLibrary2 ()//为了方便提取shellcode,把重定位修复什么的都写到了这一个函数里面去了,而且只有一个return 返回;
同时为了能实现注入csrss.exe,把所有的Windows API 都弄成了NTDLL的API.

MainLoad.cpp是调用例子,里面包含:
SaveShellCode();//提取shellcode写到文件.
test1();//直接调用 MemLoadLibrary2();内存加载DLL
test2(); //获取 SaveShellCode 保存的shellcode,远程调用shellcode内存注入DLL
选择EXE和DLL各编译一次,生成对应的x86或者x64的EXE和DLL运行就能看到效果了.

源码里有很详细的注释了.这里就不贴源码解释了,都放在附件里.




SaveShellCode ()保存起来的shellcode可以直接拿到什么易语言,驱动之类的去用,只要参数传的对了,就没毛病

再给新手说下shellcode提取,要设置项目属性->C/C++->代码生成->安全检查=禁用安全检查.

项目本身就设置好了,直接用就行了.


面对当前各种安全检测,单纯的内存注入是行不通的.具体要怎么处理,还是得靠自己多转变下思维.

最后,祝大家中秋家家团圆开开心心幸福美满.




2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

上传的附件:
最新回复 (56)
lononan 2018-9-20 08:55
2
1
//释放掉申请的内存
VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE);
刚刚写错了个东西.
芃杉 2018-9-20 09:08
3
0
mark,楼主辛苦
youxiaxy 2018-9-20 10:36
4
0
mark,楼主辛苦
syser 2018-9-20 10:46
5
0
看到标题 我以为你能把VM后的PE 某个特定代码 提取成shellcode注入 确实牛逼哄哄的
结果一看... 好吧 就是注入个DLL 只是自己重定位而已... 而且处理也比较简单
但是楼主说牛逼哄哄 那就哄哄吧!!!
ccj 2018-9-21 20:08
6
0
https://github.com/vasco2016/shellsploit-framework
类似这个吗?
wonderzdh 1 2018-9-21 20:58
7
0
看了一下代码,展开内存,修重定位,填导入表,并且本身几乎零依赖,一套带走。可以的
lononan 2018-9-22 00:21
8
0
syser 看到标题 我以为你能把VM后的PE 某个特定代码 提取成shellcode注入 确实牛逼哄哄的 结果一看... 好吧 就是注入个DLL 只是自己重定位而已... 而且处理也比较简单 但是楼主说牛逼 ...
这套源码,原本使用起来就很方便,嵌入其他项目也很简单,动点脑子,处理下多余的信息,过任何注入检测没毛病.
有脑子的自然会用,没脑子的,也就这样.
jgs 2018-9-22 08:17
9
0
收下学习,谢谢楼主提供
小号巴顿 2018-9-22 08:19
10
0
怎么用,有三方dll
xie风腾 2018-9-22 09:36
11
0

多谢楼主分享哟
Rookietp 2018-9-22 11:19
12
0
mark . 代码比较容易理解.
fengyunabc 1 2018-9-22 21:14
13
0
感谢分享!
化魔 2018-9-23 16:14
14
0
留个脚印!看来楼主有过注入检测的办法了,为什么不分享学习呢。
靴子 2018-9-23 16:28
15
0
mark,楼主辛苦
aimhack 2018-9-23 23:35
16
0
mark
开花的水管 2018-9-25 15:38
17
0
mark
StriveXjun 2018-9-25 15:43
18
0
没看到啥牛逼哄哄的东西。。。  
只是向远程进程写了个 内存加载的shellcode 和 需要内存加载DLL,然后创建个远线调用了。
小青峰 2018-9-25 16:11
19
0
mark
rockhard 4 2018-9-25 18:04
20
0
留个脚印,备不时之需
青云之子 2018-9-25 18:54
21
0
留下脚印
kellygod 2018-9-25 19:26
22
0
mark
yangsuai 2018-9-25 19:30
23
0
这个win10远线注入也支持么?
ricroon 2018-9-25 22:42
24
0
感谢好好研究一下
MRRighter 2018-9-27 12:47
25
0
牛逼 6666
VCKFC 2018-10-7 11:13
26
0
有升级轮子,不是很好的事情吗
ccj 2018-10-7 22:46
27
0
yangsuai 这个win10远线注入也支持么?
在win10下注入64位exe成功,但无法读取主模块内存,获取exe的GetModuleHandle 是00,似乎啥也干不了,我是新手不懂。
刘铠文 2018-10-8 10:41
28
0
Win7注入失败,啥反应都没有,Win10注入成功
刘铠文 2018-10-10 10:53
29
0
lononan 2018-10-10 14:07
30
0
刘铠文
可能是运行库的问题,自己设置下DLL属性再试试.
zhangheil 2018-10-14 19:32
31
0
看到标题 再看下内容 啥时候看雪连内存注入都需要发了 而且还是相当牛逼轰轰的
maxps 2018-10-23 14:01
32
0
这个号哈哈
wkaka 2018-10-24 22:37
33
0
感谢分享
二娃 2018-10-29 18:54
34
0
围观
学习班 2018-11-7 22:37
35
0
谁能不能传个编译好的学习下,自己编译没有环境,谢谢。
学习班 2018-11-7 23:03
36
0
这个注入很实用,就是有些还是没有搞懂,感觉注入比劫持实用,现在劫持比较不容易了,特别是对WIN8,WIN2012等新系统,应该是注入才是王道。
sinkay 2018-11-11 23:12
37
0
留个脚印,备不时之需
学习班 2018-11-12 16:20
38
0
WriteProcessMemory(hProcess, pAddress, pBuffer, fileSize, &dWrited);//DLL数据写入到目标
WriteProcessMemory(hProcess, pAddress+ fileSize, pBuffer2, fileSize2, &dWrited);//shellcode写入到目标
WriteProcessMemory(hProcess, pAddress+ fileSize+ fileSize2, &param, sizeof(PARAMX), &dWrited);//参数写入到目标
请教下楼主:以上三句是不是分别将DLL数据、shellcode和参数分别写入注入目标的基址。
上面的 pAddress这个是注入目标的基址吗?
如果仅仅是修改内存,这里就比较简单了吧!
最后于 2018-11-12 16:22 被学习班编辑 ,原因:
青庭 2018-11-14 08:09
39
0
标记
icesnowwise 2018-11-17 12:50
40
0
我什么时候才能这样优秀
全球首发 2018-11-26 18:04
41
0
lononan //释放掉申请的内存 VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE); 刚刚写错了个东西.[em_19]
不错,要是能添加异常处理就完美了
javacafe 2018-12-16 11:47
42
0
不错,学习了
kongfubull 2018-12-24 18:29
43
0
mark
pingchuan 2019-2-17 19:57
44
0
标记一下,要不老是找不到。
accessdenied 2019-2-17 20:19
45
0
怑情琉璃 2019-2-18 23:29
46
0
学习了        
快乐的萌小萌 2019-2-22 10:33
47
0
lononan //释放掉申请的内存 VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE); 刚刚写错了个东西.[em_19]
大佬可以加个好友吗  Q 26997374
ruoe 2019-3-4 04:22
48
0
此楼层已删除
邓dg 2019-3-4 06:37
49
0
好几把牛逼  膜拜
pureGavin 2019-3-4 09:19
50
0
mark,辛苦了
游客
登录 | 注册 方可回帖
返回