首页
论坛
课程
招聘
[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护
2018-9-20 08:36 29034

[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护

2018-9-20 08:36
29034
论坛上内存注入的帖子不止三两个,来来去去也就那样.
无非抄来抄去说原创.
我也是抄的,不敢说原创,但是牛逼还是说的过去.
支持注入任意进程,包括csrss,前提是你能有读写进程内存的权限.
看到MemLoadLibrary2注释的人,如果觉得有点熟悉,那你一定老了.
哈哈哈,因为这个MemLoadLibrary2的原型,没记错的话,应该是2009年以前的一个memoryloaddll.具体是谁写的我也不懂了.
包括现在的论坛上出现的各种MemoryLoad,我基本上都能看到这个 memoryloaddll的身影.

整体源码很简单,就两个文件,loader2.h和MainLoad.cpp.
loader2.h 是主要功能,包含:
MemLoadLibrary2 ()//为了方便提取shellcode,把重定位修复什么的都写到了这一个函数里面去了,而且只有一个return 返回;
同时为了能实现注入csrss.exe,把所有的Windows API 都弄成了NTDLL的API.

MainLoad.cpp是调用例子,里面包含:
SaveShellCode();//提取shellcode写到文件.
test1();//直接调用 MemLoadLibrary2();内存加载DLL
test2(); //获取 SaveShellCode 保存的shellcode,远程调用shellcode内存注入DLL
选择EXE和DLL各编译一次,生成对应的x86或者x64的EXE和DLL运行就能看到效果了.

源码里有很详细的注释了.这里就不贴源码解释了,都放在附件里.




SaveShellCode ()保存起来的shellcode可以直接拿到什么易语言,驱动之类的去用,只要参数传的对了,就没毛病

再给新手说下shellcode提取,要设置项目属性->C/C++->代码生成->安全检查=禁用安全检查.

项目本身就设置好了,直接用就行了.


面对当前各种安全检测,单纯的内存注入是行不通的.具体要怎么处理,还是得靠自己多转变下思维.

最后,祝大家中秋家家团圆开开心心幸福美满.



第五届安全开发者峰会(SDC 2021)议题征集正式开启!

上传的附件:
收藏
点赞5
打赏
分享
最新回复 (60)
雪    币: 4826
活跃值: 活跃值 (658)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
lononan 活跃值 2018-9-20 08:55
2
1
//释放掉申请的内存
VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE);
刚刚写错了个东西.
雪    币: 36
活跃值: 活跃值 (239)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
芃杉 活跃值 2018-9-20 09:08
3
0
mark,楼主辛苦
雪    币: 2200
活跃值: 活跃值 (179)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
youxiaxy 活跃值 2018-9-20 10:36
4
0
mark,楼主辛苦
雪    币: 3285
活跃值: 活跃值 (629)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
syser 活跃值 2018-9-20 10:46
5
0
看到标题 我以为你能把VM后的PE 某个特定代码 提取成shellcode注入 确实牛逼哄哄的
结果一看... 好吧 就是注入个DLL 只是自己重定位而已... 而且处理也比较简单
但是楼主说牛逼哄哄 那就哄哄吧!!!
雪    币: 37
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ccj 活跃值 2018-9-21 20:08
6
0
https://github.com/vasco2016/shellsploit-framework
类似这个吗?
雪    币: 58
活跃值: 活跃值 (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wonderzdh 活跃值 1 2018-9-21 20:58
7
0
看了一下代码,展开内存,修重定位,填导入表,并且本身几乎零依赖,一套带走。可以的
雪    币: 4826
活跃值: 活跃值 (658)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
lononan 活跃值 2018-9-22 00:21
8
0
syser 看到标题 我以为你能把VM后的PE 某个特定代码 提取成shellcode注入 确实牛逼哄哄的 结果一看... 好吧 就是注入个DLL 只是自己重定位而已... 而且处理也比较简单 但是楼主说牛逼 ...
这套源码,原本使用起来就很方便,嵌入其他项目也很简单,动点脑子,处理下多余的信息,过任何注入检测没毛病.
有脑子的自然会用,没脑子的,也就这样.
雪    币: 5411
活跃值: 活跃值 (664)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jgs 活跃值 2018-9-22 08:17
9
0
收下学习,谢谢楼主提供
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小号巴顿 活跃值 2018-9-22 08:19
10
0
怎么用,有三方dll
雪    币: 5963
活跃值: 活跃值 (593)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xie风腾 活跃值 2018-9-22 09:36
11
0

多谢楼主分享哟
雪    币: 1031
活跃值: 活跃值 (280)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Rookietp 活跃值 2018-9-22 11:19
12
0
mark . 代码比较容易理解.
雪    币: 159
活跃值: 活跃值 (708)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
fengyunabc 活跃值 1 2018-9-22 21:14
13
0
感谢分享!
雪    币: 49
活跃值: 活跃值 (168)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
化魔 活跃值 2018-9-23 16:14
14
0
留个脚印!看来楼主有过注入检测的办法了,为什么不分享学习呢。
雪    币: 31
活跃值: 活跃值 (228)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2018-9-23 16:28
15
0
mark,楼主辛苦
雪    币: 32
活跃值: 活跃值 (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
aimhack 活跃值 2018-9-23 23:35
16
0
mark
雪    币: 1316
活跃值: 活跃值 (322)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
开花的水管 活跃值 2018-9-25 15:38
17
0
mark
雪    币: 1689
活跃值: 活跃值 (496)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2018-9-25 15:43
18
0
没看到啥牛逼哄哄的东西。。。  
只是向远程进程写了个 内存加载的shellcode 和 需要内存加载DLL,然后创建个远线调用了。
雪    币: 210
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小青峰 活跃值 2018-9-25 16:11
19
0
mark
雪    币: 410
活跃值: 活跃值 (89)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
rockhard 活跃值 4 2018-9-25 18:04
20
0
留个脚印,备不时之需
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
青云之子 活跃值 2018-9-25 18:54
21
0
留下脚印
雪    币: 2
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kellygod 活跃值 2018-9-25 19:26
22
0
mark
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yangsuai 活跃值 2018-9-25 19:30
23
0
这个win10远线注入也支持么?
雪    币: 203
活跃值: 活跃值 (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ricroon 活跃值 2018-9-25 22:42
24
0
感谢好好研究一下
雪    币: 8
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MRRighter 活跃值 2018-9-27 12:47
25
0
牛逼 6666
游客
登录 | 注册 方可回帖
返回