shellcode编写探究

最新推荐文章于 2026-04-19 10:15:02 发布

原创

最新推荐文章于 2026-04-19 10:15:02 发布 · 1.2k 阅读

标签

#开发语言 #c++ #windows #系统安全 #安全

本文探讨了编写ShellCode的基本原则，包括避免全局变量、常量字符串和直接调用系统函数。介绍了通过TEB和PEB结构动态获取API地址的方法，并阐述了如何实现LoadLibrary和GetProcAddress的功能。最后，展示了实现过程及如何绕过堆栈平衡检查。

前言

shellcode是不依赖环境，放到任何地方都可以执行的机器码。shellcode的应用场景很多，本文不研究shellcode的具体应用，而只是研究编写一个shellcode需要掌握哪些知识。

ShellCode编写原则

1、不能有全局变量

因为我们编写shellcode时，使用的全局变量是自己的进程里面的全局变量，注入到别的进程里，这个地址就没用了。

2、不能使用常量字符串

和第一点原因一样，字符串常量值也是全局变量，注入到别的进程里，根本没有这个字符串。

要使用字符串，需要使用字符数组。

char s[] = {'1','2',0};

3、不能直接调用系统函数

调用系统函数的方式是间接调用(FF15)，需要从IAT表里获取API地址，每个进程的IAT表位置不同，且对方的进程可能没有导入你需要调用的函数的DLL，那么你是不能调用这个系统函数的。

所以我们需要用到 LoadLibrary 和 GetProcAddress 这两个函数，来动态获取系统API的函数指针。

但是 LoadLibrary，GetProcAddress 本身就是系统函数，它们本身就依赖IAT表，咋办呢？

解决方案是这样的：通过FS:[0x30] 找到PEB，然后通过PEB里的LDR链表 [PEB+0x0C]找到 kernel32.dll 的地址，然后我们遍历它的 IAT表，找到 LoadLibrary 和 GetProcAddress 函数。

4、不能嵌套调用其他函数

和前两点道理是一样的，本进程里的函数地址，拿到别的进程的虚拟地址空间是无效的。

TEB/PEB

每个线程都有一个TEB结构来存储线程的一些属性结构，TEB的地址用fs:[0]来获取

在0x30这个地址有一个指针指向PEB结构，PEB就是进程用来记录自己信息的一个结构

完整结构如下

在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DATA结构跟进去

可以得到3个结构如下所示

InLoadOrderModuleList：模块加载的顺序

InMemoryOrderModuleList：模块在内存的顺序

InInitializationOrderModuleList：模块初始化的顺序

思路

我们一般使用api会直接使用LoadLibrary和GetProcessAddress，但是这里肯定会依赖IAT表，所以这里我们就需要自己实现api所完成的功能

TEB -> PEB -> PEB + 0x0C -> Ldr _PEB_LDR_DATA -> InLoadOrderModuleList -> kernel32.dll -> 导出表定位GetProcessAddress -> 通过找到的GetProcessAddress实现LoadLibrary

实现过程

首先我们自己定义几个结构体，因为我们不依赖系统自己实现

typedef struct _UNICODE_STRING {
 USHORT Length;
 USHORT MaximumLength;
 PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _PEB_LDR_DATA
{
 DWORD Length;
 bool Initialized;
 PVOID SsHandle; 
 LIST_ENTRY InLoadOrderModuleList;
 LIST_ENTRY InMemoryOrderModuleList;
 LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA,*PPEB_LDR_DATA;

typedef struct _LDR_DATA_TABLE_ENTRY
{
 LIST_ENTRY InLoadOrderLinks;
 LIST_ENTRY InMemoryOrderLinks;
 LIST_ENTRY InInitializationOrderLinks;
&n

最低0.47元/天解锁文章