курил ли кто сабж?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
инжект шк из под х32 в х64 процессы
- Автор темы demien
- Дата начала
давно уже прокурили
include 'win32ax.inc' ;We want to run as a x86 process
.data
szMessageCaption DB "MB", 0
szMessageText32 DB "running on a 32 bit operating system.", 0
.code
proc 64Proc ;x64 code
use64
CALL @F
DB "This was generated using 64 bit ASM code.", 0
@@:
POP RAX
MOV RCX, RAX
use32
RETF
endp
start:
MOV AX, CS
CMP AL, 1Bh ;1Bh -32 bits native, 33h if 64 bits native, 23h for wow64
JE Its32BitsNative
CMP AL, 33h
JE ExitCode
XOR ECX, ECX
CALL 33h:64Proc
invoke MessageBox, 0, ECX, szMessageCaption, MB_OK
JMP ExitCode
Its32BitsNative:
invoke MessageBox, 0, szMessageText32, szMessageCaption, MB_OK
ExitCode:
invoke ExitProcess, 0
.end start
.data
szMessageCaption DB "MB", 0
szMessageText32 DB "running on a 32 bit operating system.", 0
.code
proc 64Proc ;x64 code
use64
CALL @F
DB "This was generated using 64 bit ASM code.", 0
@@:
POP RAX
MOV RCX, RAX
use32
RETF
endp
start:
MOV AX, CS
CMP AL, 1Bh ;1Bh -32 bits native, 33h if 64 bits native, 23h for wow64
JE Its32BitsNative
CMP AL, 33h
JE ExitCode
XOR ECX, ECX
CALL 33h:64Proc
invoke MessageBox, 0, ECX, szMessageCaption, MB_OK
JMP ExitCode
Its32BitsNative:
invoke MessageBox, 0, szMessageText32, szMessageCaption, MB_OK
ExitCode:
invoke ExitProcess, 0
.end start
Выше выполнение 64 битного кода в 32 битном процессе, без WOW 64 работать не будет. А для инжекта нужно просто чтоб шелкод был 64 бита и все.
Кстати если немного поколдовать с 64proc, допустим вычислять в ней чтото важное, на основе чего принимается решение о ветвлении, то скорее всего не всякий эмуль это проглотит). Возможно прокатит, но только под х64
ну это далеко не все) для инжекта помимо шк еще предстоит магия с апишками и тд и тп
Согласна, нужна магия) CreateRemoteThread нужно дернуть 64 битную из kernelbase.dll, а для этого сначала ее нужно подгрузить. чтоб ее подгрузить нам нужна ldrLoadDll 64 битная
ну и нужно смотреть что за ось, т.к. в разных осях магия немного отличается, например в висте нет kernelbase
ну и что. в РЕВ 1й модуль брать и все. это адрес ntdll.dll а этого вполне достаточно, найти адреса ф-ций. все в динамике. и магия станет одна на всех)
Да, верно. Так будет горазда лучше)
статеечку придумал написать как на МАСМе с извращениями это все провернуть) вот время освободится более менее и будет)
Вот тут уже придумали статеечку как написать на масме с проворотом и извращениями, а сталобыть и с х64 свичем и библиотеками. Все конпелица и роботоет, а не только жрет ресурсы, гавно и не работает в отличии от