Кастомная точка входа

[cppjunior]

Как реализовать кастомный энтри поинт. Как здесь.
Сэмпл показывется как с2 фреймворк nighthawk https://bazaar.abuse.ch/download/b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94/

UPD: нашел анализ семпла https://www.proofpoint.com/us/blog/...-pentest-tool-likely-gain-threat-actor-notice Но вопрос остается актуальным, как это реализовать)

 

[DildoFagins]

Как реализовать кастомный энтри поинт. Как здесь.

С/С++? Отключить сишный рантайм, как, например, показано здесь: https://xss.pro/threads/76417/

 

[cppjunior]

С/С++? Отключить сишный рантайм, как, например, показано здесь: https://xss.pro/threads/76417/

Это понятно, я спрашивал немного про другое, в скрине выше в функции старт высчитывается адрес смещение а потом прыжок по этому адресу, и вопрос как это реализовать) Спасибо.

 

[DildoFagins]

Я не понимаю проблемы, берешь адрес функции, добавляешь смещение, вызываешь:

typedef void (*PEntry)();

void start() {
    PEntry entry = start;
    entry = entry + 31337;
    entry();
}

 

[cppjunior]

Я не понимаю проблемы, берешь адрес функции, добавляешь смещение, вызываешь:

typedef void (*PEntry)();

void start() {
    PEntry entry = start;
    entry = entry + 31337;
    entry();
}

Сори за глупый вопрос. Но как узнать адрес функции заранее без использования метопрограммирования и добиться такого же результата как в первом посте этой темы.

 

[DildoFagins]

Сори за глупый вопрос. Но как узнать адрес функции заранее без использования метопрограммирования и добиться такого же результата как в первом посте этой теме

Ну какой у функции будет адрес знает линкер. Ты можешь, условно, написать что-то типа "(void*)my_func" и получить адрес функции. Не совсем понимаю, что значит заранее.

 

[cppjunior]

Не совсем понимаю, что значит заранее.

Заранее узнать адрес моей функции. Или возможно задать этот самый адрес. Вкратце, заранее получить адрес функции "обфусцировать" (xor) и потом jmp по этому адрес, возможно такое?

 

[DildoFagins]

Заранее узнать адрес моей функции. Или возможно задать этот самый адрес

В общем случае ты не можешь знать адрес, как число, компилятор этого не знает, линкер связывает символ с адресом. Ты можешь оперировать только символом.

 

[cppjunior]

Если я правилно понимаю то с помощью метакодинга нельзя получить адрес моей функции ее знает только линкер. Тогда как это реализовано в nighthawk c2, это уже готовый бинарник патчили (брали адрес нужной функции, мат операции и jmp по адресу)?

https://xss.pro/attachments/46746/

 

[cppjunior]

В общем случае ты не можешь знать адрес, как число, компилятор этого не знает, линкер связывает символ с адресом. Ты можешь оперировать только символом.

выше написал, забыл нажать "ответить". Спасибо за ответ.

 

[DildoFagins]

Тогда как это реализовано в nighthawk c2, это уже готовый бинарник патчили (брали адрес нужной функции, мат операции и jmp по адресу)?

Ну я не знаю, как конкретно это было сделано там. Может и патчили бинарник, может на уровне ассемблера это делали. На уровне языка Си не уверен, что прям так можно сделать.

 

[yellow]

DildoFagins цепочка ROP гаджетов такое можно сделать? тоесть тем же макаром как байпасят KASLR.
Не пинайте особо, я не специалист далеко.

 

[h1z1]

You can change entry point from visual studio->project Properties->Linker->Advanced->Entry Point

 

[Topstrelok]

это то что ты ищешь https://github.com/TomashuTTTT7/Hidecall/blob/main/include/hidecall/hidecall.h