• XSS.stack #1 – первый литературный журнал от юзеров форума

Конвертировать EXE -> shellcode

Отслеживать
bomboos

bomboos

HDD-drive
Пользователь
Регистрация
09.05.2021
Сообщения
38
Реакции
5
Друзья, приветствую! Подскажите, пожалуйста, как конвертировать EXE в шелл код. Беда следующая.

юзаю https://github.com/memN0ps/arsenal-rs/blob/main/process_hollowing-rs/src/main.rs, беру файл Putty.exe, массивом C копирую из HxD https://prnt.sc/Vxytf-3Tc9WT , но ничего не работает. Подскажите как это реализовать? Если беру пример из другого репозитория, байты, вызов калькулятора - работает.
 
А не бредовая ли это идея изначально? Можно взять шеллкод который будет тянуть файл с сетки и запускать в памяти, таким образом сразу 2 вопроса отпадают.
 
kiloton сказал(а):
А не бредовая ли это идея изначально? Можно взять шеллкод который будет тянуть файл с сетки и запускать в памяти, таким образом сразу 2 вопроса отпадают.
Взять где? Я учусь, ковыряюсь, интересно)
 
kiloton сказал(а):
Тем же msfvenom как пример.

Using Shellcode execution as a possible antivirus bypassal technique. - heycomputer - 博客园

Ok, first off, we need to create our malicious "shellcode payload"... I have a few examples below of some possible payloads we could be usin
www.cnblogs.com www.cnblogs.com
Спасибо! Но хотелось бы закончить то что начал) Я нуб в бинарных файла. Не совсем понимаю, почему один код исполняется, а другой нет?
 
proxy сказал(а):
putty не самый хороший ехе для примера. лучше создай свой hello_world и используй его.
А в случае если я стилак или прочую малварь захочу выполнить в памяти? Я сейчас это и пытаюсь сделать. Хотелось бы разобраться.
 
bomboos сказал(а):
Друзья, приветствую! Подскажите, пожалуйста, как конвертировать EXE в шелл код. Беда следующая.

юзаю https://github.com/memN0ps/arsenal-rs/blob/main/process_hollowing-rs/src/main.rs, беру файл Putty.exe, массивом C копирую из HxD https://prnt.sc/Vxytf-3Tc9WT , но ничего не работает. Подскажите как это реализовать? Если беру пример из другого репозитория, байты, вызов калькулятора - работает.
Скопируй байты шеллкода через HxD и вставь прямо на точку входа через дизассемблер.
 
То что ТС юзает - это обычный RunPE - понятное дело почему calc.exe работает,, а putty нет - там ImageBase разные. (Base svchost.exe = Base calc.exe, как и у всех встроенных виндовых прог). Base putty.exe != Base svchost.exe, если у файла есть релоки - это может спасти ситуацию, но их нужно обрабатывать в загрузчике.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
bomboos сказал(а):
но ничего не работает
Я чет не понимаю, код на Расте, который ты привел запускает шеллкод в свцхосте, а ты ему пытаешься PE-файл подсунуть? Очевидно, это не будет работать. Самый простой вариант обернуть экзешник каким-нибудь donut'ом или аналогичным проектом, который сделает шеллкод, который произведет загрузку PE-файла в памяти. И да, если ты собираешь Раст код, как x86_64, то и шелл должен быть x86_64, если как i686, то и шелл должен быть под i686.
 
I think your looking for this

RunPE/RunPE.cpp at master · Zer0Mem0ry/RunPE

Code that allows running another windows PE in the same address space as the host process. - Zer0Mem0ry/RunPE
github.com
and don't use putty, instead create a hello world messagebox program and compile it using x86

And when using a real payload make sure to obfuscate it
 
Импорт не восстановлен, релоки не пофикшены + путти использует ресурсы, т.ч надо базу фиксить в пебе.

Ну и опять же шелкод когда пишется, там базонезависимость в приоритете + апишки по хешам сам себе ищет.

А так по факту тебе нужна своя реализация системного загрузчика со всякими приколдесами в виде заполнения импорта, релоков и т.д.

Типа того https://xss.pro/threads/42999/
 
Apocalypse сказал(а):
Импорт не восстановлен, релоки не пофикшены + путти использует ресурсы, т.ч надо базу фиксить в пебе.

Ну и опять же шелкод когда пишется, там базонезависимость в приоритете + апишки по хешам сам себе ищет.

А так по факту тебе нужна своя реализация системного загрузчика со всякими приколдесами в виде заполнения импорта, релоков и т.д.

Типа того https://xss.pro/threads/42999/
Спасибо друг! Да, теперь есть ясность.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх