热门标签
热门文章
- 1Hbase表两种数据备份方法-导入和导出示例_hbase表备份到本地
- 2WPF —— ListBox控件、GroupBox控件详解
- 3生成微信二维码注意事项_qrscene
- 4史上最全selector和shape使用方法 Android ListView 列表项点击之后,保持背景颜色_安卓listview选中项时如何如何改变文字颜色不改背景
- 5android与mysql连接不上去_android – 通过LAN连接到mySQL数据库,而不使用网络服务器...
- 6万字长文讲清楚4D毫米波雷达
- 7ArkTS中的路由跳转和HTTP数据请求
- 8Android Framework | 消息机制的冷门知识点,你能答出来几个?_drained android
- 9HarmonyOS - 鸿蒙开发入门
- 10HDFS_04_Hadoop集群命令_hadoop查看集群默认命名空间 命令
当前位置: article > 正文
无模块注入示例
作者:IT小白 | 2024-03-07 07:18:18
赞
踩
无模块注入
原出处不详,作者见谅。
- #include <Windows.h>
- typedef struct _REMOTE_PARAMETERS
- {
- HWND hwnd;
- LPSTR lpszText;
- LPSTR lpszCaption;
- int nType;
- }REMOTE_PARAMETERS,*PREMOTE_PARAMETERS;
-
- //提升权限
- BOOL GetdebugPrivilege()
- {
- BOOL bResult = FALSE;
- HANDLE hToken;
- TOKEN_PRIVILEGES TokenPrivileges;
-
- if (OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &hToken))
- {
- TokenPrivileges.PrivilegeCount = 1;
- LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &TokenPrivileges.Privileges[0].Luid);
-
- TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
- bResult = AdjustTokenPrivileges(hToken, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
- CloseHandle(hToken);
- }
-
- return bResult;
- }
- int _tmain(int argc, _TCHAR* argv[])
- {
- DWORD dwoffset = 0;
- DWORD dwsize = 0;
- _asm jmp LOOP2
- _asm
- {
- LOOP1:
- mov eax,[esp+4] //取地址,即指向PREMOTE_PARAMETERS的指针
- mov ebx,[eax + 0xC]
- push ebx
- mov ebx,[eax+8]
- push ebx
- mov ebx,[eax+4]
- push ebx
- mov ebx,dword ptr[eax]
- push ebx
- mov eax, 0X75c4ea71 //硬编码 MessageBoxA函数地址
- push 0X77490571 //硬编码 ExitThread函数地址
- push eax
- ret
- // 最后两个PUSH的意思是汇编的一些技巧
- // 先PUSH ExitThread的地址,再PUSH MessageBoxA的地址
- // ret 是让调用者进行堆栈平衡,所以ret后,堆栈只POP最上面一个地址(即MessageBoxA)
- // 也就是跳转到MessageBoxA,此时堆栈中的数据和正常调用MessageBoxA是一致的
- // 最上面的返回地址是ExitThread
- // MessageBoxA调用结束,跳转到ExitThread中。
- LOOP2:
- lea eax, LOOP1
- mov dwoffset, eax
- lea eax, LOOP2
- sub eax, offset LOOP1
- mov dwsize, eax
- }
-
- //GetdebugPrivilege();
- DWORD dwThreadId;
- DWORD dwNumberOfBytesWritten;
- PREMOTE_PARAMETERS lpParamaters = new REMOTE_PARAMETERS;
- // initialize lpParamaters
- memset(lpParamaters,0,sizeof(REMOTE_PARAMETERS));
- // get handle of target process
- HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,16420); //进程ID
- // 在目标进程中分配300字节的空间
- LPVOID lpszDes = VirtualAllocEx(hProcess,
- 0,
- 300,
- MEM_COMMIT,
- PAGE_EXECUTE_READWRITE);
- printf("lpszDes: 0x%X\n", lpszDes);
- // 向目标进程中写入汇编指令,起始地址为lpszDes,大小为100
- WriteProcessMemory(hProcess,
- lpszDes,
- (char*)dwoffset,
- 100,
- &dwNumberOfBytesWritten); //写入代码
- // 向目标进程中写入字符串数据,起始地址为lpszDes + 100,大小为100
- WriteProcessMemory(hProcess,
- ((char*)lpszDes + 100),
- "Hello QQ\r\n",
- 100,
- &dwNumberOfBytesWritten); //写入弹出字符串
- lpParamaters->hwnd = 0;
- lpParamaters->lpszText = (LPSTR)((char*)lpszDes + 100);
- lpParamaters->lpszCaption = (LPSTR)((char*)lpszDes + 100);
- lpParamaters->nType = MB_OKCANCEL|MB_ICONQUESTION;
- // 向目标进程中写入MessageBox的参数,起始地址为lpszDes + 200,大小为结构体大小
- WriteProcessMemory(hProcess,
- ((char*)lpszDes + 200),
- lpParamaters,
- sizeof(REMOTE_PARAMETERS),
- &dwNumberOfBytesWritten); //写入参数
- // 在目标进程中执行刚刚注入的代码
- HANDLE hRemoteThread = CreateRemoteThread(hProcess,
- NULL,
- 0,
- (LPTHREAD_START_ROUTINE)(lpszDes),
- ((char*)lpszDes + 200),
- NULL,
- &dwThreadId);
- WaitForSingleObject(hRemoteThread,INFINITE);
- VirtualFreeEx(hProcess, lpszDes, 0, MEM_RELEASE);
- system("pause");
- return 0;
- }
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/204217
推荐阅读
相关标签
