elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Mi primer shellcode en Windows . Ayuda
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Mi primer shellcode en Windows . Ayuda  (Leído 3,364 veces)
Init

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Mi primer shellcode en Windows . Ayuda
« en: 18 Febrero 2018, 01:16 am »

Me gustaria que me respondan varias dudas que tengo de este trozo de codigo ... Quiero crear mi primer shellcode para windows pero me he encontrado con una gran obstaculo al empezar y eso es encontrar la dirección de memoria de kernel32.dll. Hasta ahora he probado solo un shellcode que me funciono y es este:

Me parece que ya es muy conocida esta forma de encontrar kernel32:

Syntax NASM

xor     dword    edx, edx
mov    byte      dl, 0x30
mov    dword   edx, [fs:edx]     => (1) A que direccion o a que estructura apunta fs ?? Siempre he visto que cambia de valor. Viendolo con Ollydbg.
mov    dword   edx, [edx + 0xc]     => ? (2)
mov    dword   edx, [edx + 0x1c]   => ? (3)

SEARCH_KERNEL:
       mov  eax, [edx + 0x8], eax    => Busca la cadena KERNEL32.dll
       mov  esi,  [edx + 0x20]          =>
       mov  edx, [edx]                                                         |¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨|
       cmp byte [esi], 0x33             => Espera encontrar el "3" de la cadena kernel 3 2.dll
       jne SEARCH_KERNEL
 
     ....  Esta es la parte que no entiendo :::

Bueno una vez que lo encuentra la dirección de kernel32 se encuentra en el registro "eax"

(1)(2)(3)  Mi primera duda es que dirección esta el "fs" ?? y luego hay alguna estructura en C que me diga el tamaño de cada dato que hay ahí (RESUMIENDO QUIERO QUE ME EXPLIQUEN QUE ESTA HACIENDO LAS 5 PRIMERAS LINEAS)... Me parece que hay mas formas de encontrar esa dirección ... Si podrían pasarme link donde pueda ver como obtener . Y bueno GRACIAS a los que se han dado la molestia de leer hasta aquí.   (Disculpen mis faltas ortográficas T_T).
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.465


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Mi primer shellcode en Windows . Ayuda
« Respuesta #1 en: 18 Febrero 2018, 02:07 am »

Hola!

Básicamente el códgio usa FS:0x30 (1) para sacar la addr de la PEB.
Luego, en PEB+0xc (2) saca el puntero a PPEB_LDR_DATA.
Después, en PPEB_LDR_DATA+0x1c (3) accede a puntero a FullDllName de la estructura.

Te dejo info para que leas:

FS: https://en.wikipedia.org/wiki/Win32_Thread_Information_Block
PEB: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813706(v=vs.85).aspx
PEB_LDR_DATA: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813708(v=vs.85).aspx

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Init

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Mi primer shellcode en Windows . Ayuda
« Respuesta #2 en: 18 Febrero 2018, 02:11 am »

Hola!

Básicamente el códgio usa FS:0x30 (1) para sacar la addr de la PEB.
Luego, en PEB+0xc (2) saca el puntero a PPEB_LDR_DATA.
Después, en PPEB_LDR_DATA+0x1c (3) accede a puntero a FullDllName de la estructura.

Te dejo info para que leas:

FS: https://en.wikipedia.org/wiki/Win32_Thread_Information_Block
PEB: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813706(v=vs.85).aspx
PEB_LDR_DATA: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813708(v=vs.85).aspx

Saludos!

Gracias por darte la molestia de leer mi PROBLEMA y darme una respuesta n_n ... Revisare los links que me brindaste . GRACIAS.
« Última modificación: 18 Febrero 2018, 02:13 am por Init » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
shellcode básica para windows.
Bugs y Exploits
black_flowers 7 5,890 Último mensaje 6 Febrero 2011, 16:39 pm
por black_flowers
Ayuda con shellcode
Bugs y Exploits
BrownRabbit 1 2,158 Último mensaje 1 Abril 2011, 21:20 pm
por hackspy
Vb6 shellcode help ayuda :(
Análisis y Diseño de Malware
Harmmy 9 7,111 Último mensaje 7 Agosto 2012, 18:44 pm
por Harmmy
windows 7, no inicia despues del primer reinicio de la instalacion de windows 7 « 1 2 »
Windows
victtor77 17 17,527 Último mensaje 12 Junio 2013, 01:21 am
por Randomize
Ayuda buffer overflo y shellcode
Bugs y Exploits
systemHack 0 3,176 Último mensaje 27 Julio 2013, 02:14 am
por systemHack
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines