ansi c x64 shellcode template

Ayala

ansi c语言 x64的shellcode 模板 未详细测试

1. 
   
2. #ifndef BYTE
   
3. #define BYTE unsigned __int8
   
4. #endif
   
5. #ifndef WORD
   
6. #define WORD unsigned __int16
   
7. #endif
   
8. #ifndef LONG
   
9. #define LONG unsigned __int32
   
10. #endif
    
11. #ifndef DWORD
    
12. #define DWORD unsigned __int32
    
13. #endif
    
14. #ifndef ULONGLONG
    
15. #define ULONGLONG unsigned __int64
    
16. #endif
    
17. #ifndef IMAGE_NUMBEROF_DIRECTORY_ENTRIES
    
18. #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16
    
19. 
    
20. #define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
    
21. #define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
    
22. #define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
    
23. #define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
    
24. #define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
    
25. #define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
    
26. #define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
    
27. //      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
    
28. #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
    
29. #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
    
30. #define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
    
31. #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
    
32. #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
    
33. #define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
    
34. #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
    
35. #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor
    
36. 
    
37. #endif
    
38. #ifndef _IMAGE_DOS_HEADER
    
39. typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    
40.     WORD   e_magic;                     // Magic number
    
41.     WORD   e_cblp;                      // Bytes on last page of file
    
42.     WORD   e_cp;                        // Pages in file
    
43.     WORD   e_crlc;                      // Relocations
    
44.     WORD   e_cparhdr;                   // Size of header in paragraphs
    
45.     WORD   e_minalloc;                  // Minimum extra paragraphs needed
    
46.     WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    
47.     WORD   e_ss;                        // Initial (relative) SS value
    
48.     WORD   e_sp;                        // Initial SP value
    
49.     WORD   e_csum;                      // Checksum
    
50.     WORD   e_ip;                        // Initial IP value
    
51.     WORD   e_cs;                        // Initial (relative) CS value
    
52.     WORD   e_lfarlc;                    // File address of relocation table
    
53.     WORD   e_ovno;                      // Overlay number
    
54.     WORD   e_res[4];                    // Reserved words
    
55.     WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    
56.     WORD   e_oeminfo;                   // OEM information; e_oemid specific
    
57.     WORD   e_res2[10];                  // Reserved words
    
58.     LONG   e_lfanew;                    // File address of new exe header
    
59. } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
    
60. #endif
    
61. 
    
62. #ifndef IMAGE_FILE_HEADER
    
63. typedef struct _IMAGE_FILE_HEADER {
    
64.     WORD    Machine;
    
65.     WORD    NumberOfSections;
    
66.     DWORD   TimeDateStamp;
    
67.     DWORD   PointerToSymbolTable;
    
68.     DWORD   NumberOfSymbols;
    
69.     WORD    SizeOfOptionalHeader;
    
70.     WORD    Characteristics;
    
71. } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
    
72. #endif
    
73. #ifndef IMAGE_DATA_DIRECTORY
    
74. typedef struct _IMAGE_DATA_DIRECTORY {
    
75.     DWORD   VirtualAddress;
    
76.     DWORD   Size;
    
77. } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
    
78. #endif
    
79. #ifndef IMAGE_OPTIONAL_HEADER64
    
80. 
    
81. typedef struct _IMAGE_OPTIONAL_HEADER64 {
    
82.     WORD        Magic;
    
83.     BYTE        MajorLinkerVersion;
    
84.     BYTE        MinorLinkerVersion;
    
85.     DWORD       SizeOfCode;
    
86.     DWORD       SizeOfInitializedData;
    
87.     DWORD       SizeOfUninitializedData;
    
88.     DWORD       AddressOfEntryPoint;
    
89.     DWORD       BaseOfCode;
    
90.     ULONGLONG   ImageBase;
    
91.     DWORD       SectionAlignment;
    
92.     DWORD       FileAlignment;
    
93.     WORD        MajorOperatingSystemVersion;
    
94.     WORD        MinorOperatingSystemVersion;
    
95.     WORD        MajorImageVersion;
    
96.     WORD        MinorImageVersion;
    
97.     WORD        MajorSubsystemVersion;
    
98.     WORD        MinorSubsystemVersion;
    
99.     DWORD       Win32VersionValue;
    
100.     DWORD       SizeOfImage;
     
101.     DWORD       SizeOfHeaders;
     
102.     DWORD       CheckSum;
     
103.     WORD        Subsystem;
     
104.     WORD        DllCharacteristics;
     
105.     ULONGLONG   SizeOfStackReserve;
     
106.     ULONGLONG   SizeOfStackCommit;
     
107.     ULONGLONG   SizeOfHeapReserve;
     
108.     ULONGLONG   SizeOfHeapCommit;
     
109.     DWORD       LoaderFlags;
     
110.     DWORD       NumberOfRvaAndSizes;
     
111.     IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
     
112. } IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
     
113. 
     
114. #endif
     
115. 
     
116. #ifndef IMAGE_NT_HEADERS64
     
117. typedef struct _IMAGE_NT_HEADERS64 {
     
118.     DWORD Signature;
     
119.     IMAGE_FILE_HEADER FileHeader;
     
120.     IMAGE_OPTIONAL_HEADER64 OptionalHeader;
     
121. } IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
     
122. #endif
     
123. #ifndef IMAGE_EXPORT_DIRECTORY
     
124. 
     
125. typedef struct _IMAGE_EXPORT_DIRECTORY {
     
126.     DWORD   Characteristics;
     
127.     DWORD   TimeDateStamp;
     
128.     WORD    MajorVersion;
     
129.     WORD    MinorVersion;
     
130.     DWORD   Name;
     
131.     DWORD   Base;
     
132.     DWORD   NumberOfFunctions;
     
133.     DWORD   NumberOfNames;
     
134.     DWORD   AddressOfFunctions;     // RVA from base of image
     
135.     DWORD   AddressOfNames;         // RVA from base of image
     
136.     DWORD   AddressOfNameOrdinals;  // RVA from base of image
     
137. } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
     
138. #endif
     
139. 
     
140. 
     
141. #ifndef UNICODE_STRING
     
142. typedef struct
     
143. {
     
144.   __int16 u;
     
145.   __int16 m;
     
146.   __int32 r;//align 8
     
147.   __int16* B;
     
148. }UNICODE_STRING;
     
149. #endif
     
150. 
     
151. /***********************************************************************/
     
152. /* shell code start */
     
153. /* linker command must append /MERGE:S_CODE=S_DATA /SECTION:S_DATA,RWE */
     
154. /***********************************************************************/
     
155. 
     
156. int shell_start();
     
157. int s_ldrLoadDll();
     
158. void GetRing3Base();
     
159. int strlen(char *);
     
160. int strcmp(char *,char *);
     
161. 
     
162. __int64 GetProcAddress(__int64 base,char* FuncName);
     
163. 
     
164. #pragma alloc_text(S_CODE,shell_start)
     
165. #pragma alloc_text(S_CODE,s_ldrLoadDll)
     
166. #pragma alloc_text(S_CODE,GetRing3Base)
     
167. #pragma alloc_text(S_CODE,GetProcAddress)
     
168. #pragma alloc_text(S_CODE,strlen)
     
169. #pragma alloc_text(S_CODE,strcmp)
     
170. 
     
171. 
     
172. /*shellcode Global DATA*/
     
173. #define SHELLCODE_SEG "S_DATA"
     
174. 
     
175. #pragma data_seg(SHELLCODE_SEG)
     
176. typedef int (*_imp__LdrLoadDll)(PathToFile,Flags,ModuleFileName,ModuleHandle);
     
177. _imp__LdrLoadDll pLdrLoadDll=0;
     
178. __int64         k_Base=0;
     
179. __int64         n_Base=0;
     
180. 
     
181. char   sLdrLoadDll[]="LdrLoadDll";
     
182. 
     
183. __int16  sUser32[]=L"user32.dll";
     
184. 
     
185. #pragma data_seg()
     
186. 
     
187. /*shlleocde entry*/
     
188. int shell_start()
     
189. {
     
190.   pLdrLoadDll=(_imp__LdrLoadDll)GetProcAddress(n_Base,(char*)&sLdrLoadDll);
     
191.   
     
192.   return s_ldrLoadDll();//Used by GetThreadExitCode
     
193. }
     
194. 
     
195. /*get kernel32 and ntdll base*/
     
196. void GetRing3Base()
     
197. {
     
198. __int64 p;
     
199.    p=*(__int64*)(*(__int64*)(*(__int64 *)(__readgsqword(0x30)+0x60)+0x18)+0x30);
     
200.    n_Base=*(__int64*)(p+0x10);
     
201.    k_Base=*(__int64*)(*(__int64*)(*(__int64*)p)+0x10);
     
202. }
     
203. 
     
204. int strlen(char* s)
     
205. {
     
206.   int i=0;
     
207.   for(;s[i++];);
     
208.   return i;
     
209. }
     
210. 
     
211. int strcmp(char* s1,char* s2)
     
212. {
     
213.   int t,ta,tb;
     
214.   t|=-1;
     
215.   ta=strlen(s1);
     
216.   tb=strlen(s2);
     
217.   if (ta==tb)
     
218.   {
     
219.     t=ta;
     
220.     do
     
221.     {
     
222.       --t;
     
223.     }while (t>=0 && s1[t]==s2[t]);
     
224.     t++;
     
225.   }
     
226.   return t;
     
227. }
     
228. 
     
229. /* */
     
230. __int64 GetProcAddress(__int64 base,char* FuncName)
     
231. {
     
232.   __int64 addr=0;
     
233.   __int32* AddressOfNames;
     
234.   __int32* AddressOfFunctions;
     
235.   __int16* AddressOfNameOrdinals;
     
236.   int i,n,t;
     
237.   char* Dst;
     
238.   char* Src;
     
239.   
     
240.   IMAGE_DOS_HEADER*         DOS_HEADER;
     
241.   IMAGE_NT_HEADERS64*       NT_HEADER;
     
242.   IMAGE_OPTIONAL_HEADER64*  OptionalHeader;
     
243.   IMAGE_EXPORT_DIRECTORY*   Export;
     
244.   
     
245.   DOS_HEADER=(IMAGE_DOS_HEADER*)(__int64)base;
     
246.   if (DOS_HEADER->e_magic!='ZM') goto done;
     
247.   
     
248.   NT_HEADER = (IMAGE_NT_HEADERS64*)((__int64)DOS_HEADER +(__int64)DOS_HEADER->e_lfanew);
     
249.   
     
250.   if (NT_HEADER->Signature!='EP') goto done;
     
251.   
     
252.   OptionalHeader=&NT_HEADER->OptionalHeader;
     
253.   
     
254.   if (OptionalHeader->Magic!=0x20B) goto done;//pe 64
     
255.   
     
256.   Export = (IMAGE_EXPORT_DIRECTORY*)(\
     
257.             (__int64)DOS_HEADER + \
     
258.             (__int64)(OptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)\
     
259.             );
     
260.   t=Export->NumberOfNames;
     
261.   AddressOfNameOrdinals =(__int16*)((__int64)DOS_HEADER + (__int64)Export->AddressOfNameOrdinals);
     
262.   AddressOfNames        =(__int32*)((__int64)DOS_HEADER + (__int64)Export->AddressOfNames);
     
263.   AddressOfFunctions    =(__int32*)((__int64)DOS_HEADER + (__int64)Export->AddressOfFunctions);
     
264.   Src=FuncName;
     
265.   for (i=0;i<t;i++)
     
266.   {
     
267.     Dst=(char*)((__int64)DOS_HEADER + AddressOfNames[i]);
     
268.     if (Dst[0]==Src[0]&& strcmp(Src,Dst)==0)
     
269.     {
     
270.       n=AddressOfNameOrdinals[i];
     
271.       addr=(__int64)DOS_HEADER+AddressOfFunctions[n];
     
272.       goto done;
     
273.     }
     
274.   }
     
275. done:
     
276.   return addr;
     
277. }
     
278. 
     
279. /*main proc*/
     
280. int s_ldrLoadDll()
     
281. {
     
282.   __int64* hMod;
     
283.   UNICODE_STRING sMod;
     
284.   sMod.u=sizeof(sUser32)-sizeof(__int16);
     
285.   sMod.m=sizeof(sUser32);
     
286.   sMod.B=(__int16*)&sUser32;
     
287.   
     
288.   return (*pLdrLoadDll)(0,0,&sMod,&hMod);
     
289. }
     
290. 
     
291. #pragma data_seg(SHELLCODE_SEG)
     
292. int         shell_end=0; //end sign
     
293. #pragma data_seg()
     
294. 
     
295. /* shell code End */
     
296. 
     
297. 
     
298. 
     
299. mainCRTStartup()
     
300. {
     
301.   GetRing3Base();
     
302.   printf("kernel32 base 0x%0I64X\n ntdll base 0x%0I64X\n",k_Base,n_Base);
     
303.   printf("shellcode length = %d\n",&shell_end-(int*)shell_start);
     
304.   
     
305.   printf("LdrLoadDll addr = 0x%0I64X\n",GetProcAddress(n_Base,"LdrLoadDll"));
     
306.   
     
307.   
     
308.   system("pause");
     
309. }
     

复制代码

1. 
   
2. @echo off
   
3. :re
   
4. cls
   
5. echo /*********************************************/
   
6. echo /                                             /
   
7. echo /*********************************************/
   
8. .\tools\AMD64\cl.exe .\src\hello_world.c /Fa"Debug\hello_world.asm" /Fo"Debug\hello_world.obj" /c /MD
   
9. 
   
10. echo /*********************************************/
    
11. echo /                                             /
    
12. echo /*********************************************/
    
13. 
    
14. 
    
15. .\tools\AMD64\link.exe .\Debug\hello_world.obj /MERGE:S_CODE=S_DATA /SECTION:S_DATA,RWE /LIBPATH:".\lib\win7\amd64" /LIBPATH:".\lib\Crt\amd64"  /OUT:"Debug\hello_world_amd64_win7.exe" /NOLOGO /SUBSYSTEM:CONSOLE /MACHINE:AMD64 "kernel32.lib"
    
16. echo /*********************************************/
    
17. echo /                                             /
    
18. echo /*********************************************/
    
19. 
    
20. 
    
21. pause
    
22. goto re
    
23. ;/driver /base:0x10000 /align:32 /subsystem:native

复制代码

0xAA55

前面那些定义，其实可以直接用windows.h的