代码注入技术之Shellcode注入

代码注入是指在应用程序中注入任意外部代码的行为，有两种类型的代码注入：
1.注入易受攻击的程序；
2.注入不易受攻击的程序；
如果代码注入是在易受攻击的应用程序中完成的，则可以通过利用在处理无效数据时发生的漏洞来实现。在这种情况下，代码注入的程度就取决于应用程序中的错误，我们也将其称为“漏洞”。但问题在于，应用程序应该具有可以被利用来获得代码执行的漏洞。
本系列针对第二种情况，即不希望或不需要该应用程序具有漏洞。正如所预料的那样，这为应用程序提供了一个非常广泛的领域，同时也为滥用操作系统提供了机会。
恶意软件通常使用此方法，因为执行代码注入之前不需要满足任何条件，并且操作系统本身也完全支持该方法。所有主要的操作系统都提供ABI和API，以与其他进程进行交互，控制它们后，在其他程序的进程空间中读写内存。
通过CreateRemoteThread API进行代码注入
CreateRemoteThread是Win32 API提供的用于在另一个进程中创建线程的函数。在另一个应用程序中创建线程之前，必须满足两个条件：
1.试图在另一个进程中创建线程的进程必须具有创建线程的权限，简单地说，这意味着与受害进程（目标是指我们要在其中创建线程的进程）具有相同或更高的权限。
2.两个进程(目标进程和攻击者进程)必须驻留在同一个会话中，如果会话标识符不匹配，将不会创建线程。
如果上述任何一个条件不满足，则操作系统本身将拒绝代码注入过程。
但这不并是Windows OS体系结构中的安全漏洞，而是由操作系统提供的功能。由于我们无法修改具有比我们更高的权限的进程，因此不会跨越安全边界。
算法
为了通过CreateRemoteThread API实现代码注入，我们必须遵循以下算法：
1.选择一个进程作为受害者进程；
2.使用带有参数PROCESS_ALL_ACCESS的OpenProcess函数获得对进程的访问权限，以便能够执行所需的操作；
3.如果OpenProcess失败，请退出；
4.使用VirtualAllocEx函数在受害者进程的进程空间中分配内存；
5.如果VirtualAllocEx失败，请退出；
6.将shellcode写入VirtualAllocEx分配的内存位置；
7.如果Shellcode写入失败或只有部分写入Shellcode，请退出；
8.编写完shellcode后，请使用必要的参数调用CreateRemoteThread，将shellcode的地址指向LPTHREAD_START_ROUTINE。
运行环境
就本文的示例而言，必须具备以下环境设置：
1.Visual Studio 2019；
2.Windows 10 RS6（x64）；
注意：可以从我的github存储库访问代码。
代码注入
访问远程进程
要对任何进程执行内存操作，我们必须能够访问它。可以使用函数OpenProcess来获得它，该函数的原型为：

它包含三个参数：
1.dwDesiredAccess：它根据受害者进程的安全令牌进行检查，不过你可以指定一些所需的访问值，但是指定PROCESS_ALL_ACCESS包含该进程的所有可能的访问权限。
2.bInheritHandle：这是一个布尔值，指示该进程创建的进程是否将继承此句柄。
3.dwProcessId：这是受害者进程的进程标识符；
这个进程返回其他进程的句柄(成功时)，其他API函数可以使用它来操作受害进程的内存。如果失败，则返回NULL。
为Shellcode分配空间
一旦获得了受害进程的句柄，我们就可以在受害进程内存中为shell代码分配空间，这是通过使用VirtualAllocEx API调用实现的。
VirtualAllocEx的原型为：

它包含五个参数：
1.hProcess：处理要在其中分配内存的进程；
2.lpAddress：指向受害者进程内存中指定地址的指针，如果将参数指定为NULL，则该函数自动选择要分配给的内存页；
3.dwSize：要分配的内存区域的大小，它是以字节为单位指定的。
4.flAllocationType：指定要分配的内存类型，该参数必须包含以下三个值之一：MEM_COMMIT，MEM_RESERVE，MEM_RESET，MEM_RESET_UNDO。
5.flProtect：指定分配的内存保护。出于我们的目的，由于它将包含要执行的代码，并且希望其具有可读性和可写性，因此将其设置为PAGE_EXECUTE_READWRITE。
该函数在成功时返回分配的基地址，而在失败时返回NULL。至此，我们已经成功地在受害进程中分配了可执行内存。
在远程进程中编写Shellcode
现在，我们需要在分配的区域中编写我们的shellcode。为此，我们有一个称为WriteProcessMemory的函数。
WriteProcessMemory是一种由调用者将数据写入指定进程的内存区域的函数，需要注意的是，整个内存区域必须是可写的，否则该函数将会失败，这就是为什么我们将内存分配为可写的，以及可读和可执行的原因。
WriteProcessMemory的原型为：

WriteProcessMemory具有五个参数：
1.hProcess：处理要向其中写入数据的进程；
2.lpBaseAddress：我们要在其中写入数据的地址（以指针的形式）；
3.lpBuffer：指向必须写入的数据的指针，该指针必须是const指针。

[1] [2]  下一页