无WriteProcessMemory CreateRemoteThread实现shellcode注入 GhostWriting x64实现-先知社区

Ghost Writing

07年的文章除作者的这个POC外网上没有找到太多相关的文章

https://web.archive.org/web/20090722171318/http://blog.txipinet.com/2007/04/05/69-a-paradox-writing-to-another-process-without-openning-it-nor-actually-writing-to-it/

我们在这里尝试搞出一个64位的实现

项目地址:

https://github.com/Arcueld/GhostWriting-X64

首先介绍一下这个技术大概是什么概念

向一个进程注入shellcode执行无需使用

openProcess WriteProcessMemory CreateRemoteProcess DebugActiveProcess

之类的API

核心思想是找到类如

的汇编指令

配合

SetThreadContext

API，MOV [REG1],REG2指令就能实现内存写入

同时需要找到

EB FE

指令（无限循环），使得

RET

指令跳转到此处形成执行滞留防止崩溃

那么我们首先需要改造POC来寻找64位环境下的指令

之类的指令

实际可用的指令并不多而且这里全是易失寄存器没法用

图片加载失败

所以退而求其次中间插点pop add rsp 都可以接收手动平衡一下堆栈即可

寻找gadget的代码限于篇幅不在文章中展示可自行在项目代码中查看

图片加载失败

拿到gadget了之后我们修改返回地址为

EB FE

的地址死循环

图片加载失败

到目前为止我们所作所为看起来没有意义只是进了死循环

实际上并非如此我们成功构造了一个返回地址指向

EB FE

的栈之后在使用

MOV [REG1],REG2

RET

赋值的时候可以不再关心返回值

于是我们可以写出如下复制内存的demo

因为一次写8字节需要对齐一下

图片加载失败

这里没有选择恢复进程原始的RIP notepad的GUI会卡死但是我们的内存确实是写进去了

模拟调用

将对应参数写到栈里然后修改RIP到

ntdll!NtProtectVirtualMemory

即可我们先常规调用一下NtProtectVirtualMemory看看栈

图片加载失败

对着构造额外需要(4+3+1)*sizeof(ULONG64)的长度 1个返回地址 3个指针的内容 4个shadowstack

指针就直接存栈上值得注意的是shadow stack

图片加载失败

如果要调用其他的函数可以用类似的方法完全可以封装一个函数来调这块由于篇幅就不贴

NtProtectVirtualMemory

的调用代码了代码放在后面扩展的地方

执行

原项目是通过

NtProtectVirtualMemory

修改栈的内存权限直接将payload写到栈上然后线程劫持改RIP 修改程序运行流程

我就直接先用

VirtualAllocEx

申请了

图片加载失败

修复

现在解决一下需要手动触发的问题这个好解决获取一下窗口 postmessage就行了因为GUI线程是消息驱动的

扩展

任意方法的调用

任意方法的调用想了一下还是写了吧也不难

考虑c++的模板方法

首先我们需要构造栈要明确参数的个数及其中的指针的个数

其中

HANDLE

这类typede下是指针的我们忽略因为实际传参还是值而不是指针

代码如下具体见注释

从栈上读指针的值

现在能进行调用了但是有些函数是通过参数写回数据的比如

NtAllocateVirtualMemory

分配的地址会写回到

BaseAddress

我们需要从栈上读取

具体函数如下

第三个参数

pointerIndex

用于指明取第几个指针的值

图片加载失败

项目地址

https://github.com/Arcueld/GhostWriting-X64