x64下获取kernel32基址shellcode

飘云

1. .flat:0000000000401000                 public start
   
2. .flat:0000000000401000 start:
   
3. .flat:0000000000401000                 mov     rax, 30h
   
4. .flat:0000000000401007                 mov     rax, gs:[rax]   ; 指向TEB
   
5. .flat:000000000040100B                 mov     rax, [rax+60h]  ; 指向PEB
   
6. .flat:000000000040100F                 mov     rax, [rax+18h]  ; 指向Ldr链
   
7. .flat:0000000000401013                 mov     rax, [rax+10h]  ; 指向 InLoadOrderModuleList 链表头  【你也可以指向 InMemoryOrderModuleList链、InInitializationOrderModuleList链~】
   
8. .flat:0000000000401017                 mov     rax, [rax]      ; Next
   
9. .flat:000000000040101A                 mov     rax, [rax]      ; Next
   
10. .flat:000000000040101D                 mov     rax, [rax+30h]  ; Kernel32基址
    
11. .flat:000000000040101D ; ---------------------------------------------------------------------------

复制代码

1. .flat:0000000000401000                 public start
   
2. .flat:0000000000401000 start:
   
3. .flat:0000000000401000                 mov     rax, 30h
   
4. .flat:0000000000401007                 mov     rax, gs:[rax]   ; 指向TEB
   
5. .flat:000000000040100B                 mov     rax, [rax+60h]  ; 指向PEB
   
6. .flat:000000000040100F                 mov     rax, [rax+18h]  ; 指向Ldr链
   
7. .flat:0000000000401013                 mov     rax, [rax+20h]  ; 指向InMemoryOrderModuleList链
   
8. .flat:0000000000401017                 mov     rax, [rax]      ; Next
   
9. .flat:000000000040101A                 mov     rax, [rax]      ; Next
   
10. .flat:000000000040101D                 mov     rax, [rax+20h]  ; Kernel32基址
    
11. .flat:000000000040101D ; ---------------------------------------------------------------------------

复制代码

F8LEFT

gs?是32位的fs到64位变为了gs了吗？

Nisy

F8LEFT 发表于 2015-2-12 14:07
gs?是32位的fs到64位变为了gs了吗？

是的 ~