a dcerpc scanner under development 


import socket 
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('127.0.0.1',135))
s.send(bytes.fromhex('05000b03100000007400000002000000d016d016000000000200000000000100c4fefc9960521b10bbcb00aa0021347a00000000045d888aeb1cc9119fe808002b1048600200000001000100c4fefc9960521b10bbcb00aa0021347a000000002c1cb76c12984045030000000000000001000000'))
s.send(bytes.fromhex('050000031000000018000000020000000000000000000500'))

core code is as above


from scapy.fields import (
    LEShortField,
    PacketLenField,
    PacketListField,
    StrFixedLenField
)

from scapy.packet import (
    Packet
)
# issubclass(IP,Packet)->True
from uuid import (
    UUID
)
# 通用唯一标识符版本一
from scapy.layers.dcerpc import (
    DceRpc5Request,
    DceRpc5,
    DceRpc5Bind
)
from scapy.layers.msrpce.all import (
    find_dcerpc_interface
)
from scapy.all import hexdump
class WBZ7j(Packet):
    name = "WBZ7j"
    fields_desc = [
        LEShortField("cn_ctx_id", 0),
        LEShortField("cn_num_trans_items", 1),        
        StrFixedLenField("abstract_syntax", b"", length=20),  
        PacketListField(
        name="cn_bind_trans", 
        default=[], 
        pkt_cls=lambda: StrFixedLenField("ts", b"", length=20), count_from=lambda pkt: pkt.cn_num_trans_items)
    ]
cn_bind_to_uuid = find_dcerpc_interface('IObjectExporter').uuid.bytes_le
# IObjectExporter对象导出器方法 用端点映射器查找一个远程过程调用接口
# ServerAlive2操作和是5
cn_bind_trans_id = list((UUID('8a885d04-1ceb-11c9-9fe8-08002b104860').bytes_le+bytes.fromhex('02000000'),))
# 生成器表达式
item0 = WBZ7j(cn_ctx_id=0, cn_num_trans_items=1, abstract_syntax=cn_bind_to_uuid, cn_bind_trans=cn_bind_trans_id)
cn_bind_trans_id = list((UUID('6cb71c2c-9812-4540-0300-000000000000').bytes_le+bytes.fromhex('01000000'),))
item1 = WBZ7j(cn_ctx_id=1, cn_num_trans_items=1, abstract_syntax=cn_bind_to_uuid, cn_bind_trans=cn_bind_trans_id)
context_list = [item0, item1]  
pkt = DceRpc5(
    rpc_vers=5,
    rpc_vers_minor=0,
    ptype=11,
    pfc_flags=0x03,
    endian=1,
    encoding=0,
    float=0,
    reserved1=0,
    reserved2=0,
    frag_len=116,
    auth_len=0,
    call_id=2,
    auth_verifier=None,
    auth_padding=None,
    vt_trailer=None
    )
"""
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|    RPC VERS   | RPC VERS MINOR|     PTYPE     |   PFC FLAGS   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ENDIAN|ENCODIN|     FLOAT     |   RESERVED1   |   RESERVED2   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|            FRAG LEN           |            AUTH LEN           |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                            CALL ID                            |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|         AUTH VERIFIER         |          AUTH PADDING         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|           VT TRAILER          |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
"""
hexdump(pkt)
a = DceRpc5Bind(
    max_xmit_frag=5840,
    max_recv_frag=5840,
    assoc_group_id=0x00000000,
    n_context_elem=2,
    reserved=0,
    context_elem=context_list
)
hexdump(a)
a=bytes(a)
print(bytes(pkt).hex()+a.hex())
pkt = DceRpc5(
    rpc_vers=5,
    rpc_vers_minor=0,
    ptype=0,
    pfc_flags=0x03,
    endian=1,
    encoding=0,
    float=0,
    reserved1=0,
    reserved2=0,
    frag_len=24,
    auth_len=0,
    call_id=2,
    auth_verifier=None,
    auth_padding=None,
    vt_trailer=None
    )
c=DceRpc5Request(
    alloc_hint=0,
    cont_id=0,
    opnum=5,
    object=None
)
hexdump(pkt)
hexdump(c)
print(bytes(pkt).hex()+bytes(c).hex())

I dont want to explain too much

评论

发表评论

此博客中的热门博文

制作Windows远控(序言一)

章节一   关于Windows远控的一些事  想要做出来,你必须了解:  Win32 API.不仅仅,比如如何注入Shellcode,所以须了解asm,也就是x64/x86汇编.  C/C++的语法,标准库,数据结构等(或者你用其他的高级语言例如C Sharp),Socket etc.  为了继承www.yuque.com/wormwaker/tkpgqw/ppfnlcaqdkcsfmkd (有几个标识符(方法) 比如"显示器" "压缩文件"的声明 我们不再重定义)的伟大叙述 我于是成了它的子类. 章节二   驱动程序 比如CreateFile先经过kernel32.dll, 然后经过kernelbase.dll, 再由它调用ntdll.dll中的NTCreateFile 触发系统调用,进入Ring0 杀毒软件通过替换劫持已经加载的ntdll.dll的内存映像, 在函数里面添加jmp指令 这就是inline hook ntdll.dll进入ring0的方式是通过syscall指令 研究人员逆向分析了ntdll系统调用的编号和参数 然后在用户态自己实现了一套等效的syscall封装 这就是直接系统调用绕过 再看安全产商是如何应对的 CPU执行函数时要把调用者的返回基址压到栈上 然后跳转到函数所在的位置 这样函数执行完才能找到回来的路 syscall也是类似的跳转 如果是正常的用户态api调用流程 调用链会先经过ntdll,再由它发起syscall,也就是说, 当从内核返回到用户层时 栈顶的返回地址应该位于ntdll的地址范围 但如果由攻击者直接在用户态自己执行syscall, 此时当ring0返回时, 栈顶的返回地址就会落在主程序模块内 引用自github.com/AzidoPP的视频 纠正了若干错别字 ring0用于内核代码和驱动程序,驱动程序的文件扩展名是.sys. 我们可以用SCM方法加载驱动 比如MD5是dfb69795d1991da6f9edaa38d2a71427的A1SysTest v0.3.0.1.exe就用的是SCM方法. 用WinDbg验证 0:006...
阅读全文

制作Windows远控(序言二)

章节三(奇特的根本规矩) 0 在远控的代码混淆和反分析措施中投入的精力应至少与开发远控本身一样多. 1 只用rootkit,bootkit则其它的人才去做(Contact t.me/bytecategory) 2 remember make it clean. 3 AV only     not EDR  在sandbox{.}qianxin{.}com/blog/2025/12/18/tq-sandbox-BYOVD-detect-attack/ 来自奇安信的guys似乎认为BYOVD是最隐蔽 危害性极强的操作. 但从securelist{.}com/finspy-unseen-findings/104322/ 可以看出FinFisher至少领先了他们14年..... What Can I say?QiHoo Out! 4 还有gfwvector的rules 忘在哪了?         
阅读全文