0

这可能是一个非常简单的问题,但不知何故,我无法完全理解答案,而且我也找不到关于该主题的任何好的相关文档。

因此,我尝试使用 Python 的 ctypes 模块和 ctypes.windll.kernel32 类中的 CreateThread 方法进行 PoC(在程序的内存空间中进行一些 shellcode 注入)

根据 msdn 文档CreateThread的 7 个参数分别是:

  • 指向安全属性的指针
  • 初始堆栈大小
  • 指向起始地址的指针
  • 指向任何参数的指针
  • 创建标志
  • 指向接收线程标识符的值的指针

而所有使用python调用c风格函数和库的例子都是这样的:

thread_handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),
                ctypes.c_int(0),
                ctypes.c_int(ptr),
                ctypes.c_int(0),
                ctypes.c_int(0),
                ctypes.pointer(ctypes.c_int(0)))

有人可以解释一下为什么最后一个参数被用作 ctypes.pointer(c_int0),而另一个空指针的整数 0 常量值用于其他参数。(例如 ctypes.c_int(0))

更新:这是一个示例代码,这个实现可以在网上看到:

python中createThread函数调用的第786行

请注意上面链接的脚本行中提到的注释:

  #   _Out_opt_ LPDWORD  lpThreadId  // NULL, so the thread identifier is not returned.

看来作者在评论 CreateThread 函数调用的参考时可能是错误的。

假设: 根据 Mark's answer 中提到的评论,ThreadID 和 ThreadHandle 是不同的,并且通过传入 ctypes.pointer(ctypes.c_int(0)) 而不仅仅是普通的 ctypes.c_int(0) (NULL) 意味着在 int 0 位置,将存储线程 ID。有人可以证实这个假设吗?

4

1 回答 1

1

最后一个参数实例化一个 C 整数 ( c_int(0)) 并将其作为指针传递。这与最后一个参数定义松散地匹配。它应该是一个 DWORD,通常定义为unsigned longc_ulong在 ctypes 中)。使用ctypes.byref比创建指针更有效。该参数用于将线程ID作为输出参数返回,因此需要正确C类型的实例的地址来存储ID。

这是一个使用 ctypes 显式定义每个函数的输入/输出的工作示例。请注意,在 中ctypes具有预定义的 Windows 类型wintypes

import ctypes as c
from ctypes import wintypes as w

LPTHREAD_START_ROUTINE = c.WINFUNCTYPE(w.DWORD,w.LPVOID)
SIZE_T = c.c_size_t

k32 = c.WinDLL('kernel32')
test = c.WinDLL('test')

CreateThread = k32.CreateThread
CreateThread.argtypes = w.LPVOID,SIZE_T,LPTHREAD_START_ROUTINE,w.LPVOID,w.DWORD,w.LPDWORD
CreateThread.restype = w.HANDLE

WaitForSingleObject = k32.WaitForSingleObject
WaitForSingleObject.argtypes = w.HANDLE,w.DWORD
WaitForSingleObject.restype = w.DWORD

sa = None  # No security specified.  None == NULL pointer.
stack = 0  # Use default stack
start = LPTHREAD_START_ROUTINE(test.func)
param = 0x12345
flags = 0 # start thread immediately
tid = w.DWORD()
h = CreateThread(sa,stack,start,param,flags,c.byref(tid))
WaitForSingleObject(h,1000) # wait for the thread to exit.

下面是一个简单的 C 函数作为线程运行的代码:

#include <stdio.h>

__declspec(dllexport) unsigned long __stdcall func(void* p)
{
    printf("%p\n",p);
    return 0;
}

这是输出:

0000000000012345
于 2018-05-29T17:20:48.287 回答