本章内容涉及使用Socket API和CMD命令行工具实现本地CMD命令执行、无管道正向CMD和无管道反向CMD三种功能。执行本地CMD实现使用CreateProcess函数创建一个新的CMD进程,并将标准输入、输出和错误输出重定向到当前进程的标准输入、输出和错误输出。无管道正向CMD和无管道反向CMD使用WSASocket函数创建TCP套接字,并将CMD进程的标准输入、输出和错误输出重定向到套接字的句柄上,通过网络连接实现远程命令执行功能。
首先来实现一个CMD命令行运行功能,通过使用CreatePipe创建匿名管道,并使用CreateProcess函数创建一个新的CMD进程,然后将标准输入、输出和错误输出重定向到当前进程的标准输入、输出和错误输出。这样就可以通过当前进程的输入输出来执行CMD命令并获取命令输出结果。
CreatePipe 函数,用于创建一个匿名管道。匿名管道是一种用于进程间通信的机制,允许一个进程将输出数据传输给另一个进程。CreatePipe函数的原型如下:
BOOL CreatePipe( PHANDLE hReadPipe, PHANDLE hWritePipe, LPSECURITY_ATTRIBUTES lpPipeAttributes, DWORD nSize ); 参数hReadPipe和hWritePipe是指向HANDLE类型的指针,用于接收创建的管道的读端和写端的句柄。参数lpPipeAttributes是一个指向SECURITY_ATTRIBUTES结构体的指针,用于设置管道的安全性。参数nSize是一个DWORD类型的值,用于指定管道的缓冲区大小,通常可以设置为0表示使用系统默认值。
创建匿名管道后,可以使用ReadFile函数从管道的读端读取数据,使用WriteFile函数将数据写入管道的写端。在使用完管道后,应使用CloseHandle函数关闭管道的句柄,以释放资源。
CreateProcess 函数可以创建一个新的进程,并为该进程分配内存空间、初始化环境变量、创建主线程等。其中,参数lpApplicationName用于指定需要执行的可执行文件名,参数lpCommandLine用于指定命令行参数。如果lpApplicationName参数为NULL,则系统会自动使用lpCommandLine参数指定的命令行来创建进程。
该函数原型如下:
BOOL CreateProcess( LPCSTR lpApplicationName, LPSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID lpEnvironment, LPCSTR lpCurrentDirectory, LPSTARTUPINFO lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation ); 该函数可以创建包括控制台窗口的进程。如果需要使用CreateProcess()函数创建不带控制台窗口的进程,则需要在dwCreationFlags参数中指定CREATE_NO_WINDOW标志位。
在创建进程时,可以通过STARTUPINFO结构体设置进程的一些属性,例如标准输入、标准输出和标准错误输出的重定向,启动窗口的显示方式等。同时,CreateProcess()函数会返回一个PROCESS_INFORMATION结构体,其中包含新进程的句柄和ID等信息。
如下RunCommand函数所示,该函数传入一个字符串类型的命令参数,并返回一个字符串执行结果,在函数内部,使用 CreatePipe() 函数创建了一个匿名管道,并使用 CreateProcess() 函数启动了一个新的 CMD 进程并将其标准输出和错误输出重定向到管道的写入端。接着使用 ReadFile() 函数从管道的读取端读取输出数据,并将读取到的数据存储到一个缓冲区中。最后,它将缓冲区的内容拼接成一个完整的输出结果返回给调用者。
// 以隐藏方式执行CMD命令 BOOL RunCommand(char* cmdStr, char* message) { DWORD readByte = 0; // 执行命令行 char command[1024] = { 0 }; // 缓冲区 char buf[8192] = { 0 }; HANDLE hRead, hWrite; // 启动配置信息 STARTUPINFO si; // 进程信息 PROCESS_INFORMATION pi; // 管道安全属性 SECURITY_ATTRIBUTES sa; // 拼接CMD命令 sprintf(command, "cmd.exe /c %s", cmdStr); // printf("-- CMD 命令: [%s]n", command); // 配置管道安全属性 sa.nLength = sizeof(sa); // 管道句柄可被继承 sa.bInheritHandle = TRUE; sa.lpSecurityDescriptor = NULL; // 创建匿名管道,管道句柄是可被继承的 if (!CreatePipe(&hRead, &hWrite, &sa, 1024)) { // printf("管道创建失败 %xn", (unsigned int)GetLastError()); return FALSE; } // 配置 cmd 启动信息 ZeroMemory(&si, sizeof(si)); si.cb = sizeof(si); // 获取兼容大小 si.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW; // 标准输出等使用额外的 si.wShowWindow = SW_HIDE; // 隐藏窗口启动 si.hStdOutput = si.hStdError = hWrite; // 输出流和错误流指向管道写的一头 // 创建子进程,运行命令,子进程是可继承的 if (!CreateProcess( NULL, // 不传程序路径, 使用命令行 command, // 命令行命令 NULL, // 不继承进程句柄(默认) NULL, // 不继承线程句柄(默认) TRUE, // 继承句柄 0, // 没有创建标志(默认) NULL, // 使用默认环境变量 NULL, // 使用父进程的目录 &si, // STARTUPINFO 结构存储启动信息 &pi)) // PROCESS_INFORMATION 保存启动后的进程相关信息 { // printf("创建进程失败 %x n", (unsigned int)GetLastError()); CloseHandle(hRead); CloseHandle(hWrite); return FALSE; } CloseHandle(hWrite); /* 管道的 write 端句柄已被 cmd 的输出流和错误流继承,即 cmd 输出时会把数据写入管道。 我们通过读取管道的 read 端,就可以获得 cmd 的输出 */ while (ReadFile(hRead, buf, 8192, &readByte, NULL)) { strcat(message, buf); ZeroMemory(buf, 8192); } //printf("-- [CMD] Message: [%s] Length:%d n", message, strlen(message) + 1); CloseHandle(hRead); return TRUE; } 上述函数的调用非常容易,我们以执行ipconfig函数为例,调用案例为RunCommand((char*)"ipconfig", szBuffer),函数执行命令ipconfig参数,并将返回值存储值szBuffer变量内,输出效果图如下所示;
本文作者: 王瑞
本文链接: https://www.lyshark.com/post/4fefd4fc.html
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
