zoukankan      html  css  js  c++  java
  • 编写并提取简易 ShellCode

    ShellCode 通常是指一个原始的可执行代码的有效载荷,ShellCode 这个名字来源于攻击者通常会使用这段代码来获得被攻陷系统上的交互 Shell 的访问权限,而现在通常用于描述一段自包含的独立的可执行代码片段。

    ShellCode 通常会与漏洞利用并肩使用,或是被恶意代码用于执行进程代码的注入,漏洞利用等,通常情况下 ShellCode 代码无法独立运行,必须依赖于父进程或是 Windows 文件加载器才能够被运行,本章将通过一个简单的弹窗(MessageBox)来实现 ShellCode 有效载荷的提取。

    在编写ShellCode之前,我们需要查找一个函数地址,这里要调用 MessageBox() 这个API函数,所以说首先需要获取该函数的地址,这个函数默认放在了 User32.dll 库中,你可以通过编写一个小程序来获取:

    如下代码如果在VC6.0环境下是可以正常编译通过的,但如果在VS2010之后则需要修改字符集
    VS2013版本:需要修改 解决方案 -> 属性 -> 配置属性 -> 常规 -> 字符集(使用多字节字符集)

    #include <windows.h>
    #include <iostream>
    typedef void(*MYPROC)(LPTSTR);
    
    int main()
    {
    	HINSTANCE LibAddr;
    	MYPROC ProcAddr;
    	LibAddr = LoadLibrary("user32");                             // 获取User.dll基地址
    	printf("动态库基地址 = 0x%x
    ", LibAddr);
    	ProcAddr = (MYPROC)GetProcAddress(LibAddr, "MessageBoxA"); // 获取MessageBox基地址
    	printf("函数相对地址 = 0x%x", ProcAddr);
    	getchar();
    	return 0;
    }
    

    上方的代码经过编译运行以后会得到两个返回结果,由结果可知,User32.dll 的基地址是 0x76320000 而 MessageBox 在当前系统中的地址为 0x763a1f70 ,当然这两个地址在不同版本的Windows系统中,应该是不同的,所以我这里的地址和你的应该也是不同的。

    在获取到 MessageBox 的内存地址以后,我们接着需要获取一个 ExitProecess() 函数的地址,这个API函数的作用是让程序正常退出,这是因为我们注入代码以后,原始的堆栈地址会被破坏,堆栈失衡后会导致程序崩溃,所以为了稳妥起见我们还是添加一行正常退出为好。

    ExitProcess 函数位于 Kernel32.dll 这个动态链接库里面,我们只需要对上方的获取代码稍加修改,然后编译运行就可得到相应的结果,这里我获取到的地址是 0x75874b80


    既然获取到了相应的内存地址,那么接下来就需要通过汇编来编写可执行代码片段了,在编写这段代码之前,先来了解一下汇编语言的调用约定,在汇编语言中,要想调用某个函数,需要使用CALL语句,而在CALL语句的后面,要跟上该函数在系统中的地址,前面我们已经获取到了相应的内存地址了,所以在这里就可以通过CALL相应的地址来调用相应的函数。

    在实际的编程中,一般还是先将地址赋给eax寄存器,然后再CALL相应的寄存器实现调用,比如现在有一个函数 lyshark(a,b,c,d),我们想调用它,那么它的汇编代码就应该编写为:

        push d
        push c
        push b
        push a
        mov eax,AddressOflyshark    // 获取偏移地址
        call eax
    

    根据上方的调用方式,我们可以在VS中利用内联汇编来调用ExitProcess() 这个函数了。

        xor ebx, ebx
        push ebx
        mov eax, 0x75874b80
        call eax
    

    接着编写 MessageBox() 这个函数调用。与上个函数不同的是,这个API函数包含有四个参数,当然第一和第四个参数,我们可以赋给0值,但是中间两个参数都包含有较长的字符串,这个该如何解决呢?我们不妨先把所需要用到的字符串转换为ASCII码值,转换的网站这里推荐:https://www.sojson.com/ascii.html

    MsgBox标题:alert -->  x61x6cx65x72x74x21
    MsgBox内容:hello lyshark --> x68x65x6cx6cx6fx20x6cx79x73x68x61x72x6b
    

    由于我们使用的是32位汇编,所以上方的字符串需要做一定的处理,我们分别将每四个字符为一组,进行分组,将不满四个字符的,以空格(x20)进行填充:

    alert
    -------------------------------------------------------------
    x61x6cx65x72
    x74x21x20x20
    
    hello lyshark
    -------------------------------------------------------------
    x68x65x6cx6c
    x6fx20x6cx79
    x73x68x61x72
    x6bx20x20x20
    

    上方的空位置之所以需要以 x20 进行填充,而不是 x00 进行填充,是因为 strcpy 这个字符串拷贝函数,默认只要一遇到 x00 就会认为我们的字符串结束了,就不会再拷贝x00后的内容了,所以这里就不能使用 x00 进行填充了,这里要特别留意一下。

    接着我们需要将这两段字符串分别压入堆栈存储,这里需要注意,由于我们的计算机是小端序排列的,因此字符的入栈顺序是从后往前不断进栈的,上面的字符串压栈参数应该写为:

    alert
    -------------------------------------------------------------
        push 0x20202174
        push 0x72656c61
    
    hello lyshark
    -------------------------------------------------------------
        push 0x2020206b
        push 0x72616873
        push 0x796c206f
        push 0x6c6c6568
    

    那么下面问题来了,我们如何获取这两个字符串的地址,从而让其成为MessageBox()的参数呢?其实这个问题也不难,我们可以利用esp指针,因为它始终指向的是栈顶的位置,我们将字符压栈后,栈顶位置就是我们所压入的字符的位置,于是在每次字符压栈后,可以加入如下指令:

        xor ebx,ebx                    // 清空寄存器
        push 0x20202174         // 字符串 alert 
        push 0x72656c61
        mov eax,esp                 // 获取第一个字符串的地址
    
        push ebx                      // 压入00,为了将两个字符串分开。
    
        push 0x2020206b         // 字符串 hello lyshark
        push 0x72616873
        push 0x796c206f
        push 0x6c6c6568
        mov ecx,esp                 // 获取第二个字符串的地址
    

    上方代码完成压栈以后,接下来我们就可以调用MessageBox函数了,其调用代码如下。

    push ebx                               // push 0
    push eax                              // push "alert"
    push ecx                              // push "hello lyshark !"
    push ebx                             // push 0
    mov eax,0x763a1f70          // 将MessageBox地址赋值给EAX
    call eax                               // 调用 MessageBox
    

    最终代码如下

    int main()
    {
    	_asm{
    		sub esp, 0x50          // 抬高栈顶,防止冲突
    		xor ebx, ebx           // 清空ebx
    		push ebx
    		push 0x20202174
    		push 0x72656c61        // 字符串 "alert"
    		mov eax, esp           // 获取栈顶
    		push ebx               // 填充00 截断字符串
    
    		push 0x2020206b
    		push 0x72616873
    		push 0x796c206f
    		push 0x6c6c6568         // 字符串 hello lyshark
    		mov ecx, esp            // 获取第二个字符串的地址
    
    		push ebx
    		push eax
    		push ecx
    		push ebx
    		mov eax, 0x763a1f70    // 获取MessageBox地址
    		call eax               // call MessageBox
    
    		push ebx
    		mov eax, 0x75874b80   // 获取ExitProcess地址
    		call eax              // call ExitProcess
    	}
    	return 0;
    }
    

    我们把上方的代码编译下,然后在程序的“_asm”位置先下一个【F9】断点,然后按【F5】启动调试,接着按下【alt+8】就能够查看所转换出来的机器码。

    001613CE 83 EC 50             sub         esp,50h  
    001613D1 33 DB                xor         ebx,ebx  
    001613D3 53                   push        ebx  
    001613D4 68 74 21 20 20       push        20202174h  
    001613D9 68 61 6C 65 72       push        72656C61h  
    001613DE 8B C4                mov         eax,esp  
    001613E0 53                   push        ebx  
    001613E1 68 6B 20 20 20       push        2020206Bh  
    001613E6 68 73 68 61 72       push        72616873h  
    001613EB 68 6F 20 6C 79       push        796C206Fh  
    001613F0 68 68 65 6C 6C       push        6C6C6568h  
    001613F5 8B CC                mov         ecx,esp  
    001613F7 53                   push        ebx  
    001613F8 50                   push        eax  
    001613F9 51                   push        ecx  
    001613FA 53                   push        ebx  
    001613FB B8 70 1F 3A 76       mov         eax,763A1F70h  
    00161400 FF D0                call        eax  
    00161402 53                   push        ebx  
    00161403 B8 80 4B 87 75       mov         eax,75874B80h  
    00161408 FF D0                call        eax  
    

    我们直接将上方的这些机器码提取出来,从而编写出完整的ShellCode,最终测试代码如下。

    #include <windows.h>
    #include <stdio.h>
    #include <string.h>
    #pragma comment(linker,"/section:.data,RWE")
    
    unsigned char shellcode[] = "x83xecx50"
    "x33xdb"
    "x53"
    "x68x74x21x20x20"
    "x68x61x6cx65x72"
    "x8bxc4"
    "x53"
    "x68x6bx20x20x20"
    "x68x73x68x61x72"
    "x68x6fx20x6cx79"
    "x68x68x65x6cx6c"
    "x8bxcc"
    "x53"
    "x50"
    "x51"
    "x53"
    "xb8x70x1fx3ax76"
    "xffxd0"
    "x53"
    "xb8x80x4bx87x75"
    "xffxd0";
    
    
    int main(int argc,char **argv)
    {
    	LoadLibrary("user32.dll");
    	__asm{
    		lea eax,shellcode
    		call eax
    	}
    	return 0;
    }
    

    上方代码经过编译以后,运行会弹出一个我们自己DIY的MessageBox提示框。

  • 相关阅读:
    前端布局方式汇总及概念浅析
    html中map area 热区自适应的原生js实现方案
    css3实现背景颜色渐变,文字颜色渐变,边框颜色渐变
    css3动画的性能优化_针对移动端卡顿问题
    分享几个很实用的CSS技巧对前端技术很有帮助
    为什么是link-visited-hover-active原理这样的特殊
    HTML中<base>标签的正确使用
    面试WEB前端如何才能通过?
    Java连载48-final关键字
    Python连载48-正则表达式(中)
  • 原文地址:https://www.cnblogs.com/LyShark/p/11412106.html
Copyright © 2011-2022 走看看