zoukankan      html  css  js  c++  java

  • Shellcode入门

    Shellcode入门

    一、shellcode基础知识

      Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hackerVxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shellcode,因此掌握Shellcode编写技术就显得尤为重要。

      Shellcode本质上可以使用任何编程语言,但我们需要的是提取其中的机器码。Shellcode使用汇编语言编写是最具可控性的,因为我们完全可以通过指令控制代码生成,缺点就是需要大量的时间,而且还要你深入了解汇编。如果你想追求速度,C是不错的选择。C语言编写起来较为省力,但Shellcode提取较为复杂,不过,一旦写好模板,就省事许多。

    二、用C语言编写获取shellcode

    1.用于获取shellcodeC语言代码

    2.编译与执行

    execve(执行文件)在父进程中fork一个子进程,在子进程中调用exec函数启动新的程序。execve()用来执行第一参数字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。从图中可以,如果通过C语言调用execve来返回shell的话,首先需要引入相应的头文件,然后在主函数中调用系统调用函数execve;同时传入三个参数。

    编译之后运行结果如下图

    为了之后能够看到反汇编的结果,这次采用的静态编译。正常返回shell

    3.objdump反汇编

    那么要想提取其中的shellcode就需要通过反汇编来获取相应的汇编代码或是二进制代码。

      注:(1)我的这个实践中scode.cxxyshellcode.c的副本,两者内容一致

          2)编译时必须要有64位到32位的转换:-m32,不然后续位数不匹配容易出问题

      

     4.采用gdb查看主函数mainexecve的反汇编结果

     

    从反汇编结果来看,execve函数执行的前一部分首先将向寄存器ebx,ecx,edx中赋值。之后调用了(*0x80e8a90)处的代码,该处就是_dl_sysinfo_int80,反汇编后发现其实是通过中断指令int 0x80进入ring0。也就是说exceve函数是通过调用软中断int 0x80进入ring0

    5.验证int 0x80调用

    Shellcode的提取就是要获取exceve函数调用时的参数及软中断调用。通过软终端加载相应的系统调用号及参数来执行相应的任务。

      

      查看四个寄存器。

    前面我们已经提过了execve系统调用的参数部分。看看上图的寄存器赋值,第1个参数ebx,刚好是"/bin/sh";第2个参数ecx是一个指针数组,第一个元素是第一个参数地址,第二个元素为空;第3个参数是edx为空。最后execve的系统调用号就放在了寄存器eax=0xb

    而通过查找系统的execve函数调用号就是110xb

      6Shellcode的提取

    由上面可以看出如果想要得到shellcode就需要将部分指令代码拼接。组成execve的系统调用如下图所示。(两块红色区域机器码拼接)

      

      

    尽管这样可以实现shell返回的shellcode,但是里面包含里很多x00空字符,只要在单独拷贝shellcode就很有可能导致shellcode阶段而不能正常执行shellcode,需要进行进一步加工,过于麻烦这里不详述。

    三、用汇编语言形式写出shellcode

    1.编写汇编源码,下图是一个返回shell的汇编源码

      

    2.编译、链接、执行

    链接过程中出现问题i386 architecture模式与i386:x86-64模式不匹配,需要多输入"-m elf_i386"转换一下

      

      执行之后成功返回shell

    3.汇编代码分析

    根据之前int 0x80中断指令调用形式,要求eax存放系统调用号;ebxecxedx分别存放参数部分。

    汇编源码中,首先是第4eax清零;之后第5行压栈;然后第6行,第7行字符串压栈,这样在栈中就构造了以"x00"结尾的字符串"/bin//sh"。注意这里的"/bin//sh""/bin/sh"同样效果。

     此时的ESP指针指向了这个字符串首地址,第8行将该首地址赋给ebx,这样就有了int 0x80中断指令的第一个参数ebx;第9行中eax入栈,此时eax值还是0;第10ebx入栈也就是把字符串"/bin//sh"地址入栈,两次压栈,此时栈中就有了字符串地址和一个0,刚好构成了一个指针数组;第11行将该指针数组的地址也就是esp赋给ecx,系统调用的第2个参数ecx中就保持了指针数组的地址;第12edx清零,刚好是系统调用的第3个参数为零。第13行将系统调用号0xB赋给al,这样可以避免出现坏字符。最后调用软中断指令执行。

      栈空间的模型:

      

    4.shellcode的提取

      

    红框中的机器码就是该shellcode对应的指令代码,中间没有x00坏字符,这样在拷贝时也就不会有截断问题

    5.shellcode有效性的验证

      通过一小段C语言代码来进行验证,代码如下(由上面提取到的shellcode指令代码而来)

      

      调试运行,发现"segmentation fault"

      

      编译时对该程序启动栈空间可执行权限,问题解除。

      
  • 相关阅读:
    02
    循环语句的注意点
    unsigned/signed int/char类型表示的数值范围
    C程序设计语言(第二版)--- 习题选
    第一篇来自博客园的博客--哈哈希望大家点赞
    脆弱的GPS系统--摘抄《环球科学》
    【Python入门自学笔记专辑】——函数式编程
    c++标准库conio.h文件
    推荐几个配色和图标网站
    Ajax实现简单下拉选项
  • 原文地址:https://www.cnblogs.com/xxy745214935/p/6477120.html
Copyright © 2011-2022 走看看