shellcode 是什么?
“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”
为了写出位置无关的代码,需要注意以下几点:
-
不能对字符串使用直接偏移,必须将字符串存储在堆栈中
-
dll中的函数寻址,由于 ASLR 不会每次都在同一个地址中加载,可以通过 PEB.PEB_LDR_DATA 找到加载模块调用其导出的函数,或加载新 dll。
-
避免空字节
NULL字节的值为0x00,在 C/C++ 代码中,NULL 字节被视为字符串的终止符。因此,shellcode 中这些字节的存在可能会干扰目标应用程序的功能,并且我们的 shellcode 可能无法正确复制到内存中。mov ebx , 0x00 xor ebx , ebx用下面的语句代替上面的语句,结果是一样的。
此外,在某些特定情况下,shellcode 必须避免使用字符,例如
\r或\n,甚至只使用字母数字字符。
windows下dll加载的机制
在 Windows 中,应用程序不能直接访问系统调用,使用来自 Windows API ( WinAPI ) 的函数,Windows API函数都存储在 kernel32.dll、advapi32.dll、gdi32.dll 等中。ntdll.dll 和 kernel32.dll 非常重要,以至于每个进程都会导入它们:
这是我编写 nothing_to_do 程序,用 listdlls列出导入的 dll:
dll寻址
TEB(线程环境块)该结构包含用户模式中的线程信息,32位系统中我们可以使用 FS 寄存器在偏移0x30处找到进程环境块(PEB) 的地址。
PEB.ldr 指向PEB_LDR_DATA提供有关加载模块的信息的结构的指针,包含kernel32 和 ntdll 的基地址
typedef struct _PEB_LDR_DATA {
BYTE Reserved1 [ 8 ];
PVOID Reserved2 [ 3 ];
LIST_ENTRY InMemoryOrderModuleList ;
} PEB_LDR_DATA , * PPEB_LDR_DATA ;
PEB_LDR_DATA.InMemoryOrderModuleList 包含进程加载模块的双向链表的头部。列表中的每一项都是指向 LDR_DATA_TABLE_ENTRY 结构的指针
typedef struct _LIST_ENTRY
{
PLIST_ENTRY Flink ;
PLIST_ENTRY Blink ;
} LIST_ENTRY , * PLIST_ENTRY ;
LDR_DATA_TABLE_ENTRY 加载的 DLL 信息:
typedef struct _LDR_DATA_TABLE_ENTRY {
PVOID Reserved1 [ 2 ];
LIST_ENTRY InMemoryOrderLinks ;
PVOID Reserved2 [ 2 ];
PVOID DllBase ;
PVOID EntryPoint ;
PVOID Reserved3 ;
UNICODE_STRING FullDllName ;
BYTE Reserved4 [ 8 ];
PVOID Reserved5 [ 3 ];
union {
ULONG CheckSum ;
PVOID Reserved6 ;
};
ULONG TimeDateStamp ;
} LDR_DATA_TABLE_ENTRY , * PLDR_DATA_TABLE_ENTRY ;
tips
在 Vista 之前的 Windows 版本中,InInitializationOrderModuleList 中的前两个DLL是 ntdll.dll和kernel32.dll,但对于 Vista 及以后的版本,第二个DLL更改为kernelbase.dll。
InMemoryOrderModuleList 中的第一个 calc.exe(可执行文件),第二个是ntdll.dll,第三个是kernel32.dll,目前这适用于所有 Windows 版本是首选方法。
kernel32.dll寻址流程:
转化为汇编代码:
xor ecx , ecx
mov ebx , fs :[ ecx + 0x30 ] ; 避免 00 空值 ebx = PEB基地址
mov ebx , [ ebx+0x0c ] ; ebx = PEB.Ldr
mov esi , [ ebx+0x14 ] ; ebx = PEB.Ldr.InMemoryOrderModuleList
lodsd ; eax = Second module
xchg eax , esi ; eax = esi, esi = eax
lodsd ; eax = Third(kernel32)
mov ebx , [ eax + 0x10 ] ; ebx = dll Base address
dll导出表中函数寻址
之前学习pe结构相关资料在这。
ImageOptionalHeader32.DataDirectory[0].VirtualAddress 指向导出表RVA,导出表的结构如下:
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics ; //未使用
DWORD TimeDateStamp ; //时间戳
WORD MajorVersion ; //未使用
WORD MinorVersion ; //未使用
DWORD Name ; //指向改导出表文件名字符串
DWORD Base ; //导出表的起始序号
DWORD NumberOfFunctions ; //导出函数的个数(更准确来说是AddressOfFunctions的元素数,而不是函数个数)
DWORD NumberOfNames ; //以函数名字导出的函数个数
DWORD AddressOfFunctions ; //导出函数地址表RVA:存储所有导出函数地址(表元素宽度为4,总大小NumberOfFunctions * 4)
DWORD AddressOfNames ; //导出函数名称表RVA:存储函数名字符串所在的地址(表元素宽度为4,总大小为NumberOfNames * 4)
DWORD AddressOfNameOrdinals ; //导出函数序号表RVA:存储函数序号(表元素宽度为2,总大小为NumberOfNames * 2)
} IMAGE_EXPORT_DIRECTORY , * PIMAGE_EXPORT_DIRECTORY ;
函数寻址流程: :
导出表寻址汇编:
mov edx , [ ebx + 0x3c ] ; 找到 dos header e_lfanew 偏移量
add edx , ebx ; edx = pe header
mov edx , [ edx + 0x78 ] ; edx = offset export table
add edx , ebx ; edx = export table
mov esi , [ edx + 0x20 ] ; esi = offset names table
add esi , ebx ; esi = names table
查找 Winexec 函数名:
编译:
F:> ml -c -coff .\shellcode.asm
F:> link -subsystem:windows .\shellcode.obj
两种方法:
- dumpbin.exe
$ dumpbin.exe /ALL .\shellcode.obj
- 从 PE .text 区块中读取
从 PointerToRawData 开始,取 VirtualSize 大小的数据
用 golang 写个 loader
loader.go,直接用Makefile编译:$ make
成功!!!
最后
关注私我获取【网络安全学习攻略】
