利用WinDbg和wscript.exe分析JavaScript脚本

最新推荐文章于 2024-05-19 09:45:36 发布
最新推荐文章于 2024-05-19 09:45:36 发布
阅读量310 收藏
点赞数
文章标签: javascript shell 操作系统 ViewUI
原文链接:https://yq.aliyun.com/articles/214735
版权
本文讲的是 利用WinDbg和wscript.exe分析JavaScript脚本

介绍

攻击者经常使用JavaScript来编写恶意软件因为它系统默认解析很少被禁用。我们之前关于.NET分析的文章引起了很多关于如何使用WinDBG来分析.js文件的兴趣。在这篇文章中我们使用WinDBG及64位版本的wscript.exe来分析JavaScript。强烈建议先阅读我们以前的文章

WINDOWS系统上的对象加载

JavaScript通常需要加载外部对象来获取Windows解释器默认不包含的附加功能。这个可以通过使用ActiveObject()的API用来加载ActiveX对象或WScript.CreateObject()的API用来加载COM对象。这两个API的后台机制大同小异——加载一个外部库来启用对新对象的访问。下面是两个调用的例子

New ActiveXObject("Shell.Application");
WScript.CreateObject("Wscript.Shell");

第一点是了解哪些库是在这两个对象之后。此信息存储在注册表中首先我们需要在以下注册表名称中获取与对象名称关联的CLSIDHKEY_CLASSES_ROOT\OBJECT_NAME\CLSID. 。

以下是Shell.Application对象名称的示例

利用WinDbg和wscript.exe分析JavaScript脚本

这表明CLSID是{13709620-C279-11CE-A49E-444553540000}。有了这些信息我们可以在HKEY_CLASSES_ROOT\CLSID\{THE_CLSID}中获取对象的dll路径

利用WinDbg和wscript.exe分析JavaScript脚本

在这种情况下Shell.Application对象所在的库是shell32.dll。有了这些信息我们就可以启动WinDBG来分析对象加载和执行。

WINDBG分析

JavaScript执行的分析是通过调试wscript.exe二进制执行的。这可以使用以下命令执行

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" 
C:\Windows\System32\wscript.exe c:\Users\User\to_be_analysed.js

技术往往是一样的

· 加载对象库时的断点;
· 对所需功能的识别和断点;
· 获取函数的参数

案例研究1ActiveX对象

第一个案例

var oShell = new ActiveXObject("Shell.Application");
var commandtoRun = "calc.exe";
oShell.ShellExecute(commandtoRun,"","","","1");

第一个任务是找到“Shell.Application”库对象位于注册表中的位置

c:\Users\user> script.py Shell.Application
Object Name: Shell.Application
CLSID: {13709620-C279-11CE-A49E-444553540000}
Description: Shell Automation Service
dll: %SystemRoot%\system32\shell32.dll

这告诉我们应该分析shell32.dll。我们来执行这个脚本并在加载库时引入一个断点

0:000> sxe ld shell32 ; g
ModLoad: 00007fff`c6af0000 00007fff`c7f27000   
C:\WINDOWS\System32\SHELL32.dll
ntdll!NtMapViewOfSection+0x14:
00007fff`c8e658a4 c3              ret
The next step is to identify the ShellExecute function:
0:000> x shell32!ShellExecute

不幸的是该函数在JavaScript和库中没有相同的名称。但是我们可以使用正则表达式来搜索它

0000> x shell32ShellExecute * 
00007fff`c6b13dd0 SHELL32ShellExecuteExWvoid
00007fff`c6b13e44 SHELL32ShellExecuteNormalvoid 
00007fff`c6cb1630 SHELL32ShellExecuteExA<no parameter info>
00007fff`c6fa8d58 SHELL32ShellExecuteRegApp<no parameter信息>
00007fff`c6bef560 SHELL32ShellExecuteW<no parameter info>
00007fff`c6cb15a0 SHELL32ShellExecuteA<no parameter info>
00007fff`c6fa9058 SHELL32ShellExecuteRunApp<no parameter info>

在我们的例子中我们可以为ShellExecuteNormal添加一个断点

0:000> bp shell32!ShellExecuteNormal
0:000> g
Breakpoint 0 hit
SHELL32!ShellExecuteNormal:
00007fff`c6b13e44 48895c2408      mov     qword ptr [rsp+8],rbx 
ss:00000029`cb56c7a0=00000029cb56cc90

我们现在可以通过RCX寄存器直接获取参数

0:000> r $t1=poi(rcx+0x18);du $t1
000001ee`350d055c  "calc.exe"

乍一看为什么偏移量为0x18并不明显。这是由于参数传递给ShellExecuteNormal是指向SHELLEXECUTEINFO结构的指针。微软的文档描述比在这些情况下结构位于偏移0x18。

案例研究2WScript Shell对象

我们来看一下第二个例子

var shell = WScript.CreateObject("Wscript.Shell");
var command = "calc.exe"; 
shell.Run(command, true, false);

如前所述第一个任务包括查找Wscript.Shell所在的库

c:\Users\user> script.py Wscript.Shell
Object Name: Wscript.Shell
CLSID: {72C24DD5-D70A-438B-8A42-98424B88AFB8}
Description: Windows Script Host Shell Object
dll: C:\Windows\System32\wshom.ocx

我们尝试识别功能名称

0:000> sxe ld wshom
0:000> g
ModLoad: 00007fff`b5630000 00007fff`b5657000   
C:\Windows\System32\wshom.ocx
ntdll!NtMapViewOfSection+0x14:
00007fff`c8e658a4 c3              ret
0:000> x wshom!*Run*
00007fff`b5640930 wshom!CUnknown::InnerUnknown::`vftable' = <no type information>
00007fff`b563d530 wshom!CUnknown::InnerUnknown::QueryInterface (<no parameter info>)
00007fff`b5648084 wshom!_IMPORT_DESCRIPTOR_ScrRun = <no type information>
00007fff`b563d570 wshom!CUnknown::InnerUnknown::Release (<no parameter info>)
00007fff`b5643d30 wshom!ScrRun_NULL_THUNK_DATA = <no type information>
00007fff`b563bbb0 wshom!CWshShell::Run (<no parameter info>)
00007fff`b5631000 wshom!CUnknown::InnerUnknown::AddRef (<no parameter info>)
00007fff`b5644518 wshom!LIBID_IWshRuntimeLibrary = <no type information>)

该函数是wshom!CWshShell::Run我们可以在此断点并检查参数

0:000> bp wshom!CWshShell::Run
0:000> g
Breakpoint 0 hit
wshom!CWshShell::Run:
00007fff`b563bbb0 48895c2408      mov     qword ptr [rsp+8],rbx 
ss:00000020`7ccfd520=0000013f3d650420
0:000> du rdx
0000013f`3d65055c  "calc.exe"

与之前的案例研究相反参数直接是一个字符串而不是一个结构因此没有必要偏移来检索参数

案例研究3WScript XMLHTTP对象

var httpStream = WScript.CreateObject("MSXML2.XMLHTTP");
httpStream.open("GET", 'http://blog.talosintelligence.com');
httpStream.send();

与MSXML2.XMLHTTP对象关联的库

c:Usersuser> script.py MSXML2.XMLHTTP
Object Name: MSXML2.XMLHTTP
CLSID: {F6D90F16-9C73-11D3-B32E-00C04F990BB4}
Description: XML HTTP
dll: %SystemRoot%\System32\msxml3.dll

我们可以使用与以前相同的技术

0:000> sxe ld msxml3
0:000> g
ModLoad: 00007fff`8dc40000 00007fff`8de68000   
C:\WINDOWS\System32\msxml3.dll
ntdll!NtMapViewOfSection+0x14:
00007fff`c8e658a4 c3              ret

这一次我们使用正则表达式在包含单词“Open”的所有API上断点

0:000> bm msxml3!*Open*
1: 00007fff`8dc43030 @!"msxml3!ErrorHelper::CHTMLWindow2::open"
breakpoint 1 redefined
1: 00007fff`8dc43030 @!"msxml3!FakeHTMLDoc::open"
2: 00007fff`8dd4c5fc @!"msxml3!HTTPStream::OpenRequest"
3: 00007fff`8dcaa407 @!"msxml3!_imp_load_CertOpenStore"
breakpoint 1 redefined
1: 00007fff`8dc43030 @!"msxml3!ErrorHelper::CHTMLWindow2::get_opener"
4: 00007fff`8dc48eb4 @!"msxml3!ContentModel::openGroup"
5: 00007fff`8dd4cb00 @!"msxml3!HTTPStream::deferedOpen"
breakpoint 1 redefined
1: 00007fff`8dc43030 @!"msxml3!ErrorHelper::CHTMLDocument2::open"
breakpoint 1 redefined
1: 00007fff`8dc43030 @!"msxml3!ErrorHelper::CHTMLWindow2::put_opener"
6: 00007fff`8dd4a050 @!"msxml3!URLMONRequest::open"
7: 00007fff`8dc8f4d0 @!"msxml3!FileStream::deferedOpen"
8: 00007fff`8dd34e80 @!"msxml3!XMLHttp::open"
9: 00007fff`8dc597e0 @!"msxml3!URLMONStream::deferedOpen"
10: 00007fff`8dc70ddc @!"msxml3!NamespaceMgr::popEntry"
11: 00007fff`8dcaa3bf @!"msxml3!_imp_load_WinHttpOpen"
12: 00007fff`8dcaa3e3 @!"msxml3!_imp_load_WinHttpOpenRequest"
13: 00007fff`8dd47340 @!"msxml3!HTTPRequest::open"
14: 00007fff`8dd47660 @!"msxml3!HTTPRequest::openWithCredentials"
15: 00007fff`8dc8f37c @!"msxml3!FileStream::open"
16: 00007fff`8dd4c128 @!"msxml3!URLStream::OpenPreloadResource"
17: 00007fff`8dd4b410 @!"msxml3!URLRequest::open"
0:000> g
Breakpoint 8 hit
msxml3!XMLHttp::open:
00007fff`8dd34e80 488bc4          mov     rax,rsp

我们看到使用的API实际上是XMLHttp::open()从我们可以获得的参数

0:000> du rdx
00000173`311a0568  "GET"
0:000> du r8
00000173`311a0578  "http://blog.talosintelligence.co"
00000173`311a05b8  "m"

这些参数是两个字符串而不是一个结构可以无偏移地检索。

案例研究4Eval函数

恶意软件作者经常使用eval函数来模糊代码执行。此功能是JavaScript本机的不需要外部库。这里是一个使用eval的例子

var test = "var oShell = new ActiveXObject(\"Shell.Application\");var commandtoRun = \"notepad.exe\"; oShell.ShellExecute(commandtoRun,\"\",\"\",\"\",\"1\");"
eval(test) 

var encoded = "dmFyIG9TaGVsbCA9IG5ldyBBY3RpdmVYT2JqZWN0KCJTaGVsbC5BcHBsaWNhdGlvbiIpO3ZhciBjb21tYW5kdG9SdW4gPSAiY2FsYy5leGUiOyBvU2hlbGwuU2hlbGxFeGVjdXRlKGNvbW1hbmR0b1J1biwiIiwiIiwiIiwiMSIpOwo="
eval(Base64.decode(encoded))

该脚本执行两种不同类型的eval调用。第一个包含一个直接执行的字符串calc.exe执行; 第二个包含用于生成要执行的代码的命令用base64编码的notepad.exe执行。

eval函数本身位于script.dll库中bp jscriptJsEval。该函数使用jscriptCOleScript :: Compile API来生成通过eval执行的JavaScript代码

0:000> sxe ld jscript;g
ModLoad: 00007fff`9e650000 00007fff`9e70c000   
C:\Windows\System32\jscript.dll
ntdll!NtMapViewOfSection+0x14:
00007fff`c8e658a4 c3              ret
0:000> bp jscript!JsEval
0:000> g
Breakpoint 0 hit
jscript!JsEval:
00007fff`9e681960 488bc4          mov     rax,rsp
0:000> u rip L50
jscript!JsEval:
00007fff`9e681960 488bc4          mov     rax,rsp
00007fff`9e681963 48895810        mov     qword ptr [rax+10h],rbx
00007fff`9e681967 48897018        mov     qword ptr [rax+18h],rsi
00007fff`9e68196b 48897820        mov     qword ptr [rax+20h],rdi
[...redacted…]
00007fff`9e681a81 488364242000    and     qword ptr [rsp+20h],0
00007fff`9e681a87 e80c3cfdff      call    jscript!COleScript::Compile
00007fff`9e681a8c 89455f          mov     dword ptr [rbp+5Fh],eax
00007fff`9e681a8f 8bf8            mov     edi,eax
00007fff`9e681a91 85c0            test    eax,eax
00007fff`9e681a93 7923            jns     jscript!JsEval+0x158 (00007fff`9e681ab8)

我们可以在jscript断点COleScript :: Compile获取未编码的字符串示例调用calc.exe并将base64编码调用的解码版本的notepad.exe

0:000> bp jscript!COleScript::Compile "r $t1 = poi(rdx+0x10);r $t2 = poi($t1+0x8);du $t2;g";g
jscript!COleScript::Compile:
00007fff`9e715698 4053            push    rbx
0:000> g
0000019b`d23f6408  "var oShell = new ActiveXObject(""
0000019b`d23f6448  "Shell.Application");var commandt"
0000019b`d23f6488  "oRun = "calc.exe"; oShell.ShellE"
0000019b`d23f64c8  "xecute(commandtoRun,"","","","1""
0000019b`d23f6508  ");."
80070002 The system cannot find the file specified.
0000019b`d473a1b0  "var oShell = new ActiveXObject(""
0000019b`d473a1f0  "Shell.Application");var commandt"
0000019b`d473a230  "oRun = "notepad.exe"; oShell.She"
0000019b`d473a270  "llExecute(commandtoRun,"","","","
0000019b`d473a2b0  ""1");"
ntdll!NtTerminateProcess+0x14:
00007fff`c8e65924 c3              ret

结论

WinDBG是一个非常强大的工具不仅可以帮助您分析.NET文件还可以帮助您了解wscript.exe执行JavaScript。在许多情况下WinDBG可能会因为了解单个JavaScript文件的功能而过度使用。然而使用 WinDBG可以提供不同的功能概述并有助于分析复杂的JavaScript。

Python脚本从对象名称获取库

from _winreg import *
import sys

try:
  objectName = sys.argv[1]
except:
  sys.exit(1)

try:
  hReg = ConnectRegistry(None,HKEY_CLASSES_ROOT)
  hCLSIDKey = OpenKey(hReg, objectName+"CLSID")
  CLSID=QueryValue(hCLSIDKey, "")
  if CLSID:
    hKey = OpenKey(hReg, "CLSID\\"+CLSID)
    description = QueryValue(hKey, "")
    hKey = OpenKey(hReg, "CLSID\\"+CLSID+"\\InProcServer32")
    dll = QueryValueEx(hKey, "")[0]
    print "Object Name: "+objectName
    print "CLSID: "+CLSID
    print "Description: "+description
    print "dll: "+dll
  else:
    print "No CLSID"
except:
  print "Error"
  sys.exit(2)



原文发布时间为2017年8月17日
本文作者愣娃
本文来自云栖社区合作伙伴嘶吼了解相关信息可以关注嘶吼网站。
weixin_34059951
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg JavaScript脚本 作为WinDbg画廊安装 克隆存储库 C:> git clone https://github.com/hugsy/windbg_js_scripts 在windbg_js_scripts\config.xml ,编辑Setting Name="LocalCacheRootFolder"以反映存储库的本地路径。 在WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml [...]\windbg_js_scripts\config.xml has been loaded successfully. 0:000> .settings save Settings have been saved. 每次加载WinDbg时,都会加载画
WinDbg preview 1.2103.1004.0 版本,亲测可用
12-01
5. **扩展性**:WinDbg支持扩展脚本语言,如C++、C#、Python等,可以通过扩展脚本自定义调试规则和处理逻辑,增强了调试的灵活性和深度。 6. **符号管理**:WinDbg能自动或者手动配置符号路径,获取微软官方的符号...
wscript运行js文件
weixin_34023863的博客
09-20 198
wscript addto-startup.js 转载于:https://www.cnblogs.com/jxgxy/p/3330818.html
探索 WinDbg 的无限可能:JavaScript 扩展库
最新发布
gitblog_00019的博客
05-19 406
探索 WinDbg 的无限可能:JavaScript 扩展库 项目地址:https://gitcode.com/microsoft/WinDbg-Samples 项目介绍 这是一套专为提升 WinDbg 调试体验而设计的 JavaScript 扩展和示例脚本集合。这个开源项目致力于不断更新和完善,旨在帮助开发者更高效地进行调试工作。从简单的任务到复杂的调试挑战,都可以借助这些扩展和样本脚本来实现。...
使用 WScript.exe 运行脚本
weixin_34010566的博客
01-15 382
WScript.exe 是 Windows 脚本宿主的一个版本,用来在 Windows 中运行脚本。WScript.exe 提供了基于 Windows 的对话框,用于设置脚本属性。 使用 WScript.exe,可以通过下列方式在 Windows 下运行脚本: 双击文件或图标。包括:“我的计算机”、“Windows 资源管理器”、“查找”窗口、“开始”菜单或桌面上的文件或图标。 ...
Windbg调试----Windbg入门
热门推荐
一个程序员的修炼之路
08-05 6万+
Windbg简单来说就是一个Windows下对用户态/内核态的程序进行调试,以及对Core Dump文件的分析。对于Crash,资源泄露,死锁等问题的分析Windbg是一个强有力的利器。相关资料本人也是在维护和开发产品的过程中使用过Windbg,但并未对Windbg进行过系统和深入的学习,也通过这一系列的博客来完善自己对Windbg以及周边知识的理解与使用。我也列出自己正在或者即将阅读的书/资料与
windbgjs脚本定义
如鹿渴慕泉水的专栏
10-14 590
/*-------------------------------------------------------------------------- * Copyright 2017 Microsoft Corporation * * Permission is hereby granted, free of charge, to any person obtaining a copy...
WinDbg蓝屏分析.docx
12-10
WinDbg蓝屏分析.docx
windbg.exe用于下载安装
07-22
windbg.exe用于下载安装
windbg.exe
12-26
微软的御用调试工具,windbg.exe,需要的就下载吧!!!!!!!
windbg调试工具windbg-10.0.18.zip
10-24
安装或解压后,用户通常会得到一个可执行文件(如windbg.exe),通过运行该文件启动WindbgWindbg的核心特性包括: 1. **异常处理**:当应用程序发生异常时,Windbg可以捕获并分析异常,提供详细的堆栈跟踪信息...
windbg学习------条件断点
weixin_30608503的博客
06-03 151
使用j命令的条件断点的基本语法如下: 0:000>bpAddress"j(Condition)'OptionalCommands';'gc'" 使用.if命令的条件断点的基本语法如下: 0:000>bpAddress".if(Condition){OptionalCommands}.else{gc}" 其实结合起来看就是双...
Wscript - js - http代理访问
qq726232111的博客
04-22 450
var url = "http://192.168.1.1/"; var xmlServerHttp = new ActiveXObject("Msxml2.ServerXMLHTTP"); xmlServerHttp.setProxy(2,"192.168.1.10:3128"); xmlServerHttp.open('GET', url, false); xmlServerHttp.send(); WScript.Echo(xmlServerHttp.responseBody); https:.
JavaScript/VBScript脚本程序调试(Wscript篇)
yueqing的专栏
02-03 195
  在实际工作中,我发现程序员对脚本抱怨最多的就是脚本程序很难调试这个缺点,特别是调试.vbs等WSH程序的时候,总是: 1. 在资源管理器里面双击一个.vbs文件。 2. 程序里面发生了一个错误,例如异常,或者编程逻辑错误。 3. 一行行阅读源文件,然后在估计发生错误的地方,添加很多的Msgbox.Show,打印一些变量的值。 4. 重新执行.vbs文件 5. “当当当”,...
Windbg分析程序崩溃实践
一个程序员的修炼之路
11-15 2117
1. 项目场景 本故事纯属虚构。 初入职场的小木,负责维护一个博客系统,后端采用C++编写,部署在Windows服务器上。刚刚熟悉完产品的小木,接到了后台服务的报警,服务器后端偶尔会程序崩溃。刚开始小木还有点慌张,脑子里面浮现出各种问题,这个是程序的bug吗?茫茫的代码如何寻找问题?log能看到线索吗?当冷静下来后,小木忽然想起前几天看的两篇文章<<Windbg调试----Windbg入门>>和<<Windows程序Dump收集>>,还没动手过呢,正好练习练习
使用windbg抓取dump文件,分析闪退原因
jigsaw_joker的博客
05-17 1024
使用windbg工具抓取dump文件,分析闪退原因
WScript中调用js方法
dianchaozong3657的博客
06-28 186
http://zhidao.baidu.com/question/484374074.html ———————————————————————————————————————————————— Sub test()Dim arrDim rs As RangeFor Each rs In Selectionarr = Split(rs, ",")Set js = CreateObjec...
html页面 js调用bat,Js使用WScript.Shell对象执行.bat文件和cmd命令_javascript技巧
weixin_39773447的博客
06-04 1122
WScript.Shell(Windows Script Host Runtime Library)是一个对象,对应的文件是C:/WINDOWS/system32/wshom.ocx,Wscript.shell是服务器系统会用到的一种组件。shell 就是“壳”的意思,这个对象可以执行操作系统外壳常用的操作,比如运行程序、读写注册表、环境变量等。这个对象通常被用在VB或VBS编程中。安装WScri...
windbg6.12.0002.633
07-22
除了基本的调试功能外,Windbg还提供了一些高级的功能,如内存分析、性能分析和追踪。开发人员可以使用Windbg分析程序的内存使用情况,查找内存泄露和内存损坏问题。此外,Windbg还可以用于分析程序的性能瓶颈,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值