栈溢出笔记1.6 地址问题（1）

前面的Shellcode中，我使用的都是自己XP机器上的硬编码地址。任何时候在Shellcode中使用硬编码地址都不是个好主意，这一点与动态库的重定位类似，一旦系统环境和程序编译设置发生变化，Shellcode几乎肯定会失效。因此，我们要找到更好一点的方法。

前面的Shellcode中，我用到了如下几个硬编码地址，它们的含义如下：

其中，LoadLibraryA的作用比较特殊，我们用它来加载user32.dll库。

现在我们要换掉这些硬编码地址。那么，如何得到这些API函数的地址呢？在动态链接库中获取函数地址有一个专门的函数——GetProcAddress，这个函数的原型如下：

/*****************************************************************************/FARPROC WINAPI GetProcAddress(  _In_ HMODULE hModule,  _In_ LPCSTR  lpProcName);/*****************************************************************************/

这个函数第一个参数为模块的句柄，可以调用LoadLibraryA获得，第二个参数为函数名称。这样的话，MessageBoxA和ExitProcess都可以使用这种方式来获取。但是这依赖于两个函数：LoadLibraryA和GetProcAddress，那这两个函数的地址又怎么得到呢？

这两个函数都位于kernel32.dll，kernel32.dll肯定会加载，不需要我们自己加载。因此，现在的问题就是如何从kernel32.dll中找到LoadLibraryA和GetProcAddress的地址？

接下来就需要一点Windows内核和PE文件格式的知识了。我们知道，kernel32.dll为PE格式的动态链接库，要导出的函数放在PE文件的导出表中，因此，为了获取LoadLibraryA和GetProcAddress的地址，我们需要手动解析kernel32.dll的导出表。但在这之前，我们需要知道kernel32.dll在内存中的位置，也就是kernel32.dll的基地址。因此，问题总结为以下：
（1）如何获取kernel32.dll的基地址？
（2）如何在kernel32.dll的导出表中找到LoadLibraryA和GetProcAddress的地址？

先来解决第一个问题。我们知道，一个进程运行的时候，除了加载exe文件外，所依赖的.dll也会映射到进程的虚拟地址空间中，那么，这些加载的dll也是进程的财产，因此，进程会保存它们的信息。进程的信息都保存在PEB结构中，其中的Ldr（偏移为0xc0)指向一个PEB_LDR_DATA结构，这个结构保存的进程已加载模块的信息。这个结构如下：

/*****************************************************************************/typedef struct _PEB_LDR_DATA{　ULONG Length;          // +0x00　BOOLEAN Initialized;   // +0x04　PVOID SsHandle;            // +0x08　LIST_ENTRY InLoadOrderModuleList;      // +0x0c　LIST_ENTRY InMemoryOrderModuleList;    // +0x14　LIST_ENTRY InInitializationOrderModuleList;    // +0x1c} PEB_LDR_DATA,*PPEB_LDR_DATA;      // +0x24/*****************************************************************************/

Windows并未完全公开（文档化）此结构。这是网上的版本，我们也可以通过Windbg来得到，这是我XP SP3机器上的该结构：

图37

这个结构的重点在于后面三个链表：InLoadOrderModuleList、InMemoryOrderModuleList和InInitializationOrderModuleList。从名称上看，这三个队列都是模块链表，第一个是按加载的先后顺序，第二个是按在虚拟空间中的位置，第三个是按初始化的顺序。第二个容易理解，但是第一个和第三个有什么区别呢？加载是先于初始化的，加载就是完成虚拟空间的映射和与exe的链接，加载完成后的DLL会挂入InInitializationOrderModuleList，进行初始化，初始化就是调用其DLLMain。可以看到的一点是InLoadOrderModuleList中有exe本身的模块，而InInitializationOrderModuleList中只有exe依赖的DLL。（当然，这随着系统版本在发生变化）

我们要使用的是InInitializationOrderModuleList，挂入该链表中的为LDR_DATA_TABLE_ENTRY，也就是说，每个加载的模块对应于一个LDR_DATA_TABLE_ENTRY，该结构如下：

/*****************************************************************************/typedef struct _LDR_DATA_TABLE_ENTRY  {      LIST_ENTRY InLoadOrderLinks;      LIST_ENTRY InMemoryOrderLinks;      LIST_ENTRY InInitializationOrderLinks;      PVOID DllBase;      PVOID EntryPoint;      DWORD SizeOfImage;      UNICODE_STRING FullDllName;      UNICODE_STRING BaseDllName;      DWORD Flags;      WORD LoadCount;      WORD TlsIndex;      LIST_ENTRY HashLinks;      PVOID SectionPointer;      DWORD CheckSum;      DWORD TimeDateStamp;      PVOID LoadedImports;      PVOID EntryPointActivationContext;      PVOID PatchInformation;  }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;  /*****************************************************************************/

同样，在我的机器上为：

前面三个链表对应于该结构挂入的三个链表，重点在于第四个成员DllBase，这是载入模块的基地址。因此，我们只需要顺着InInitializationOrderModuleList链表找到kernel32.dll的PLDR_DATA_TABLE_ENTRY，然后通过其DllBase成员，就知道了kernel32.dll载入的地址。那么InInitializationOrderModuleList链表中哪一个kernel32.dll呢？最保险的方法是解析FullDllName成员，这样代码会比较复杂。实际上在特定版本的系统中，动态库初始化的顺序是一定的，第一个为ntdll.dll，第二个就是kernel32.dll。Vista 以后第二个是kernelbase.dll，第三个是kernel32.dll。因此，可以避免解析FullDllName成员。

现在，我们要找到进程的PEB结构地址，PEB结构保存于线程的TEB结构中的peb成员，而Windows系统中，寄存器fs总是指向当前线程的TEB。因此，获取kernel32.dll基地址的整个流程如下：

图38

写代码之前，先通过调试器顺着该顺序看一看，我用windbg加载的是example_1，输入:
d fs:[0x30]查看当前peb的地址：

图39

地址为0x7ffda000，输入：!peb，验证一下：

图40

是相同的。输入: d 7ffda000+0x0c，查看PEB_LDR_DATA结构的地址：

图41

输入： d 00251ea0+0x1c，查看InInitializationOrderModuleList链表：

图42

先列一下LIST_ENTRY结构，Flink 指向下一个节点：

/*****************************************************************************/typedef struct _LIST_ENTRY {     struct _LIST_ENTRY *Flink;      struct _LIST_ENTRY *Blink; } LIST_ENTRY, *PLIST_ENTRY;/*****************************************************************************/

因此，0x00251f58是第一个元素。输入：d 0x00251f58查看以下其内容：

基地址为0x7c920000，但是右边显示为kernel32.dll？？？第一个元素不是ntdll.dll吗？

来看看下一个元素：

基地址为0x7c800000，显示为uer32.dll，看来是出了一些问题，输入!peb来看看：

这里的基地址和名称对应才是对的。

下面来写获取kernel32.dll基地址的代码：

/*****************************************************************************/// example_8 获取kernel32.dll的基地址#include <stdio.h>// 获取kernel32.dll的基地址int get_kernel32_base(){    __asm    {        mov eax, fs:[0x30]  // PEB        mov eax, [eax+0x0c] // PEB->Ldr        mov eax, [eax+0x1c] // PEB->Ldr.InInitializationOrderModuleList.Flink(指向第一个元素)        mov eax, [eax]      // 指向第二个元素        mov eax, [eax+0x08] // kernel32.dll基地址    }}int main(){    printf("0x%x\n", get_kernel32_base());    return 0;}/*****************************************************************************/

结果如下：

图43

这里是一种方法，其它方法（包括Windows 7）请看：

http://blog.harmonysecurity.com/2009_06_01_archive.html