Shellcode

整理下Shellcode相关

先看下网上的定义：

    Shellcode实际是一段代码（也可以是填充数据），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务器的。Shellcode是溢出程序和蠕虫病毒的核心，提到它自然就会和漏洞联想在一起，毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shellcode，因此掌握Shellcode编写技术就显得尤为重要。

 

接下来分析下原理：

首先如果我们用C++定义一个函数，反汇编通常会这样：

push ebp

mov ebp ,esp

...

...

...

mov esp,ebp

pop ebp

 

    首先push ebp存储ebp，然后用寄存器ebp存储esp，esp是当前堆栈指针。

如果我们此时在函数里定义了相关局部变量，那么esp就会做减法，比如之前是A,那么esp现在就是A-Size，这个Size的大小就是局部变量大小，然后区间[A-size，A]就是用来存储新变量的。当函数退出的时候，就执行相反操作，还原esp，然后再还原ebp，之后会继续从栈里面取出来一个值，直接通过这个值跳转到函数退出的位置。

 

1.定义一个空的main函数

 

对应反汇编如下

2.继续定义一个简单函数：

 

反汇编代码如下：

 

3.定义变量的函数

 

反汇编代码：

 

    基本是满足上面说的那个的，但是仔细观察会发现几个问题，首先例子2没有mov esp,ebp是因为本身esp没有变化，也就是没有在函数里面开变量，然后是在 pop ebp之后又多出来一个ret但是没有pop aa ,jump aa。这个地方我是这么理解的：

    return   等价于  pop ebp , ret

    ret 等价于 pop A ,jump A

    这样就能理解了。同时还要注意一点就是在调用MessageBox的时候（其他也是）我们负责push了四个参数，然后等函数调用完成之后没有进行pop这四个参数，原因是，MessageBox函数里面已经帮我们处理完了。

  而shellcode的原理就是通过给内存传递大于本来能存储的内容，导致在函数里面存储变量的站地址[esp-A ,A]之间的内容过多，使得栈被破坏，首先破坏的是栈里备份的ebp，其次就是函数返回地址，也就是我们可以故意通过溢出来修改栈地址，至于修改内容，就是直接写机器码。把相关机器码拷贝过去，但是注意一点就是要注意函数的反汇编结构，否则很容易导致函数无法退出等崩溃。

例如下面的例子：

 

    这样的崩溃其实就是导致Fun里面的堆栈被破坏，使得Fun函数退出的时候准备从栈里找回去的地址，但是该地址被破坏，导致无法预知的异常。

  至于机器码：可以通过vs写好功能C++代码之后，运行起来，然后进行反汇编，反汇编可以找每一行汇编的内存地址，然后再根据地址在vs上直接定位到内存信息就可以了，大体是这样：

  为了方便理解shellcode，我写了一个测试例子：调用一个函数，同时跳转到另外两个函数，最后在跳转回来，这个例子刚写的时候崩溃了很多次，原因是我注释里面加********的那一行。

 

#include <string>#include <windows.h>using namespace std; DWORD dwGetHomeAddress ;// 跳回main函数的地址  typedef VOID (*TYPEFUN)();TYPEFUN m_pF0;  //函数0地址TYPEFUN m_pF1;  //函数1地址TYPEFUN m_pF2;  //函数2地址 VOID Func0(){MessageBox(NULL ,L"f0" ,L"tit" ,MB_OK);DWORD dwNextCmdAddress;//接下来跳转地址__asm{mov esp,ebp//pop ebp ***pop dwNextCmdAddresspush dwGetHomeAddressret}} VOID Func1(){MessageBox(NULL ,L"f1" ,L"tit" ,MB_OK);DWORD dwNextCmdAddress;//接下来跳转地址__asm{  mov esp,ebp  //pop ebp ***  pop dwNextCmdAddress  push m_pF0  ret}}VOID Func2(){MessageBox(NULL ,L"f2" ,L"tit" ,MB_OK);DWORD dwNowEbp ,dwNowEsp;DWORD dwStackEbp ,dwStackEsp;__asm{    mov dwNowEbp ,ebpmov dwNowEsp ,esp                   //临时存储下 mov esp ,ebp       //修改函数退出跳转地址为f1地址，同时把回家地址（跳转到main）存在dwGetHomeAddress里pop dwStackEbppop dwGetHomeAddresspush m_pF1push dwStackEbp                  //恢复寄存器的值mov ebp,dwNowEbpmov esp,dwNowEsp}}int _tmain(int argc, _TCHAR* argv[]){m_pF0 = Func0;m_pF1 = Func1;m_pF2 = Func2;Func2();MessageBox(NULL ,L"main" ,L"tit" ,MB_OK);return 0;} 

OK 就简单整理这些，之后在上相关的应用吧。