shellcode 是什么?
“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”
为了写出位置无关的代码,需要注意以下几点:
不能对字符串使用直接偏移,必须将字符串存储在堆栈中
dll中的函数寻址,由于 ASLR 不会每次都在同一个地址中加载,可以通过 PEB.PEB_LDR_DATA 找到加载模块调用其导出的函数,或加载新 dll。
避免空字节
NULL 字节的值为 0x00,在 C/C++ 代码中,NULL 字节被视为字符串的终止符。因此,shellcode 中这些字节的存在可能会干扰目标应用程序的功能,并且我们的 shellcode 可能无法正确复制到内存中。
用下面的语句代替上面的语句,结果是一样的。
此外,在某些特定情况下,shellcode 必须避免使用字符,例如 \r 或 \n,甚至只使用字母数字字符。
windows下dll加载的机制
在 Windows 中,应用程序不能直接访问系统调用,使用来自 Windows API ( WinAPI ) 的函数,Windows API函数都存储在 kernel32.dll、advapi32.dll、gdi32.dll 等中。ntdll.dll 和 kernel32.dll 非常重要,以至于每个进程都会导入它们:
这是我编写 nothing_to_do 程序,用 listdlls列出导入的 dll:
dll寻址
TEB(线程环境块)该结构包含用户模式中的线程信息,32位系统中我们可以使用 FS 寄存器在偏移0x30处找到进程环境块(PEB) 的地址。
PEB.ldr 指向PEB_LDR_DATA提供有关加载模块的信息的结构的指针,包含kernel32 和 ntdll 的基地址
PEB_LDR_DATA.InMemoryOrderModuleList 包含进程加载模块的双向链表的头部。列表中的每一项都是指向 LDR_DATA_TABLE_ENTRY 结构的指针
LDR_DATA_TABLE_ENTRY 加载的 DLL 信息:
tips
在 Vista 之前的 Windows 版本中,InInitializationOrderModuleList 中的前两个DLL是 ntdll.dll和kernel32.dll,但对于 Vista 及以后的版本,第二个DLL更改为kernelbase.dll。
InMemoryOrderModuleList 中的第一个 calc.exe(可执行文件),第二个是ntdll.dll,第三个是kernel32.dll,目前这适用于所有 Windows 版本是首选方法。
kernel32.dll寻址流程:
转化为汇编代码:
dll导出表中函数寻址
之前学习pe结构相关资料在这。
ImageOptionalHeader32.DataDirectory[0].VirtualAddress 指向导出表RVA,导出表的结构如下:
函数寻址流程::
导出表寻址汇编:
查找 Winexec 函数名:
查找 Winexec 函数指针:
调用 Winexec 函数:
最终的shellcode:
dump shellcode
vs 生成 shellcode 体积膨胀了好多,用 masm 重新写一下,体积小了很多:shellcode.asm
编译:
两种方法:
dumpbin.exe
$ dumpbin.exe /ALL .\shellcode.obj
从 PE .text 区块中读取
从 PointerToRawData 开始,取 VirtualSize 大小的数据
用 golang 写个 loader
loader.go,直接用Makefile编译:$ make
成功!!!
最后
关注私我获取【网络安全学习攻略】