shellcode开发艺术前导篇

2024-01-25 23:38
文章标签 开发 艺术 shellcode 前导

本文主要是介绍shellcode开发艺术前导篇,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文是一些比较基础的shellcode开发技巧,有些技巧可能已经过时了。所有内容均摘自《0day安全软件漏洞分析技术 第二版》

关于exploit和shellcode的区别:
植入代码前需要大量调试,如,弄清程序有几个输入点,这些输入将最终会当做哪几个函数的第几个参数读入到内存的哪一个区域,哪一个输入会造成栈溢出,在复制到栈区的时候对这些数据有没有额外的限制等。调试之后,还要计算函数返回地址距离缓冲区的偏移并淹没之,选择指令的地址,最终制作出一个有攻击效果的“承载”着shellcode的输入字符串。这个代码植入的过程就是漏洞利用,即exploit
exploit关心的是怎样淹没返回地址,获得进程控制权,把EIP传递给shellcode让其得到执行,而并不关心shellcode到底是弹出一个对话框还是格式化硬盘。

设计shellcode需要考虑以下问题:
1. shellcode的地址是动态变化的(程序运行过程中被动态加载),如何定位到shellcode?
2. 缓冲区有shellcode、函数返回地址、用于填充的数据,我们该如何组织缓冲区的这些内容?(有人可能觉得这个问题莫名其妙,请看下面2. 组织缓冲区
3. shellcode运行中势必要用到一些系统API,而不同系统、机器下同一API的入口地址等往往有所差异。如何让shellcode自动获得API地址?
4. shellcode太大,如何绕过软件对缓冲区的限制及IDS(入侵检测系统)等检查?
5. 在整个缓冲区空间有限的情况下,如何使代码更加精简?

0. shellcode调试模板

char shellcode[]="\x66\x81\xEC......"; //预调试的十六进制机器码void main(){__asm{lea eax,shellcodepush eaxret}
}

1. 定位shellcode

有人想,我们完全可以用越界的字符将返回地址覆盖为shellcode在内存中的起始地址。然而由于动态链接库的装入和卸载等原因,win进程函数栈帧“移位”,shellcode在内存中的地址是会动态变化的。
这里给出一个解决办法,此办法基于以下两点:

1. kernel32.dll、user32.dll之类的动态链接库几乎会被所有进程加载,且加载基址始终相同
2. ESP寄存器不会被缓冲区的溢出数据干扰,只要函数返回时(retn执行后),ESP一定恰好指向栈帧中返回地址的后一个位置

所以解决办法是:用kernel32.dll(或其他dll)内存中任意一个jmp esp指令的地址覆盖函数返回地址;重新布置shellcode,确保shellcode恰好摆放在函数返回地址之后。这样,jmp esp指令执行后会恰好跳进shellcode

除了利用jmp esp定位shellcode,还可以利用mov eax espjmp eax等指令进入栈区,而EAX、EBX、ESI等寄存器也会指向栈顶附近,我们只要保证栈区的一大段nop执行之后就是shellcode即可

2. 组织缓冲区

把shellcode放在函数返回地址之后的话,可以不用担心自身被压栈数据破坏,但是这样一来shellcode可能会破坏前栈帧数据,导致无法让函数正常返回继续执行原程序。
当缓冲区相对shellcode较大时,我们把shellcode放在缓冲区的“前端”(内存低址方向),这时shellcode离栈顶较远,压栈操作可能只会破坏一些填充值nop。
如果担心shellcode被压栈数据破坏,可以在shellcode一开始就大范围抬高栈顶,把shellcode“藏”在栈内。

有时候,返回地址距离缓冲区的偏移量不确定,可以这样:
这里写图片描述
但是这个做法有个缺陷,我们想要的恶意函数返回地址有可能按照字节错位。如不同输入下strcat产生的字节错位导致返回地址0x7c81cdda发生错位:
这里写图片描述
解决办法是:使用0x0a0a0a0a、0x0c0c0c0c之类的返回地址。当然这种情况下,shellcode位于堆上。

3. 定位API

这里写图片描述
为了使shellcode尽可能短,在函数名导出表中搜索函数名时,一般情况不会直接比对函数名字符串,而是对所需API函数名进行hash运算,在搜索导出表时对当前函数名也进行同样的hash,比较两次hash所得摘要。此法虽引入额外算法,但胜在节约存储函数名称字符串空间。
利用此法进行hash摘要比较时,注意先将增量标志DF清零,否则字串处理方向可能会让摘要比较发生错误。

4. shellcode编码

很多场景里shellcode会受如下限制:
NULL字节限制、可见字符ASCII值或Unicode值限制,甚至有IDS系统会根据代码特征拦截shellcode。
可以对shellcode进行编码,附带一段解码程序,这样就可以只重点关注解码程序是否符合限制。
最简单的编码过程就是异或运算,但是要注意用于异或的特定数据不能喝shellcode已有字节相同,否则编码后会产生NULL字节。

5. 精简代码

尽量选短指令、复合指令
尽量节约指令,降低代码冗余度(如很多API调用会向栈中压入NULL,可考虑初始时将栈中一大片区域全置为NULL,从而节约xor ebx,ebx;push ebx之类的指令;又如许多系统API都比较健壮,两个API用到的数据结构重叠也没关系)
不用把代码和数据分得太开
活用寄存器
活用hash

这篇关于shellcode开发艺术前导篇的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/644999

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

Vue3项目开发——新闻发布管理系统(六)

文章目录 八、首页设计开发1、页面设计2、登录访问拦截实现3、用户基本信息显示①封装用户基本信息获取接口②用户基本信息存储③用户基本信息调用④用户基本信息动态渲染 4、退出功能实现①注册点击事件②添加退出功能③数据清理 5、代码下载 八、首页设计开发 登录成功后,系统就进入了首页。接下来,也就进行首页的开发了。 1、页面设计 系统页面主要分为三部分,左侧为系统的菜单栏,右侧

v0.dev快速开发

探索v0.dev:次世代开发者之利器 今之技艺日新月异,开发者之工具亦随之进步不辍。v0.dev者,新兴之开发者利器也,迅速引起众多开发者之瞩目。本文将引汝探究v0.dev之基本功能与优势,助汝速速上手,提升开发之效率。 何谓v0.dev? v0.dev者,现代化之开发者工具也,旨在简化并加速软件开发之过程。其集多种功能于一体,助开发者高效编写、测试及部署代码。无论汝为前端开发者、后端开发者

pico2 开发环境搭建-基于ubuntu

pico2 开发环境搭建-基于ubuntu 安装编译工具链下载sdk 和example编译example 安装编译工具链 sudo apt install cmake gcc-arm-none-eabi libnewlib-arm-none-eabi libstdc++-arm-none-eabi-newlib 注意cmake的版本,需要在3.17 以上 下载sdk 和ex