Cum obtinem un ShellCode?
Ce este un ShellCodingul ? In principiu, cand ne gandim la ShellCoding ne gandim la orice cod care returneaza un remote shell cand este executat. Intelesul cuvantului ShellCode a evoluat, acum intelegand prin acest cuvant orice byte code care este introdus intr-un exploit pentru a indeplini o anumita sarcina. ATENTIE! Un shellcode nu trebuie sa contina Null Bytes si este ideal ca acesta sa aiba o dimensiune in bytes cat mai mica. Un alt amanunt destul de important este faptul ca in acest tutorial voi prezenta doar Window ShellCoding, nu si Linux ShellCoding. Multumiri multe ii sunt aduse lui SlicK.
Sa incepem! Toolurile de care aveti nevoie pe parcursul tutorialului:
1. NASM [Compilarea programelor ASM o vom face in NASM]
Download Link: [url] http://nasm.sourceforge.net/ [/url]
2. ALINK [Programul .exe il vom realize folosind acest tool]
Download Link: [url] http://alink.sourceforge.net/download.html [/url]
3. ARWIN [Cu acest program C, care trebuie compilat, putem gasi adresele functiilor API in respectivul dll in care ele se afla]
Download Link: [url] http://www.vividmachines.com/shellcode/arwin.c [/url]
4. W32DASM [Dezasamblator, va recomand versiunea 8.93]
5. WDHEX [Un program util care copiaza ShellCodeul dintr-o lista .alf salvata anterior cu W32DASM].
Download Link: [url] http://rapidshare.com/files/46936025/wdhex.exe.html [/url]
Avand aceste tooluri si niste cunostine decente de ASM, sa vedem cum se poate extrage ShellCodeul, iar, mai apoi, sa optimizam codul ASM pentru ca ShellCodeul sa fie de dimensiune cat mai mica si sa nu contina Null Bytes (\x00).
Sa consideram un mic cod ASM, care nu face nimic altceva decat sa produca un Beep ! ATENTIE! Un amanunt destul de important pe care eu nu il voi atinge in acest tutorial [poate intr-o versiune ulterioara] este faptul ca orice program vine incarcat in decat cu kernel32.dll, deci utilizarea altor functii api din alte dlluri (user32.dll, etc.) necesita incarcarea librariei respective (2 functii API sunt foarte importante aici: LoadLibraryA si GetProcAddress). Un alt amanunt important, cand vom extrage shellcodeul, il vom extrage doar din zona ..start a programului realizat in ASM, de aceea declararea variabilelor este INTERZISA, iar importarea functiilor API deasupra acestei sectiuni este iarasi incorecta. Un astfel de exemplu de cod incorrect este urmatorul:
| Cod: |
| %include “win32n.inc”extern SetCursorPos import SetCursorPos user32.dll title db “hello”,0 message db “hello world”,0 |
Ideea este alta, va prezint un mic cod, cum ar fi corect, apoi lasam balta aceasta idee si trecem la dezvoltarea bazelor ShellCodingului.
| Cod: |
| segment .code USE32 ..start xor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx jmp short functie ; sari la labelul @functie functie2: pop eax ;scoate din stack ultima valoare si baga in eax mov byte [eax+10], dl ;scriem 10 caractere: user32.dll, ignoram N mov ebx, 0×77e7d961 ;adresa functiei LoadLibraryA push eax ;echivalent cu push user32.dll call ebx ;callam LoadLibraryA mov ecx, eax xor eax, eax jmp short functie3 functie4: pop eax mov byte [eax+12], dl mov ebx, 0×77e7b332 ;adresa functiei GetProcAddress push eax push ecx call ebx restul: push byte 1 push byte 1 call eax ;SetCursorPos mov ebx, 0×77e798fd ;adresa functiei ExitProcess push byte 1 call ebx functie: call functie2 db ‘user32.dllN’ jmp short functie2 ; sari (intoarce-te la labelul @functie2) functie3: call functie4 db ‘SetCursorPosN’ |
Daca am fi realizat un cod in FASM care sa faca acest lucru era mult mai simplu, deoarece am fi putut utiliza direct variabilele, iar in NASM nu putem scrie ceva genul: push ceva Call [functieapi], decat daca ceva este numar. De aceea, inainte de a executa labelul specific unei functii API am sarit la un alt label care calleaza labelul initial, dar in care se afla un element foarte important: db ‘SetCursorPosN’, unde SetCursorPos este numele “variabilei” care trebuie utilizata, iar N vine de la Null Byte. Traind cu speranta ca ati inteles ceva din codul de mai sus, trec la lucruri mai simple. Sa consideram micul nostru cod care face Beep.
| Cod: |
| ;beep.asm segment .code USE32 ..start: xor eax, eax xor ebx, ebx xor ecx, ecx mov ebx, 0×77eac910 ;adresa functiei Beep din kernel32.dll mov ax, 750 ;frecventa sunetului in Hertzi mov cx, 3000 ;durata Beepului push eax push ecx call ebx ;Callam functia Beep mov ebx, 0×77e798fd ;adresa functiei ExitProcess din kernel32.dll mov ax, 1 push eax call ebx |
Mai multe despre functia api Beep gasiti aici: [url] http://msdn2.microsoft.com/en-us/library/ms679277.aspx [/url].
Un alt lucru care trebuie sa vi-l spun este faptul ca in Windows, un cod NASM incepe cu segment .code USE32 ..start:, pe cand pe Linux incepe: [SECTION .text] global _start _start:
ATENTIE! Adresele functiilor api in dllurile lor pot diferi de la un utilizator de Windows la altul, datorita versiunii de Windows, versiunii Service Packului si datorita diferitelor updateuri care se aduc zi de zi. De aceea vom utiliza ARWIN pentru aflarea adreselor functiilor in dllurile din windowsul nostru.
Intram in fisierul in care am salvat arwin.exe folosind CMD ! Dupa ce am ajuns, tastam urmatoarea comanda: arwin.exe NumeleDllului NumeleFunctiei. Spre exemplu, putem introduce: arwin.exe kernel32.dll Beep. Poate imaginea urmatoare va fi de folos:
Dupa ce inlocuim in codul de mai sus adresele dumneavoastra ale functiilor API, poate incepe distractia! Copiati codul [cu tot cu modificarea dumneavoastra] in notepad si apoi salvati cu extensia .asm (File -> Save As -> Filename: beep.asm). Deci fisierul nostru se va numi beep si va avea extensia .asm. Ideal ar fi sa salvati toate toolurile care le-am prezentat mai sus [compilate-cele care au nevoie de asa ceva] impreuna cu beep.asm intr-un folder. Acum deschideti iar CMD pentru a compila codul ASM si pentru a-l face .exe ! Intrati din cmd in folderul in care ati salvat toate cele de mai sus. Apoi tastati urmatoarea comanda: nasmw.exe -fobj beep.asm. Asa verificam daca programul are erori, daca nu are, putem trece mai departe la crearea executabilului. Introduceti in CMD: alink -c -oPE -subsys gui beep, iar daca operatiunea a decurs fara nicio problema, atunci puteti rula executabilul tastand in CMD: beep ! Sper ca imaginea urmatoare sa fie edificatoare:
Acum ca am reusit crea executabilul, sa extragem ShellCodeul. Pentru aceasta, deschideti .exele cu w32dasm.
In imaginea de mai sus, observam ca sunt prezente 3 coloane: adresele, shellcodeul si codul ASM (de la stanga la dreapta). Putem sa extragem acest shellcode manual, adica, spre exemplu, din 31C031DB obtinem: “\x31\xC0\x31\xDB”, sau folosind wdhex, care extrage ShellCodeul automat pentru noi. Pentru a face acest lucru, trebuie mai intai sa salvam ceea ce am vazut in W32DASM. Cum facem asta ? Simplu: File -> Save Disassembly Text File and Create Project File -> FileName: beep.ALF -> Ok. Atentie, fisierul trebuie sa aiba extensia .ALF, nu .ELF (care este specific Linuxului). Intrati in CMD in foldeul in care ati salvat beep.alf si in care [sper] aveti si wdhex.exe, si tastati urmatoarea comanda: wdhex beep.alf ! Programul va va arata shellcodeul deja extras.
In concluzie, shellcodeul nostrum este urmatorul:
| Cod: |
| char shellcode[]= “\x31\xC0\x31\xDB\x31\xC9\xBB\x10\xC9\xEA\x77\x66\xB8\xEE\x02″ “\x66\xB9\xB8\x0B\x50\x51\xFF\xD3\xBB\xFD\x98\xE7\x77\x66\xB8″ “\x00\x00\x50\xFF\xD3″; |
Cum putem verifica daca ShellCodeul functioneaza ? Foarte simplu! Sa consideram urmatorul “schelet” al unui program in C:
| Cod: |
| /*shellcodetest.c*/ char code[] = “bytecode will go here!”; int main(int argc, char **argv) { int (*func)(); func = (int (*)()) code; (int)(*func)(); } |
Dumneavoastra trebuie sa inlocuiti “bytecode will go here!” cu shellcodeul dumneavoastra, sa compilati programul, sa-l faceti .exe, iar apoi sa vedeti daca functioneaza.
Optimizarea ShellCodeului
Cum am precizat la inceput, este ideal ca ShellCodeul sa nu contina Null Bytes, dar, din pacate, codul nostru contine deja 2 nullbytes (“\x00\x00”). Ideea este sa verificam de unde acestia provin si sa incercam, daca se poate, sa ii eliminam. Daca ne uitam in imaginea din W32DASM, NullBytes provin de pe linia mov ax, 1. Se stie ca registrul eax are 3 parti -> ax, ah, al. al reprezinta partea inferioara a registrului. Sa incercam sa schimbam linia mov ax, 1 cu mov al, 1. Pe langa faptul ca vom scapa de NullBytes, programul va avea 32 de bytes !!!
Cam atat am avut de prezentat, o sa rectific eventualele greseli in caz ca acestea exista (si daca exista, imi cer din tot sufletul iertare pentru ele, mai ales ca am incercat sa creez ceva util si folositor). Asa ca tineti aproape!
Linkuri Utile:
- [url] http://www.vividmachines.com/shellcode/shellcode.html [/url]
- [url] http://en.wikipedia.org/wiki/Shellcode [/url]
- [url] http://www.bradleybeast.com/content/view/84/ [/url]
Enjoy it!
@vladii 2007
Completat sub: r Uncategorized | Tagged: arwin, asm, informatica, nasm, shellcode, vladii, w32dasm
bv vlade , mai pune si altele