【安全健行】(5):shellcode編碼-創(chuàng)新互聯(lián)

2015/5/19 18:08:45

上一節(jié)我們介紹了基本shellcode的編寫,采用的是exit()、setreuid()和execve()三個(gè)系統(tǒng)調(diào)用,實(shí)際中當(dāng)然是根據(jù)自己的需要來選擇合適的系統(tǒng)調(diào)用了,系統(tǒng)調(diào)用號(hào)需要查看syscalltable,參數(shù)的壓入也是采取類似的方式,處理好堆棧,編寫匯編代碼并不十分困難。

合肥ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景,ssl證書未來市場(chǎng)廣闊!成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道,可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18980820575(備注:SSL證書合作)期待與您的合作!

這一節(jié)我們要來介紹下shellcode的編碼,那么為什么要對(duì)shellcode進(jìn)行編碼呢?大致原因有以下幾個(gè):

  • 避免出現(xiàn)Bad字符,如\x00、\xa9等;

  • 避開IDS或其他網(wǎng)絡(luò)檢測(cè)器的檢測(cè);

  • 遵循字符串過濾器;

接下來,我們來簡(jiǎn)單介紹一種shellcode編碼的方式。

一、簡(jiǎn)單的XOR編碼

計(jì)算機(jī)中一種常見的位運(yùn)算是XOR運(yùn)算,即“按位異或”。當(dāng)初自己記憶這個(gè)運(yùn)算時(shí)還費(fèi)了一些功夫才和“按位與|或”運(yùn)算區(qū)分開。異或運(yùn)算的本質(zhì)是判斷對(duì)應(yīng)二進(jìn)制位是否相同,若不同-->異-->True;若相同-->同-->False。因此可以說XOR運(yùn)算是判斷對(duì)應(yīng)二進(jìn)制位不同的運(yùn)算

XOR運(yùn)算有著很好的運(yùn)算特性,即一個(gè)數(shù)與一個(gè)數(shù)XOR兩次會(huì)得到自身:

0 XOR 0 = 0
0 XOR 1 = 1
1 XOR 1 = 0
1 XOR 0 = 1
101 XOR 100 = 001
001 XOR 100 = 101

我們利用這個(gè)特點(diǎn)可以構(gòu)造shellcode編碼和基本的加密,當(dāng)然,密鑰(上例中的0x100)自然要硬編碼進(jìn)shellcode了。

二、JMP/CALL XOR×××

既然對(duì)shellcode編碼,那么也就意味著要解碼。我們的模型大概是下面的樣子:

[decoder][encoded shellcodes]

一般來說,如果×××需要知道自己的位置,這樣就可以計(jì)算出編碼的shellcode的位置開始解碼。確定×××位置通常被稱作GETPC,方法有許多種,今天我們來介紹其中的一種:JMP/CALL。

JMP/CALL的思想是:

  1. JMP指令跳轉(zhuǎn)到CALL指令;

  2. 該CALL指令位于編碼的shellcode之前;

  3. CALL指令會(huì)創(chuàng)建一個(gè)新棧,因此將當(dāng)前的EIP指針壓棧(即編碼shellcode的起始地址);

  4. CALL調(diào)用的過程將壓棧的地址彈出保存到寄存器中;

  5. 利用保存的寄存器進(jìn)行shellcode解碼;

  6. JMP到shellcode處執(zhí)行;

看起來復(fù)雜,我們看看下面的匯編代碼就明白了,注意每條匯編語句后的執(zhí)行順序標(biāo)號(hào),可以幫助大家理解整個(gè)流程:

global _start

_start:
jmp short call_point   ;1. JMP to CALL

begin:
pop esi         ;3.將棧中的shellcode地址彈出保存到寄存器esi中便于后續(xù)解碼
xor ecx, ecx       ;4.清空ecx
mov cl, 0x0       ;5.shellcode長(zhǎng)度設(shè)為0

short_xor:
xor byte[esi], 0x0    ;6.0x0是這里的編碼key
inc esi         ;7.ESI指針遞增,遍歷所有的shellcode字節(jié)
loop short_xor      ;8.循環(huán)直到shellcode解碼完畢

jmp short shellcodes   ;9.跳過CALL直接到達(dá)shellcode段

call_point:
call begin        ;2.CALL begin過程,同時(shí)將當(dāng)前的EIP即shellcode的起始地址壓入棧中

shellcodes:       ;10.執(zhí)行解碼后的shellcode

這里放置解碼后的shellcode

整體的流程就是這樣,只要仔細(xì)留心邏輯順序和shellcode地址的壓棧彈棧,JMP/CALL并不難理解。

Refer: Gray Hat Hacking: The Ethical Hacker's Handbook, Third Edition

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站名稱:【安全健行】(5):shellcode編碼-創(chuàng)新互聯(lián)
文章URL:http://muchs.cn/article42/ddosec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設(shè)響應(yīng)式網(wǎng)站、ChatGPT服務(wù)器托管、網(wǎng)站設(shè)計(jì)網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)