【网络安全】Metasploit生成的Shellcode的导入函数解析以及执行流程分析(2)

密码破解的利器——彩虹表(rainbow table)

确定 shellcode 依赖于哪些导入将使研究人员进一步了解其其余逻辑。不用动态分析shellcode，并且考虑到研究人员已经弄清楚了上面的哈希算法，研究人员可以自己构建一个彩虹表。

彩虹表是一个预先计算好的表，用于缓存加密哈希函数的输出，通常用于破解密码哈希。

以下 Python 代码段计算位于最常见系统位置的 DLL 导出的“Metasploit”哈希值。

例如，下面的PowerShell命令生成一个彩虹表，然后搜索下图中首先观察到的726774Ch哈希值。为了方便大家，研究人员发布了包含 239k 哈希值的 Rainbow.csv 版本。

如上所述，shellcode解析并调用的第一个导入是LoadLibraryA，它由32位和64位kernel32.dll导出。

执行流程分析

将导入解析排序后，理解剩余的代码变得更加容易。如下图所示，shellcode开始执行以下调用：

在㉗处LoadLibraryA确保ws3_32库加载，如果还没有加载，它将映射内存中的ws3_32.dll DLL，使shellcode能够进一步解析与Windows Socket 2技术相关的附加函数。

在㉙处，WSAStartup在 shellcode 的进程中启动套接字的使用。

WSASocketA 在㉙处创建一个新的套接字，这将是一个基于流(SOCK_STREAM)的IPv4套接字(AF_INET)。

套接字初始化的反汇编

创建套接字后，shellcode 继续调用 ㉝ 处的连接函数，并使用先前进入堆栈 (㉜) 的 sockaddr_in 结构。 sockaddr_in 结构包含从事件响应角度看的有价值的信息，例如协议（0x0200 是 AF_INET，又名 IPv4，小端）、端口（0x115c 是大端的默认 4444 Metasploit 端口）以及 C2 IPv4 地址㉛（0xc0a801ca 在大字节序中是 192.168.1.202）。
【网络安全学习资料】
如果连接失败，shellcode 最多重试 5 次（在 ㉞ 处定义的计数器在 ㉚ 处递减），之后它将使用 ExitProcess (㉟) 中止执行。

如果连接成功，shellcode 将创建一个新的 cmd 进程并将其所有的标准错误、输出和输入（㊱）连接到已建立的 C2 套接字。进程本身是通过 ㊲ 处的 CreateProcessA 调用启动的。

逆向shell

最后，当进程运行时，shellcode执行以下操作：

通过调用 WaitForSingleObject 在 ㊳ 处无限期等待远程 shell 终止；

终止后，使用 GetVersion 在 ㊴ 处识别 Windows 操作系统版本，并使用 ExitProcess 或 RtlExitUserThread 在 ㊵ 处退出；