Shellcode

最新推荐文章于 2025-05-14 10:58:38 发布
最新推荐文章于 2025-05-14 10:58:38 发布
阅读量6.9k 收藏 15
点赞数 3
CC 4.0 BY-SA版权
文章标签: Shellcode Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/52853319

整理下Shellcode相关

先看下网上的定义:

    Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hackerVxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shellcode,因此掌握Shellcode编写技术就显得尤为重要。

 

接下来分析下原理:

首先如果我们用C++定义一个函数,反汇编通常会这样:

push ebp

mov ebp ,esp

...

...

...

mov esp,ebp

pop ebp

 

    首先push ebp存储ebp,然后用寄存器ebp存储espesp是当前堆栈指针。

如果我们此时在函数里定义了相关局部变量,那么esp就会做减法,比如之前是A,那么esp现在就是A-Size,这个Size的大小就是局部变量大小,然后区间[A-sizeA]就是用来存储新变量的。当函数退出的时候,就执行相反操作,还原esp,然后再还原ebp,之后会继续从栈里面取出来一个值,直接通过这个值跳转到函数退出的位置。

 

1.定义一个空的main函数

 

对应反汇编如下


2.继续定义一个简单函数:

 

反汇编代码如下:

 

3.定义变量的函数

 

反汇编代码:

 

    基本是满足上面说的那个的,但是仔细观察会发现几个问题,首先例子2没有mov esp,ebp是因为本身esp没有变化,也就是没有在函数里面开变量,然后是 pop ebp之后又多出来一个ret但是没有pop aa ,jump aa。这个地方我是这么理解的:

    return   等价于  pop ebp , ret

    ret 等价于 pop A ,jump A

    这样就能理解了。同时还要注意一点就是在调用MessageBox的时候(其他也是)我们负责push了四个参数,然后等函数调用完成之后没有进行pop这四个参数,原因是,MessageBox函数里面已经帮我们处理完了。

  而shellcode的原理就是通过给内存传递大于本来能存储的内容,导致在函数里面存储变量的站地址[esp-A ,A]之间的内容过多,使得栈被破坏,首先破坏的是栈里备份的ebp,其次就是函数返回地址,也就是我们可以故意通过溢出来修改栈地址,至于修改内容,就是直接写机器码。把相关机器码拷贝过去,但是注意一点就是要注意函数的反汇编结构,否则很容易导致函数无法退出等崩溃。

例如下面的例子:

 

    这样的崩溃其实就是导致Fun里面的堆栈被破坏,使得Fun函数退出的时候准备从栈里找回去的地址,但是该地址被破坏,导致无法预知的异常。

  至于机器码:可以通过vs写好功能C++代码之后,运行起来,然后进行反汇编,反汇编可以找每一行汇编的内存地址,然后再根据地址在vs上直接定位到内存信息就可以了,大体是这样:


  为了方便理解shellcode,我写了一个测试例子:调用一个函数,同时跳转到另外两个函数,最后在跳转回来,这个例子刚写的时候崩溃了很多次,原因是我注释里面加********的那一行。

 

#include <string>
#include <windows.h>
using namespace std;
 
DWORD dwGetHomeAddress ;// 跳回main函数的地址  
typedef VOID (*TYPEFUN)();
TYPEFUN m_pF0;  //函数0地址
TYPEFUN m_pF1;  //函数1地址
TYPEFUN m_pF2;  //函数2地址
 
VOID Func0(){
MessageBox(NULL ,L"f0" ,L"tit" ,MB_OK);
DWORD dwNextCmdAddress;//接下来跳转地址
__asm{
mov esp,ebp
//pop ebp ***
pop dwNextCmdAddress
push dwGetHomeAddress
ret
}
}
 
VOID Func1(){
MessageBox(NULL ,L"f1" ,L"tit" ,MB_OK);
DWORD dwNextCmdAddress;//接下来跳转地址
__asm{
  mov esp,ebp
  //pop ebp ***
  pop dwNextCmdAddress
  push m_pF0
  ret
}
}
VOID Func2(){
MessageBox(NULL ,L"f2" ,L"tit" ,MB_OK);
DWORD dwNowEbp ,dwNowEsp;
DWORD dwStackEbp ,dwStackEsp;
__asm{
    mov dwNowEbp ,ebp
mov dwNowEsp ,esp
                   //临时存储下
 
mov esp ,ebp       //修改函数退出跳转地址为f1地址,同时把回家地址(跳转到main)存在dwGetHomeAddress里
pop dwStackEbp
pop dwGetHomeAddress
push m_pF1
push dwStackEbp
                  //恢复寄存器的值
mov ebp,dwNowEbp
mov esp,dwNowEsp
}
}
int _tmain(int argc, _TCHAR* argv[]){
m_pF0 = Func0;
m_pF1 = Func1;
m_pF2 = Func2;
Func2();
MessageBox(NULL ,L"main" ,L"tit" ,MB_OK);
return 0;
}

OK 就简单整理这些,之后在上相关的应用吧。

shellcode编写探究
hongduilanjun的博客
07-21 1163
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
shellcode加载器
10-02
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...
ShellCode的编写入门
weixin_34014555的博客
03-21 196
上次学习了下堆喷漏洞的原理,虽说之前有学习过缓冲区溢出的原理,但还没了解过堆喷这个概念,于是趁此机会学习了,顺便复习了缓冲区溢出这块知识,之前由于各种原因对Shellcode的编写只是了解个大概,并没有真正动手写过一个Shellcode。眼前遇到个堆喷漏洞找Shellcode时就下决定自己写个Shellcode,考虑到时间和精力的有限就写个计算器简单的练练手。 注:以下在XP SP3+VC6.0...
渗透中 PoC、Exp、Payload、RCE、IOC,Shellcode 的区别
最新发布
daheshuiman的博客
05-14 179
由于程序中预留了执行代码或者命令的接口[如网络设备的web管理界面,自动化运维系统],并且提供了给用户使用的界面,导致被黑客利用, 控制服务器.6lOC: Indicator of compromise (IOC) ,失陷指标 ,一般命中就表示设备或者网络已经失陷 常见的IOC有 md5 哈希、C2 域或硬编码IP 地址、注册表项和文件名 般IP地址和URL都会做defang处理,可以借助cyberchef的defang实现。
shellcode编写
qq_39153421的博客
08-02 1248
1.前言漏洞利用最重要的就是shellcode的编写,漏洞发现者在漏洞发现之初并不会给出完整的shellcode,所以我们要学会自己编写shellcode。注:shellcode中不能出现NULL和/x00,存在其一再利用的时候会被截断。 2.什么是Shellcode shellcode是用作利用软件漏洞的有效载荷的一小段代码,因为它通常启动一个命令shell,攻击...
Shellcode的编写
WHACKW的专栏
06-06 1989
上次学习了下堆喷漏洞的原理,虽说之前有学习过缓冲区溢出的原理,但还没了解过堆喷这个概念,于是趁此机会学习了,顺便复习了缓冲区溢出这块知识,之前由于各种原因对Shellcode的编写只是了解个大概,并没有真正动手写过一个Shellcode。眼前遇到个堆喷漏洞找Shellcode时就下决定自己写个Shellcode,考虑到时间和精力的有限就写个计算器简单的练练手,顺便让像我这种小白人士学习学习。。。
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成...
shellcode-to-dll:shellcode 异或加密并生成dll
04-23
Shellcode是一种低级代码,通常用汇编语言编写,用于在目标系统上执行特定操作,如启动一个进程、打开网络连接等。它被设计成可以直接注入到内存中执行,而无需通过磁盘上的可执行文件。在网络安全和逆向工程领域,...
使用shellcode动态加载dll-易语言
06-11
在易语言中,通过shellcode动态加载DLL是一种高级技术,它涉及到进程注入、内存操作和逆向工程等多个领域的知识。 首先,我们需要理解shellcode的概念。Shellcode是一种计算机代码,通常用于利用软件漏洞,它可以被...
利用图片隐写术来远程动态加载shellcode1
08-03
本篇文章主要探讨如何利用这种技术将shellcode隐藏在BMP图片中,从而实现远程动态加载,增加隐蔽性和免杀性。Shellcode是攻击者常用的代码片段,通常用于绕过系统安全机制执行特定操作。 首先,我们要了解BMP文件的...
Shellcode编写
weixin_54452942的博客
04-23 1452
二是ESI寄存器的值自动增加32位,也就是当第一轮执行之后,esi中放的是下一个函数名称的地址,继续将其指向的内存空间的前四个字节送到eax中(也就是函数名称列表中的第一个函数名称的前四个字节),同时esi加4,指向了第二个函数名称的地址,一直向后比对,直到每个字节都比对成功后,此时的ecx中存的就是目标函数在函数名称列表中的位置。这个成员在PEB结构体中的偏移量是0x0C。在32位Windows系统中,FS寄存器指向TEB的起始地址,而在64位Windows系统中,GS寄存器指向TEB的起始地址。
学习写一个shellcode
tmzk的学习笔记
05-16 1729
一个简单的shellcode 最近对安全技术比较感兴趣,买了本灰帽黑客来看,发现书中的代码都是基于32位系统的,不能很好的在自己的X64架构的64位系统(Ubuntu15.10)上实验其代码,考虑到现在已经是64位的时代了,有必要搞懂在64位下如何实现,因此找了些相关的资料研究,终于把看懂的关于shellcode入门的32位汇编代码转成了64位的。 先看书本上32的汇编代码:
shellcode编写 - linux_x86
Palpitate_LL的博客
12-23 687
+Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数++把系统调用的编号存入 EAX;把函数参数存入其它通用寄存器;
shellcode编写入门_编写解析器入门
weixin_26705651的博客
09-24 350
shellcode编写入门This article discusses a simple approach to implement a handwritten parser from scratch and some fundamentals associated with it. This focuses more on explaining the practical aspects of ...
Shellcode编写技术
lidatou的专栏
08-05 1954
前些日子在调试http://www.microsoft.com/technet/security/bulletin/MS03-015.asp 的时候遇到了比较苦恼的事情,那就是我通过覆盖了eip或者seh来得到执行代码的权利,但是 现在网上流行的shellcode不能满足我的
shellcode
03-11
### Shellcode 定义 Shellcode 是一段精心编写的机器码指令序列,通常用于利用软件中的漏洞来执行任意代码。这段代码可以实现各种功能,最常见的是启动一个新的 shell 进程[^1]。 ### 工作原理 当存在可被利用的安全漏洞时,攻击者可以通过特定方式将 Shellcode 注入到目标程序的内存空间中,并通过控制程序流程使 CPU 执行这些注入的指令。具体过程如下: - **缓冲区溢出**:这是最常见的漏洞之一,允许攻击者覆盖函数返回地址或其他重要数据结构。 - **堆栈调整**:为了确保 Shellcode 能够正确执行,可能需要对寄存器状态或堆栈指针进行适当设置。 - **跳转至 Shellcode**:一旦成功修改了程序流,CPU 将转向并开始执行嵌入的目标机器指令。 ```assembly ; 假设这是一个简单的 x86 架构下的 Linux 反弹 Shell 的汇编代码片段 global _start section .text _start: ; 创建 socket xor eax, eax mov al, 0x66 ; syscall number for socketcall() push byte +0x1 ; SYS_SOCKET (first argument to socketcall()) pop ebx ; ... ``` ### 应用场景 尽管 Shellcode 主要关联于恶意活动,但在合法用途方面也有着重要作用: - **安全测试**:渗透测试人员会使用它来进行白盒/黑盒测试,评估系统的脆弱性和安全性。 - **防御机制开发**:了解如何构建和部署 Shellcode 对于创建更有效的防护措施至关重要。 - **教育与培训**:作为教学材料帮助学生掌握低级编程技巧以及操作系统内部运作细节[^2]。 ### 防范措施 鉴于 Shellcode 存在显著的安全隐患,在实际应用过程中应当采取必要的预防策略,比如启用 DEP(数据执行保护)、ASLR(地址空间布局随机化)等功能以增加攻击难度;定期更新补丁修复已知漏洞;实施严格的输入验证防止非法字符进入应用程序等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值