Despre ShellCoding

[vladiii]

Cum obtinem un ShellCode?

Ce este un ShellCodingul ? In principiu, cand ne gandim la ShellCoding ne gandim la orice cod care returneaza un remote shell cand este executat. Intelesul cuvantului ShellCode a evoluat, acum intelegand prin acest cuvant orice byte code care este introdus intr-un exploit pentru a indeplini o anumita sarcina. ATENTIE! Un shellcode nu trebuie sa contina Null Bytes si este ideal ca acesta sa aiba o dimensiune in bytes cat mai mica. Un alt amanunt destul de important este faptul ca in acest tutorial voi prezenta doar Window ShellCoding, nu si Linux ShellCoding. Multumiri multe ii sunt aduse lui SlicK.

Sa incepem! Toolurile de care aveti nevoie pe parcursul tutorialului:

1. NASM [Compilarea programelor ASM o vom face in NASM]

Download Link: http://nasm.sourceforge.net/

2. ALINK [Programul .exe il vom realize folosind acest tool]

Download Link: http://alink.sourceforge.net/download.html

3. ARWIN [Cu acest program C, care trebuie compilat, putem gasi adresele functiilor API in respectivul dll in care ele se afla]

Download Link: http://www.vividmachines.com/shellcode/arwin.c

4. W32DASM [Dezasamblator, va recomand versiunea 8.93]

5. WDHEX [un program util care copiaza ShellCodeul dintr-o lista .alf salvata anterior cu W32DASM].

Download Link: http://rapidshare.com/files/46936025/wdhex.exe.html

Avand aceste tooluri si niste cunostine decente de ASM, sa vedem cum se poate extrage ShellCodeul, iar, mai apoi, sa optimizam codul ASM pentru ca ShellCodeul sa fie de dimensiune cat mai mica si sa nu contina Null Bytes (\x00).

Sa consideram un mic cod ASM, care nu face nimic altceva decat sa produca un Beep ! ATENTIE! Un amanunt destul de important pe care eu nu il voi atinge in acest tutorial [poate intr-o versiune ulterioara] este faptul ca orice program vine incarcat in decat cu kernel32.dll, deci utilizarea altor functii api din alte dlluri (user32.dll, etc.) necesita incarcarea librariei respective (2 functii API sunt foarte importante aici: LoadLibraryA si GetProcAddress). Un alt amanunt important, cand vom extrage shellcodeul, il vom extrage doar din zona ..start a programului realizat in ASM, de aceea declararea variabilelor este INTERZISA, iar importarea functiilor API deasupra acestei sectiuni este iarasi incorecta. Un astfel de exemplu de cod incorrect este urmatorul:

%include "win32n.inc"

extern SetCursorPos
import SetCursorPos user32.dll
title db "hello",0
message db "hello world",0

Ideea este alta, va prezint un mic cod, cum ar fi corect, apoi lasam balta aceasta idee si trecem la dezvoltarea bazelor ShellCodingului.

segment .code USE32 
..start
xor eax, eax 
xor ebx, ebx 
xor ecx, ecx 
xor edx, edx 
jmp short functie   ; sari la labelul @functie
functie2: 
pop eax   ;scoate din stack ultima valoare si baga in eax
mov byte [eax+10], dl  ;scriem 10 caractere: user32.dll, ignoram N
mov ebx, 0x77e7d961 ;adresa functiei LoadLibraryA 
push eax  ;echivalent cu push user32.dll
call ebx  ;callam LoadLibraryA
mov ecx, eax 
xor eax, eax 
jmp short functie3 
functie4: 
pop eax 
mov byte [eax+12], dl 
mov ebx, 0x77e7b332 ;adresa functiei GetProcAddress 
push eax 
push ecx 
call ebx 
restul: 
push byte 1 
push byte 1 
call eax ;SetCursorPos 
mov ebx, 0x77e798fd ;adresa functiei ExitProcess 
push byte 1 
call ebx 
functie: 
call functie2 
db 'user32.dllN' 
jmp short functie2 ; sari (intoarce-te la labelul @functie2)
functie3: 
call functie4 
db 'SetCursorPosN'    

Daca am fi realizat un cod in FASM care sa faca acest lucru era mult mai simplu, deoarece am fi putut utiliza direct variabilele, iar in NASM nu putem scrie ceva genul: push ceva Call [functieapi], decat daca ceva este numar. De aceea, inainte de a executa labelul specific unei functii API am sarit la un alt label care calleaza labelul initial, dar in care se afla un element foarte important: db 'SetCursorPosN', unde SetCursorPos este numele “variabilei” care trebuie utilizata, iar N vine de la Null Byte. Traind cu speranta ca ati inteles ceva din codul de mai sus, trec la lucruri mai simple. Sa consideram micul nostru cod care face Beep.

;beep.asm
segment .code USE32
..start:
    xor eax, eax
    xor ebx, ebx
    xor ecx, ecx
    mov ebx, 0x77eac910  ;adresa functiei Beep din kernel32.dll
    mov ax, 750  ;frecventa sunetului in Hertzi
    mov cx, 3000  ;durata Beepului
    push eax
    push ecx
    call ebx  ;Callam functia Beep
    mov ebx, 0x77e798fd  ;adresa functiei ExitProcess din kernel32.dll
    mov ax, 1
    push eax
    call ebx

Mai multe despre functia api Beep gasiti aici: http://msdn2.microsoft.com/en-us/library/ms679277.aspx .

Un alt lucru care trebuie sa vi-l spun este faptul ca in Windows, un cod NASM incepe cu segment .code USE32 ..start:, pe cand pe Linux incepe: [sECTION .text] global _start _start:

ATENTIE! Adresele functiilor api in dllurile lor pot diferi de la un utilizator de Windows la altul, datorita versiunii de Windows, versiunii Service Packului si datorita diferitelor updateuri care se aduc zi de zi. De aceea vom utiliza ARWIN pentru aflarea adreselor functiilor in dllurile din windowsul nostru.

Intram in fisierul in care am salvat arwin.exe folosind CMD ! Dupa ce am ajuns, tastam urmatoarea comanda: arwin.exe NumeleDllului NumeleFunctiei. Spre exemplu, putem introduce: arwin.exe kernel32.dll Beep. Poate imaginea urmatoare va fi de folos:

Dupa ce inlocuim in codul de mai sus adresele dumneavoastra ale functiilor API, poate incepe distractia! Copiati codul [cu tot cu modificarea dumneavoastra] in notepad si apoi salvati cu extensia .asm (File -> Save As -> Filename: beep.asm). Deci fisierul nostru se va numi beep si va avea extensia .asm. Ideal ar fi sa salvati toate toolurile care le-am prezentat mai sus [compilate-cele care au nevoie de asa ceva] impreuna cu beep.asm intr-un folder. Acum deschideti iar CMD pentru a compila codul ASM si pentru a-l face .exe ! Intrati din cmd in folderul in care ati salvat toate cele de mai sus. Apoi tastati urmatoarea comanda: nasmw.exe -fobj beep.asm. Asa verificam daca programul are erori, daca nu are, putem trece mai departe la crearea executabilului. Introduceti in CMD: alink -c -oPE -subsys gui beep, iar daca operatiunea a decurs fara nicio problema, atunci puteti rula executabilul tastand in CMD: beep ! Sper ca imaginea urmatoare sa fie edificatoare:

Acum ca am reusit crea executabilul, sa extragem ShellCodeul. Pentru aceasta, deschideti .exele cu w32dasm.

In imaginea de mai sus, observam ca sunt prezente 3 coloane: adresele, shellcodeul si codul ASM (de la stanga la dreapta). Putem sa extragem acest shellcode manual, adica, spre exemplu, din 31C031DB obtinem: “\x31\xC0\x31\xDB”, sau folosind wdhex, care extrage ShellCodeul automat pentru noi. Pentru a face acest lucru, trebuie mai intai sa salvam ceea ce am vazut in W32DASM. Cum facem asta ? Simplu: File -> Save Disassembly Text File and Create Project File -> FileName: beep.ALF -> Ok. Atentie, fisierul trebuie sa aiba extensia .ALF, nu .ELF (care este specific Linuxului). Intrati in CMD in foldeul in care ati salvat beep.alf si in care [sper] aveti si wdhex.exe, si tastati urmatoarea comanda: wdhex beep.alf ! Programul va va arata shellcodeul deja extras.

In concluzie, shellcodeul nostrum este urmatorul:

char shellcode[]=
"\x31\xC0\x31\xDB\x31\xC9\xBB\x10\xC9\xEA\x77\x66\xB8\xEE\x02"
"\x66\xB9\xB8\x0B\x50\x51\xFF\xD3\xBB\xFD\x98\xE7\x77\x66\xB8"
"\x00\x00\x50\xFF\xD3";

Cum putem verifica daca ShellCodeul functioneaza ? Foarte simplu! Sa consideram urmatorul “schelet” al unui program in C:

/*shellcodetest.c*/ 
char code[] = "bytecode will go here!";
int main(int argc, char **argv)
{
	int (*func)();
	func = (int ()) code;
	(int)(*func)();
}

Dumneavoastra trebuie sa inlocuiti "bytecode will go here!" cu shellcodeul dumneavoastra, sa compilati programul, sa-l faceti .exe, iar apoi sa vedeti daca functioneaza.

Optimizarea ShellCodeului

Cum am precizat la inceput, este ideal ca ShellCodeul sa nu contina Null Bytes, dar, din pacate, codul nostru contine deja 2 nullbytes (“\x00\x00”). Ideea este sa verificam de unde acestia provin si sa incercam, daca se poate, sa ii eliminam. Daca ne uitam in imaginea din W32DASM, NullBytes provin de pe linia mov ax, 1. Se stie ca registrul eax are 3 parti -> ax, ah, al. al reprezinta partea inferioara a registrului. Sa incercam sa schimbam linia mov ax, 1 cu mov al, 1. Pe langa faptul ca vom scapa de NullBytes, programul va avea 32 de bytes !!!

Cam atat am avut de prezentat, o sa rectific eventualele greseli in caz ca acestea exista (si daca exista, imi cer din tot sufletul iertare pentru ele, mai ales ca am incercat sa creez ceva util si folositor). Asa ca tineti aproape!

Linkuri Utile:

- http://www.vividmachines.com/shellcode/shellcode.html

- http://en.wikipedia.org/wiki/Shellcode

- http://www.bradleybeast.com/content/view/84/

Enjoy it!

@vladii 2007

[kw3rln]

foarte frumos tutorial ! pus pe pagina principala:

http://rstcenter.com/index.php?pagina=tutoriale&selecteaza=tutorial&id=55

mersi

[vladiii]

Cu placere, kw3rln. Posibil sa mai aiba greseli, nici eu nu sunt expert. Sunt deschis la alte comentarii, sugestii, rectificari.

P.S. Ce trebuie sa mai fac pentru a-mi recapata V.I.P.-ul ?

[Guest Nemessis]

Sa ii spui lui flama ca are trasaturi de ungur ))

[vladiii]

Sa ii spui lui flama ca are trasaturi de ungur ))

Neeah, nu fac asta desi poate este adevarat :roll:

In fine, astept un raspuns la intrebarea mea ! 8)

[Gonzalez]

vladiii: doar pentru V.I.P. esti pe RST ? doar asta te intereseaza ? V.I.P. ??

Very Important Papagal

Frumos tutorialul!

-Gonzalez

[vladiii]

NU! Cand m-am inscris pe RST, acum 1 an de zile, doream sa invat si sa fiu invatat cat mai multe de userii de aici. Acum, eu incerc, cat pot, sa ajut userii, si asta imi face placere. Dar, candva, doresc ca munca mea sa fie rasplatita. Atat am vrut sa iti/va zic.

btw: Thanks !

[MostWanteD]

tutorial bun, pacat ca ai stricat tot postu cu vip`u tau...

[d3v1l]

vladiii: doar pentru V.I.P. esti pe RST ? doar asta te intereseaza ? V.I.P. ??

Very Important Papagal

Frumos tutorialul!

-Gonzalez

de ce esti magar?...mai intai de toate ai cerut permisiunea lui vladiii ca sa poti posta acest tutorial pa rootshell? si mai mult sa ceri credits?

Hope ya'll enjoyed my tutorial, thank's for reading!

-Gonzalez

Ai luat 5 tut. facute de altii din acest forum si le-ai tradus in eng. Iar acum le postezi pa forum-urile externe si mai ceri si credit?

hai sa fim oameni...

Scuze pt offtopic !

[escalation666]

Iata un motiv bun pentru care sa nu mai faci tutoriale scrise sau video.

[vladiii]

Iata un motiv bun pentru care sa nu mai faci tutoriale scrise sau video.

Si eu care vroiam sa ma apuc sa scriu o carte

Gonzalez: tu esti prost sau te prefaci? Ai copiat acest tutorial neacordand credite, fara sa te gandesti ca esti doar un plagiator imputit ? Mi-ar fi rusine in locul tau si nu as mai raspunde in acest topic. Fuck off!

[Gonzalez]

vladiii : scuze pentru neacordarea de credit!

Fuck off zi la mata!!!

Da-ma in judecata acuma, pentru un tutorial!!!

-Gonzalez