vladiii Posted August 4, 2007 Report Posted August 4, 2007 Cum obtinem un ShellCode? Ce este un ShellCodingul ? In principiu, cand ne gandim la ShellCoding ne gandim la orice cod care returneaza un remote shell cand este executat. Intelesul cuvantului ShellCode a evoluat, acum intelegand prin acest cuvant orice byte code care este introdus intr-un exploit pentru a indeplini o anumita sarcina. ATENTIE! Un shellcode nu trebuie sa contina Null Bytes si este ideal ca acesta sa aiba o dimensiune in bytes cat mai mica. Un alt amanunt destul de important este faptul ca in acest tutorial voi prezenta doar Window ShellCoding, nu si Linux ShellCoding. Multumiri multe ii sunt aduse lui SlicK.Sa incepem! Toolurile de care aveti nevoie pe parcursul tutorialului: 1. NASM [Compilarea programelor ASM o vom face in NASM] Download Link: http://nasm.sourceforge.net/ 2. ALINK [Programul .exe il vom realize folosind acest tool]Download Link: http://alink.sourceforge.net/download.html 3. ARWIN [Cu acest program C, care trebuie compilat, putem gasi adresele functiilor API in respectivul dll in care ele se afla]Download Link: http://www.vividmachines.com/shellcode/arwin.c 4. W32DASM [Dezasamblator, va recomand versiunea 8.93] 5. WDHEX [un program util care copiaza ShellCodeul dintr-o lista .alf salvata anterior cu W32DASM].Download Link: http://rapidshare.com/files/46936025/wdhex.exe.html Avand aceste tooluri si niste cunostine decente de ASM, sa vedem cum se poate extrage ShellCodeul, iar, mai apoi, sa optimizam codul ASM pentru ca ShellCodeul sa fie de dimensiune cat mai mica si sa nu contina Null Bytes (\x00).Sa consideram un mic cod ASM, care nu face nimic altceva decat sa produca un Beep ! ATENTIE! Un amanunt destul de important pe care eu nu il voi atinge in acest tutorial [poate intr-o versiune ulterioara] este faptul ca orice program vine incarcat in decat cu kernel32.dll, deci utilizarea altor functii api din alte dlluri (user32.dll, etc.) necesita incarcarea librariei respective (2 functii API sunt foarte importante aici: LoadLibraryA si GetProcAddress). Un alt amanunt important, cand vom extrage shellcodeul, il vom extrage doar din zona ..start a programului realizat in ASM, de aceea declararea variabilelor este INTERZISA, iar importarea functiilor API deasupra acestei sectiuni este iarasi incorecta. Un astfel de exemplu de cod incorrect este urmatorul:%include "win32n.inc"extern SetCursorPosimport SetCursorPos user32.dlltitle db "hello",0message db "hello world",0Ideea este alta, va prezint un mic cod, cum ar fi corect, apoi lasam balta aceasta idee si trecem la dezvoltarea bazelor ShellCodingului.segment .code USE32 ..startxor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx jmp short functie ; sari la labelul @functiefunctie2: pop eax ;scoate din stack ultima valoare si baga in eaxmov byte [eax+10], dl ;scriem 10 caractere: user32.dll, ignoram Nmov ebx, 0x77e7d961 ;adresa functiei LoadLibraryA push eax ;echivalent cu push user32.dllcall ebx ;callam LoadLibraryAmov ecx, eax xor eax, eax jmp short functie3 functie4: pop eax mov byte [eax+12], dl mov ebx, 0x77e7b332 ;adresa functiei GetProcAddress push eax push ecx call ebx restul: push byte 1 push byte 1 call eax ;SetCursorPos mov ebx, 0x77e798fd ;adresa functiei ExitProcess push byte 1 call ebx functie: call functie2 db 'user32.dllN' jmp short functie2 ; sari (intoarce-te la labelul @functie2)functie3: call functie4 db 'SetCursorPosN' Daca am fi realizat un cod in FASM care sa faca acest lucru era mult mai simplu, deoarece am fi putut utiliza direct variabilele, iar in NASM nu putem scrie ceva genul: push ceva Call [functieapi], decat daca ceva este numar. De aceea, inainte de a executa labelul specific unei functii API am sarit la un alt label care calleaza labelul initial, dar in care se afla un element foarte important: db 'SetCursorPosN', unde SetCursorPos este numele “variabilei” care trebuie utilizata, iar N vine de la Null Byte. Traind cu speranta ca ati inteles ceva din codul de mai sus, trec la lucruri mai simple. Sa consideram micul nostru cod care face Beep.;beep.asmsegment .code USE32..start: xor eax, eax xor ebx, ebx xor ecx, ecx mov ebx, 0x77eac910 ;adresa functiei Beep din kernel32.dll mov ax, 750 ;frecventa sunetului in Hertzi mov cx, 3000 ;durata Beepului push eax push ecx call ebx ;Callam functia Beep mov ebx, 0x77e798fd ;adresa functiei ExitProcess din kernel32.dll mov ax, 1 push eax call ebxMai multe despre functia api Beep gasiti aici: http://msdn2.microsoft.com/en-us/library/ms679277.aspx .Un alt lucru care trebuie sa vi-l spun este faptul ca in Windows, un cod NASM incepe cu segment .code USE32 ..start:, pe cand pe Linux incepe: [sECTION .text] global _start _start:ATENTIE! Adresele functiilor api in dllurile lor pot diferi de la un utilizator de Windows la altul, datorita versiunii de Windows, versiunii Service Packului si datorita diferitelor updateuri care se aduc zi de zi. De aceea vom utiliza ARWIN pentru aflarea adreselor functiilor in dllurile din windowsul nostru.Intram in fisierul in care am salvat arwin.exe folosind CMD ! Dupa ce am ajuns, tastam urmatoarea comanda: arwin.exe NumeleDllului NumeleFunctiei. Spre exemplu, putem introduce: arwin.exe kernel32.dll Beep. Poate imaginea urmatoare va fi de folos:Dupa ce inlocuim in codul de mai sus adresele dumneavoastra ale functiilor API, poate incepe distractia! Copiati codul [cu tot cu modificarea dumneavoastra] in notepad si apoi salvati cu extensia .asm (File -> Save As -> Filename: beep.asm). Deci fisierul nostru se va numi beep si va avea extensia .asm. Ideal ar fi sa salvati toate toolurile care le-am prezentat mai sus [compilate-cele care au nevoie de asa ceva] impreuna cu beep.asm intr-un folder. Acum deschideti iar CMD pentru a compila codul ASM si pentru a-l face .exe ! Intrati din cmd in folderul in care ati salvat toate cele de mai sus. Apoi tastati urmatoarea comanda: nasmw.exe -fobj beep.asm. Asa verificam daca programul are erori, daca nu are, putem trece mai departe la crearea executabilului. Introduceti in CMD: alink -c -oPE -subsys gui beep, iar daca operatiunea a decurs fara nicio problema, atunci puteti rula executabilul tastand in CMD: beep ! Sper ca imaginea urmatoare sa fie edificatoare:Acum ca am reusit crea executabilul, sa extragem ShellCodeul. Pentru aceasta, deschideti .exele cu w32dasm.In imaginea de mai sus, observam ca sunt prezente 3 coloane: adresele, shellcodeul si codul ASM (de la stanga la dreapta). Putem sa extragem acest shellcode manual, adica, spre exemplu, din 31C031DB obtinem: “\x31\xC0\x31\xDB”, sau folosind wdhex, care extrage ShellCodeul automat pentru noi. Pentru a face acest lucru, trebuie mai intai sa salvam ceea ce am vazut in W32DASM. Cum facem asta ? Simplu: File -> Save Disassembly Text File and Create Project File -> FileName: beep.ALF -> Ok. Atentie, fisierul trebuie sa aiba extensia .ALF, nu .ELF (care este specific Linuxului). Intrati in CMD in foldeul in care ati salvat beep.alf si in care [sper] aveti si wdhex.exe, si tastati urmatoarea comanda: wdhex beep.alf ! Programul va va arata shellcodeul deja extras.In concluzie, shellcodeul nostrum este urmatorul:char shellcode[]="\x31\xC0\x31\xDB\x31\xC9\xBB\x10\xC9\xEA\x77\x66\xB8\xEE\x02""\x66\xB9\xB8\x0B\x50\x51\xFF\xD3\xBB\xFD\x98\xE7\x77\x66\xB8""\x00\x00\x50\xFF\xD3";Cum putem verifica daca ShellCodeul functioneaza ? Foarte simplu! Sa consideram urmatorul “schelet” al unui program in C:/*shellcodetest.c*/ char code[] = "bytecode will go here!";int main(int argc, char **argv){ int (*func)(); func = (int ()) code; (int)(*func)();}Dumneavoastra trebuie sa inlocuiti "bytecode will go here!" cu shellcodeul dumneavoastra, sa compilati programul, sa-l faceti .exe, iar apoi sa vedeti daca functioneaza. Optimizarea ShellCodeuluiCum am precizat la inceput, este ideal ca ShellCodeul sa nu contina Null Bytes, dar, din pacate, codul nostru contine deja 2 nullbytes (“\x00\x00”). Ideea este sa verificam de unde acestia provin si sa incercam, daca se poate, sa ii eliminam. Daca ne uitam in imaginea din W32DASM, NullBytes provin de pe linia mov ax, 1. Se stie ca registrul eax are 3 parti -> ax, ah, al. al reprezinta partea inferioara a registrului. Sa incercam sa schimbam linia mov ax, 1 cu mov al, 1. Pe langa faptul ca vom scapa de NullBytes, programul va avea 32 de bytes !!!Cam atat am avut de prezentat, o sa rectific eventualele greseli in caz ca acestea exista (si daca exista, imi cer din tot sufletul iertare pentru ele, mai ales ca am incercat sa creez ceva util si folositor). Asa ca tineti aproape!Linkuri Utile:- http://www.vividmachines.com/shellcode/shellcode.html - http://en.wikipedia.org/wiki/Shellcode - http://www.bradleybeast.com/content/view/84/ Enjoy it!@vladii 2007
kw3rln Posted August 4, 2007 Report Posted August 4, 2007 foarte frumos tutorial ! pus pe pagina principala:http://rstcenter.com/index.php?pagina=tutoriale&selecteaza=tutorial&id=55mersi
vladiii Posted August 4, 2007 Author Report Posted August 4, 2007 Cu placere, kw3rln. Posibil sa mai aiba greseli, nici eu nu sunt expert. Sunt deschis la alte comentarii, sugestii, rectificari.P.S. Ce trebuie sa mai fac pentru a-mi recapata V.I.P.-ul ?
Guest Nemessis Posted August 4, 2007 Report Posted August 4, 2007 Sa ii spui lui flama ca are trasaturi de ungur ))
vladiii Posted August 5, 2007 Author Report Posted August 5, 2007 Sa ii spui lui flama ca are trasaturi de ungur ))Neeah, nu fac asta desi poate este adevarat :roll: In fine, astept un raspuns la intrebarea mea ! 8)
Gonzalez Posted August 5, 2007 Report Posted August 5, 2007 vladiii: doar pentru V.I.P. esti pe RST ? doar asta te intereseaza ? V.I.P. ??Very Important Papagal Frumos tutorialul!-Gonzalez
vladiii Posted August 5, 2007 Author Report Posted August 5, 2007 NU! Cand m-am inscris pe RST, acum 1 an de zile, doream sa invat si sa fiu invatat cat mai multe de userii de aici. Acum, eu incerc, cat pot, sa ajut userii, si asta imi face placere. Dar, candva, doresc ca munca mea sa fie rasplatita. Atat am vrut sa iti/va zic.btw: Thanks !
MostWanteD Posted August 5, 2007 Report Posted August 5, 2007 tutorial bun, pacat ca ai stricat tot postu cu vip`u tau...
d3v1l Posted August 9, 2007 Report Posted August 9, 2007 vladiii: doar pentru V.I.P. esti pe RST ? doar asta te intereseaza ? V.I.P. ??Very Important Papagal Frumos tutorialul!-Gonzalez de ce esti magar?...mai intai de toate ai cerut permisiunea lui vladiii ca sa poti posta acest tutorial pa rootshell? si mai mult sa ceri credits? Hope ya'll enjoyed my tutorial, thank's for reading!-Gonzalez Ai luat 5 tut. facute de altii din acest forum si le-ai tradus in eng. Iar acum le postezi pa forum-urile externe si mai ceri si credit? hai sa fim oameni...Scuze pt offtopic !
escalation666 Posted August 9, 2007 Report Posted August 9, 2007 Iata un motiv bun pentru care sa nu mai faci tutoriale scrise sau video.
vladiii Posted August 9, 2007 Author Report Posted August 9, 2007 Iata un motiv bun pentru care sa nu mai faci tutoriale scrise sau video.Si eu care vroiam sa ma apuc sa scriu o carte Gonzalez: tu esti prost sau te prefaci? Ai copiat acest tutorial neacordand credite, fara sa te gandesti ca esti doar un plagiator imputit ? Mi-ar fi rusine in locul tau si nu as mai raspunde in acest topic. Fuck off!
Gonzalez Posted August 16, 2007 Report Posted August 16, 2007 vladiii : scuze pentru neacordarea de credit!Fuck off zi la mata!!!Da-ma in judecata acuma, pentru un tutorial!!! -Gonzalez