2015/5/19 18:08:45

上一節(jié)我們介紹了基本shellcode的編寫，采用的是exit()、setreuid()和execve()三個系統(tǒng)調(diào)用，實際中當然是根據(jù)自己的需要來選擇合適的系統(tǒng)調(diào)用了，系統(tǒng)調(diào)用號需要查看syscalltable，參數(shù)的壓入也是采取類似的方式，處理好堆棧，編寫匯編代碼并不十分困難。

創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務領(lǐng)域包括：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的深圳網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

這一節(jié)我們要來介紹下shellcode的編碼，那么為什么要對shellcode進行編碼呢？大致原因有以下幾個：

• 避免出現(xiàn)Bad字符，如\x00、\xa9等；

• 避開IDS或其他網(wǎng)絡(luò)檢測器的檢測；

• 遵循字符串過濾器；

接下來，我們來簡單介紹一種shellcode編碼的方式。

一、簡單的XOR編碼

計算機中一種常見的位運算是XOR運算，即“按位異或”。當初自己記憶這個運算時還費了一些功夫才和“按位與|或”運算區(qū)分開。異或運算的本質(zhì)是判斷對應二進制位是否相同，若不同-->異-->True；若相同-->同-->False。因此可以說XOR運算是判斷對應二進制位不同的運算。

XOR運算有著很好的運算特性，即一個數(shù)與一個數(shù)XOR兩次會得到自身：

0 XOR 0 = 0
0 XOR 1 = 1
1 XOR 1 = 0
1 XOR 0 = 1
101 XOR 100 = 001
001 XOR 100 = 101

我們利用這個特點可以構(gòu)造shellcode編碼和基本的加密，當然，密鑰（上例中的0x100）自然要硬編碼進shellcode了。

二、JMP/CALL XOR×××

既然對shellcode編碼，那么也就意味著要解碼。我們的模型大概是下面的樣子：

[decoder][encoded shellcodes]

一般來說，如果×××需要知道自己的位置，這樣就可以計算出編碼的shellcode的位置開始解碼。確定×××位置通常被稱作GETPC，方法有許多種，今天我們來介紹其中的一種：JMP/CALL。

JMP/CALL的思想是：

1. JMP指令跳轉(zhuǎn)到CALL指令；

2. 該CALL指令位于編碼的shellcode之前；

3. CALL指令會創(chuàng)建一個新棧，因此將當前的EIP指針壓棧（即編碼shellcode的起始地址）；

4. CALL調(diào)用的過程將壓棧的地址彈出保存到寄存器中；

5. 利用保存的寄存器進行shellcode解碼；

6. JMP到shellcode處執(zhí)行；

看起來復雜，我們看看下面的匯編代碼就明白了，注意每條匯編語句后的執(zhí)行順序標號，可以幫助大家理解整個流程：

global _start

_start:
jmp short call_point    ;1. JMP to CALL

begin:
pop esi                 ;3.將棧中的shellcode地址彈出保存到寄存器esi中便于后續(xù)解碼
xor ecx, ecx            ;4.清空ecx
mov cl, 0x0             ;5.shellcode長度設(shè)為0

short_xor:
xor byte[esi], 0x0      ;6.0x0是這里的編碼key
inc esi                 ;7.ESI指針遞增，遍歷所有的shellcode字節(jié)
loop short_xor          ;8.循環(huán)直到shellcode解碼完畢

jmp short shellcodes    ;9.跳過CALL直接到達shellcode段

call_point:
call begin              ;2.CALL begin過程，同時將當前的EIP即shellcode的起始地址壓入棧中

shellcodes:             ;10.執(zhí)行解碼后的shellcode

這里放置解碼后的shellcode

整體的流程就是這樣，只要仔細留心邏輯順序和shellcode地址的壓棧彈棧，JMP/CALL并不難理解。

Refer: Gray Hat Hacking: The Ethical Hacker's Handbook, Third Edition

文章題目：【安全健行】（5）：shellcode編碼
分享URL：http://jinyejixie.com/article22/ggepcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、品牌網(wǎng)站制作、網(wǎng)站維護、外貿(mào)建站、定制開發(fā)、營銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)