2015/5/19 18:08:45

上一節(jié)我們介紹了基本shellcode的編寫，采用的是exit()、setreuid()和execve()三個(gè)系統(tǒng)調(diào)用，實(shí)際中當(dāng)然是根據(jù)自己的需要來選擇合適的系統(tǒng)調(diào)用了，系統(tǒng)調(diào)用號(hào)需要查看syscalltable，參數(shù)的壓入也是采取類似的方式，處理好堆棧，編寫匯編代碼并不十分困難。

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的深圳網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

這一節(jié)我們要來介紹下shellcode的編碼，那么為什么要對shellcode進(jìn)行編碼呢？大致原因有以下幾個(gè)：

• 避免出現(xiàn)Bad字符，如\x00、\xa9等；

• 避開IDS或其他網(wǎng)絡(luò)檢測器的檢測；

• 遵循字符串過濾器；

接下來，我們來簡單介紹一種shellcode編碼的方式。

一、簡單的XOR編碼

計(jì)算機(jī)中一種常見的位運(yùn)算是XOR運(yùn)算，即“按位異或”。當(dāng)初自己記憶這個(gè)運(yùn)算時(shí)還費(fèi)了一些功夫才和“按位與|或”運(yùn)算區(qū)分開。異或運(yùn)算的本質(zhì)是判斷對應(yīng)二進(jìn)制位是否相同，若不同-->異-->True；若相同-->同-->False。因此可以說XOR運(yùn)算是判斷對應(yīng)二進(jìn)制位不同的運(yùn)算。

XOR運(yùn)算有著很好的運(yùn)算特性，即一個(gè)數(shù)與一個(gè)數(shù)XOR兩次會(huì)得到自身：

0 XOR 0 = 0
0 XOR 1 = 1
1 XOR 1 = 0
1 XOR 0 = 1
101 XOR 100 = 001
001 XOR 100 = 101

我們利用這個(gè)特點(diǎn)可以構(gòu)造shellcode編碼和基本的加密，當(dāng)然，密鑰（上例中的0x100）自然要硬編碼進(jìn)shellcode了。

二、JMP/CALL XOR×××

既然對shellcode編碼，那么也就意味著要解碼。我們的模型大概是下面的樣子：

[decoder][encoded shellcodes]

一般來說，如果×××需要知道自己的位置，這樣就可以計(jì)算出編碼的shellcode的位置開始解碼。確定×××位置通常被稱作GETPC，方法有許多種，今天我們來介紹其中的一種：JMP/CALL。

JMP/CALL的思想是：

1. JMP指令跳轉(zhuǎn)到CALL指令；

2. 該CALL指令位于編碼的shellcode之前；

3. CALL指令會(huì)創(chuàng)建一個(gè)新棧，因此將當(dāng)前的EIP指針壓棧（即編碼shellcode的起始地址）；

4. CALL調(diào)用的過程將壓棧的地址彈出保存到寄存器中；

5. 利用保存的寄存器進(jìn)行shellcode解碼；

6. JMP到shellcode處執(zhí)行；

看起來復(fù)雜，我們看看下面的匯編代碼就明白了，注意每條匯編語句后的執(zhí)行順序標(biāo)號(hào)，可以幫助大家理解整個(gè)流程：

global _start

_start:
jmp short call_point    ;1. JMP to CALL

begin:
pop esi                 ;3.將棧中的shellcode地址彈出保存到寄存器esi中便于后續(xù)解碼
xor ecx, ecx            ;4.清空ecx
mov cl, 0x0             ;5.shellcode長度設(shè)為0

short_xor:
xor byte[esi], 0x0      ;6.0x0是這里的編碼key
inc esi                 ;7.ESI指針遞增，遍歷所有的shellcode字節(jié)
loop short_xor          ;8.循環(huán)直到shellcode解碼完畢

jmp short shellcodes    ;9.跳過CALL直接到達(dá)shellcode段

call_point:
call begin              ;2.CALL begin過程，同時(shí)將當(dāng)前的EIP即shellcode的起始地址壓入棧中

shellcodes:             ;10.執(zhí)行解碼后的shellcode

這里放置解碼后的shellcode

整體的流程就是這樣，只要仔細(xì)留心邏輯順序和shellcode地址的壓棧彈棧，JMP/CALL并不難理解。

Refer: Gray Hat Hacking: The Ethical Hacker's Handbook, Third Edition