【安全健行】（5）：shellcode編碼

2015/5/19 18:08:45

上一節我們介紹了基本shellcode的編寫，采用的是exit()、setreuid()和execve()三個系統調用，實際中當然是根據自己的需要來選擇合適的系統調用了，系統調用號需要查看syscalltable，參數的壓入也是采取類似的方式，處理好堆棧，編寫匯編代碼并不十分困難。

這一節我們要來介紹下shellcode的編碼，那么為什么要對shellcode進行編碼呢？大致原因有以下幾個：

• 避免出現Bad字符，如\x00、\xa9等；

• 避開IDS或其他網絡檢測器的檢測；

• 遵循字符串過濾器；

接下來，我們來簡單介紹一種shellcode編碼的方式。

一、簡單的XOR編碼

計算機中一種常見的位運算是XOR運算，即“按位異或”。當初自己記憶這個運算時還費了一些功夫才和“按位與|或”運算區分開。異或運算的本質是判斷對應二進制位是否相同，若不同-->異-->True；若相同-->同-->False。因此可以說XOR運算是判斷對應二進制位不同的運算。

XOR運算有著很好的運算特性，即一個數與一個數XOR兩次會得到自身：

0 XOR 0 = 0
0 XOR 1 = 1
1 XOR 1 = 0
1 XOR 0 = 1
101 XOR 100 = 001
001 XOR 100 = 101

我們利用這個特點可以構造shellcode編碼和基本的加密，當然，密鑰（上例中的0x100）自然要硬編碼進shellcode了。

二、JMP/CALL XOR×××

既然對shellcode編碼，那么也就意味著要解碼。我們的模型大概是下面的樣子：

[decoder][encoded shellcodes]

一般來說，如果×××需要知道自己的位置，這樣就可以計算出編碼的shellcode的位置開始解碼。確定×××位置通常被稱作GETPC，方法有許多種，今天我們來介紹其中的一種：JMP/CALL。

JMP/CALL的思想是：

1. JMP指令跳轉到CALL指令；

2. 該CALL指令位于編碼的shellcode之前；

3. CALL指令會創建一個新棧，因此將當前的EIP指針壓棧（即編碼shellcode的起始地址）；

4. CALL調用的過程將壓棧的地址彈出保存到寄存器中；

5. 利用保存的寄存器進行shellcode解碼；

6. JMP到shellcode處執行；

看起來復雜，我們看看下面的匯編代碼就明白了，注意每條匯編語句后的執行順序標號，可以幫助大家理解整個流程：

global _start

_start:
jmp short call_point    ;1. JMP to CALL

begin:
pop esi                 ;3.將棧中的shellcode地址彈出保存到寄存器esi中便于后續解碼
xor ecx, ecx            ;4.清空ecx
mov cl, 0x0             ;5.shellcode長度設為0

short_xor:
xor byte[esi], 0x0      ;6.0x0是這里的編碼key
inc esi                 ;7.ESI指針遞增，遍歷所有的shellcode字節
loop short_xor          ;8.循環直到shellcode解碼完畢

jmp short shellcodes    ;9.跳過CALL直接到達shellcode段

call_point:
call begin              ;2.CALL begin過程，同時將當前的EIP即shellcode的起始地址壓入棧中

shellcodes:             ;10.執行解碼后的shellcode

這里放置解碼后的shellcode

整體的流程就是這樣，只要仔細留心邏輯順序和shellcode地址的壓棧彈棧，JMP/CALL并不難理解。

Refer: Gray Hat Hacking: The Ethical Hacker's Handbook, Third Edition