編寫Unicode有效的Shellcode

對於溢位愛好者來說，能夠編寫shellcode是乙個必備的基本技能,特別是能應對各種在實際情況中對shellcode存在各種限制條件的時候，這種能力就顯得尤為重要了。黑防2023年第二期中介紹了純字母數字的shellcode的編寫，在3期中的winrar 7z溢位中就派上了用場。unicode大家應該不陌生,在一些大型程式中，比如word、excel考慮到不同語言平台的差異性,都會使用 unicode，在利用這些漏洞的時候，我們以往的shellcode就難以適用了。乙個普通的down&exec的shellcode經過 multibytetowidechar函式轉換成unicode後,如圖1

shellcode編寫的思路

可能有的讀者認為只要先將shellcode寫好，然後用widechartomultibyte函式轉換成ascii碼就可以了，再經過程式轉換成 unicode就可以了，但事實不是這樣的，在轉換成unicode的時候，轉換函式會根據當前使用的**頁進行轉換,比如大寫字母'a'(/x41)被轉換成/x41/x00，但是第乙個位元組》0x80或者第二個位元組不是/x00的時候，情況就不是這麼簡單了， multibytetowidechar會查詢**頁中的對應結果，假如找不到就會有/x3f(?)代替，表示有錯誤。所以大家看到為什麼圖1中轉換後的 shellcode會出現問號。這兒我們還是採取分段編碼，如下：

| |

| 解碼頭部 |

-----------------------------

| 拆分編碼的 |

| 原shellcode |

為了保護原始的shellcode，我們將原始的shellcode每個位元組都拆分成兩個位元組，高4位和低4位均加上0x61(a)，由於4位只能表示0 -15，所以每個位元組都可以拆成a-p的兩個位元組,這樣就順利的躲過了編碼轉換的問題，剩下的就是構造盡量小的譯碼頭，使之轉換不出現0x3f。當然，最理想的情況就是譯碼頭在ascii碼的情況下是純字元，這兒我介紹的譯碼頭不是純字元，在multibytetowidechar中使用不同的**頁轉換出的結果都是不一樣的，也就是shellcode可能無法實現跨語言平台，上述的純字元譯碼頭則可以跨語言平台實現通用。

編寫例項

有了思路後就剩下編碼的問題了，分成4部分分別加以闡述

1）對原shellcode進行拆分編碼,編碼的思路已經說過，下面是編碼部分的**:

code:

//shellcode1指向待編碼的shellcode、pshellcode 是指向其的指標


//詳見encode.cpp
byte* pshellcode = shellcode1;
char high,low;
for( int i = 0 ; i < sizeof(shellcode1) - 1 ; i++,pshellcode++)

printf("%d",(sizeof(shellcode1) - 1)*2);編碼前和編碼後的shellcode分別如圖2和3所示:

例如編碼前第乙個位元組/xe9高4位和低4位分別是/xe和/x9,加上0x61後就是0x6f(o)和0x6a(j)。

2）譯碼頭的編寫，必須保證轉換成ascii後沒有出現0x3f,彙編**如下所示:

code:

__a**有幾點需要注意，保持譯碼頭為偶數個位元組，因為unicode是雙位元組碼，碰到有0x3f的情況，在不影響指令的前提下進行等價變換。如上譯碼頭被轉換成ascii的情況下為：

"/xc4/x58/xa5/xc1/xd6/x5f/xc8/x43/xa5/xc6/xd7/x50/xdb/xb1/x95/xbb"

"/x90/xe6/xea/xc0/xac/xa6/xe5/xcc/xbe/xaf/xdb/xa6/xdf/x58/xda/xf9"

"/x90/xe5/xa8/xbb/x8a/x91/xd0/xb0/xdf/x58/xae/x74/xbf/xa4/xe0/x41"

3）測試**

測試**如下，模擬了溢位發生時的情況：

code:

4.jpg 小結

shellcode也是一門學問，平時要注意這方面的學習，以免發生「shellcode到用時方很少」的尷尬局面,特別是在office系列檔案的溢位中，經常會出現編碼轉換的問題，希望能給廣大黑友帶來一點幫助，本人也是菜鳥，如有錯誤紕漏，歡迎指正。

編寫Unicode有效的Shellcode

有效的括號（C 編寫）

有效的用例編寫規則

編寫符合ANSI和Unicode的應用程式

編寫Unicode有效的Shellcode

有效的括號（C 編寫）

有效的用例編寫規則

編寫符合ANSI和Unicode的應用程式

相關推薦