Введение
Сейчас хотел бы показать интересный пример запуска нативного байт кода в управляемой куче на языке C#. Для демонстрации будут использованы примеры примитивных shellcode взятых с сайта https://www.exploit-db.com/. На данном ресурсе публикуются боевые exploit для известного программного обеспечения, а сам сайт является аналогом закрытого milw0rm. Перейдя в раздел https://www.exploit-db.com/shellcodes можно найти огромное количество shellcode для различных операционных систем, и при исполнении делающие от простого открытия диалогового окна до запуска backshell для удаленного доступа к машине. Для того, что бы последовательность байт произвела заложенные в нее действия, ее требуется поместить в оперативную память и передать ей управление, иными словами какой то поток должен сделать CALL по адресу памяти. На языках С\С++ вызов делается очень просто, указатель на блок в памяти преобразуется в указатель на метод, чаще всего void(), и делается его вызов ((void (*)())shellcode)(). Если мы те же действия хотим произвести в управляемой куче, то нам запрещено работать с указателями, но при этом никто не запрещает используя WinAPI и Marshaling заставить систему выполнить то, что мы хотим.Как это будет работать?
Всё легко и просто, для этого нам понадобится всего две WinAPI функции.
- VirtualAlloc - используя которую, мы разместим байт код в неуправляемой части памяти нашего приложения.
- CreateThread - которая создаст поток исполнения, у которого в качестве "Точки входа" (стартового адреса исполнения) будет наш размещенный блок с байт кодом.
Практика.
В примере ниже будет продемонстрировано два метода,
- RunCmd запускает cmd.exe внутри текущего консольного приложения.
- RunMessageBox - создает обычный MessageBox с текстом.
Далее привожу пример моего приложения. ByteCodeExecutor - класс, который непосредственно располагает байты в памяти и создает поток
internal static class Program { /// <summary> /// Entry point. /// </summary> /// <param name="args">Arguments.</param> private static void Main(string[] args) { if (IntPtr.Size != 4) { throw new NotSupportedException("Examples required x86 platform"); } RunCmd(); RunMessageBox(); Console.ReadKey(); } private static void RunCmd() { Console.WriteLine("Console application becomes command line"); // https://www.exploit-db.com/exploits/14052/ var bytes = new [] { 0xFC, 0x33, 0xD2, 0xB2, 0x30, 0x64, 0xFF, 0x32, 0x5A, 0x8B, 0x52, 0x0C, 0x8B, 0x52, 0x14, 0x8B, 0x72, 0x28, 0x33, 0xC9, 0xB1, 0x18, 0x33, 0xFF, 0x33, 0xC0, 0xAC, 0x3C, 0x61, 0x7C, 0x02, 0x2C, 0x20, 0xC1, 0xCF, 0x0D, 0x03, 0xF8, 0xE2, 0xF0, 0x81, 0xFF, 0x5B, 0xBC, 0x4A, 0x6A, 0x8B, 0x5A, 0x10, 0x8B, 0x12, 0x75, 0xDA, 0x8B, 0x53, 0x3C, 0x03, 0xD3, 0xFF, 0x72, 0x34, 0x8B, 0x52, 0x78, 0x03, 0xD3, 0x8B, 0x72, 0x20, 0x03, 0xF3, 0x33, 0xC9, 0x41, 0xAD, 0x03, 0xC3, 0x81, 0x38, 0x47, 0x65, 0x74, 0x50, 0x75, 0xF4, 0x81, 0x78, 0x04, 0x72, 0x6F, 0x63, 0x41, 0x75, 0xEB, 0x81, 0x78, 0x08, 0x64, 0x64, 0x72, 0x65, 0x75, 0xE2, 0x49, 0x8B, 0x72, 0x24, 0x03, 0xF3, 0x66, 0x8B, 0x0C, 0x4E, 0x8B, 0x72, 0x1C, 0x03, 0xF3, 0x8B, 0x14, 0x8E, 0x03, 0xD3, 0x52, 0x68, 0x78, 0x65, 0x63, 0x01, 0xFE, 0x4C, 0x24, 0x03, 0x68, 0x57, 0x69, 0x6E, 0x45, 0x54, 0x53, 0xFF, 0xD2, 0x68, 0x63, 0x6D, 0x64, 0x01, 0xFE, 0x4C, 0x24, 0x03, 0x6A, 0x05, 0x33, 0xC9, 0x8D, 0x4C, 0x24, 0x04, 0x51, 0xFF, 0xD0, 0x68, 0x65, 0x73, 0x73, 0x01, 0x8B, 0xDF, 0xFE, 0x4C, 0x24, 0x03, 0x68, 0x50, 0x72, 0x6F, 0x63, 0x68, 0x45, 0x78, 0x69, 0x74, 0x54, 0xFF, 0x74, 0x24, 0x20, 0xFF, 0x54, 0x24, 0x20, 0x57, 0xFF, 0xD0 }; ByteCodeExecutor.Execute(bytes); } private static void RunMessageBox() { Console.WriteLine("Simple MessageBox show."); // https://www.exploit-db.com/exploits/13828/ var bytes = new byte[] { 0xFC, 0x33, 0xD2, 0xB2, 0x30, 0x64, 0xFF, 0x32, 0x5A, 0x8B, 0x52, 0x0C, 0x8B, 0x52, 0x14, 0x8B, 0x72, 0x28, 0x33, 0xC9, 0xB1, 0x18, 0x33, 0xFF, 0x33, 0xC0, 0xAC, 0x3C, 0x61, 0x7C, 0x02, 0x2C, 0x20, 0xC1, 0xCF, 0x0D, 0x03, 0xF8, 0xE2, 0xF0, 0x81, 0xFF, 0x5B, 0xBC, 0x4A, 0x6A, 0x8B, 0x5A, 0x10, 0x8B, 0x12, 0x75, 0xDA, 0x8B, 0x53, 0x3C, 0x03, 0xD3, 0xFF, 0x72, 0x34, 0x8B, 0x52, 0x78, 0x03, 0xD3, 0x8B, 0x72, 0x20, 0x03, 0xF3, 0x33, 0xC9, 0x41, 0xAD, 0x03, 0xC3, 0x81, 0x38, 0x47, 0x65, 0x74, 0x50, 0x75, 0xF4, 0x81, 0x78, 0x04, 0x72, 0x6F, 0x63, 0x41, 0x75, 0xEB, 0x81, 0x78, 0x08, 0x64, 0x64, 0x72, 0x65, 0x75, 0xE2, 0x49, 0x8B, 0x72, 0x24, 0x03, 0xF3, 0x66, 0x8B, 0x0C, 0x4E, 0x8B, 0x72, 0x1C, 0x03, 0xF3, 0x8B, 0x14, 0x8E, 0x03, 0xD3, 0x52, 0x33, 0xFF, 0x57, 0x68, 0x61, 0x72, 0x79, 0x41, 0x68, 0x4C, 0x69, 0x62, 0x72, 0x68, 0x4C, 0x6F, 0x61, 0x64, 0x54, 0x53, 0xFF, 0xD2, 0x68, 0x33, 0x32, 0x01, 0x01, 0x66, 0x89, 0x7C, 0x24, 0x02, 0x68, 0x75, 0x73, 0x65, 0x72, 0x54, 0xFF, 0xD0, 0x68, 0x6F, 0x78, 0x41, 0x01, 0x8B, 0xDF, 0x88, 0x5C, 0x24, 0x03, 0x68, 0x61, 0x67, 0x65, 0x42, 0x68, 0x4D, 0x65, 0x73, 0x73, 0x54, 0x50, 0xFF, 0x54, 0x24, 0x2C, 0x57, 0x68, 0x4F, 0x5F, 0x6F, 0x21, 0x8B, 0xDC, 0x57, 0x53, 0x53, 0x57, 0xFF, 0xD0, 0x68, 0x65, 0x73, 0x73, 0x01, 0x8B, 0xDF, 0x88, 0x5C, 0x24, 0x03, 0x68, 0x50, 0x72, 0x6F, 0x63, 0x68, 0x45, 0x78, 0x69, 0x74, 0x54, 0xFF, 0x74, 0x24, 0x40, 0xFF, 0x54, 0x24, 0x40, 0x57, 0xFF, 0xD0 }; ByteCodeExecutor.Execute(bytes); } }
/// <summary> /// Byte code executor. /// </summary> public static class ByteCodeExecutor { private static readonly uint MEM_COMMIT = 0x00001000; private static readonly uint PAGE_EXECUTE_READWRITE = 0x40; private static readonly uint MEM_RELEASE = 0x8000; [DllImport("kernel32.dll")] private static extern uint VirtualAlloc(uint lpStartAddr, uint dwSize, uint flAllocationType, uint flProtect); [DllImport("kernel32.dll")] private static extern bool VirtualFree(IntPtr lpAddress, uint dwSize, uint dwFreeType); [DllImport("kernel32.dll")] private static extern IntPtr CreateThread(uint lpThreadAttributes, uint dwStackSize, uint lpStartAddress, IntPtr param, uint dwCreationFlags, ref uint lpThreadId); [DllImport("kernel32.dll")] private static extern bool CloseHandle(IntPtr handle); [DllImport("kernel32.dll")] private static extern uint WaitForSingleObject(IntPtr hHandle, uint dwMilliseconds); /// <summary> /// Execute bytes sequence. /// </summary> /// <param name="intBytes">Integer bytes sequence.</param> public static void Execute(params int[] intBytes) { var bytes = intBytes.Select(i => (byte) i).ToArray(); Execute(bytes); } /// <summary> /// Execute bytes sequence. /// </summary> /// <param name="bytes">Bytes sequence.</param> public static void Execute(params byte[] bytes) { if (!bytes.Any()) { return; } var allocatedBytesAddress = VirtualAlloc(0, (uint) bytes.Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE); Marshal.Copy(bytes, 0, new IntPtr(allocatedBytesAddress), bytes.Length); var processorInfo = new ProcessorInfo(); var unmanagedProcessorInfo = Marshal.AllocHGlobal(Marshal.SizeOf(typeof (ProcessorInfo))); Marshal.StructureToPtr(processorInfo, unmanagedProcessorInfo, false); uint threadId = 0; var hThread = CreateThread(0, 0, allocatedBytesAddress, unmanagedProcessorInfo, 0, ref threadId); WaitForSingleObject(hThread, uint.MaxValue); Marshal.PtrToStructure(unmanagedProcessorInfo, typeof (ProcessorInfo)); Marshal.FreeHGlobal(unmanagedProcessorInfo); CloseHandle(hThread); VirtualFree((IntPtr) allocatedBytesAddress, 0, MEM_RELEASE); } [StructLayout(LayoutKind.Sequential)] private struct ProcessorInfo { public readonly uint dwMax; public readonly uint id0; public readonly uint id1; public readonly uint id2; public readonly uint dwStandard; public readonly uint dwFeature; public readonly uint dwExt; } }
Комментариев нет:
Отправить комментарий