1. 首页
  2. 问答
  3. ctypes:将字符串转换为函数?

ctypes:将字符串转换为函数?

2013-01-19 64 views
3

我读文章Tips for Evading Anti-Virus During Pen Testing,并给出Python程序一惊:ctypes:将字符串转换为函数?

from ctypes import * 
shellcode = '\xfc\xe8\x89\x00\x00....' 

memorywithshell = create_string_buffer(shellcode, len(shellcode)) 
shell = cast(memorywithshell, CFUNCTYPE(c_void_p)) 
shell()

shellcode的缩短。有人可以解释发生了什么吗?我熟悉Python和C,我试着读ctypes模块上,但还留有两个主要问题:

  • 什么是存储在shellcode
    我知道这有东西与C(文章中它是Metasploit的shellcode,并选择了不同的ASCII表示法),但我不能确定是否它是C源(可能不是)或源于某些某种汇编(哪个?)。

  • 根据第一个问题,演员阵容中发生了什么魔术?

来源

2013-01-19 phineas

+1

你曾经开有十六进制编辑器的可执行文件? :) – pmg

回答

4

看一看这个shellcode的,我土气从here(它会弹出一个MessageBoxA):

#include <stdio.h> 

typedef void (* function_t)(void); 

unsigned char shellcode[] = 
    "\xFC\x33\xD2\xB2\x30\x64\xFF\x32\x5A\x8B" 
    "\x52\x0C\x8B\x52\x14\x8B\x72\x28\x33\xC9" 
    "\xB1\x18\x33\xFF\x33\xC0\xAC\x3C\x61\x7C" 
    "\x02\x2C\x20\xC1\xCF\x0D\x03\xF8\xE2\xF0" 
    "\x81\xFF\x5B\xBC\x4A\x6A\x8B\x5A\x10\x8B" 
    "\x12\x75\xDA\x8B\x53\x3C\x03\xD3\xFF\x72" 
    "\x34\x8B\x52\x78\x03\xD3\x8B\x72\x20\x03" 
    "\xF3\x33\xC9\x41\xAD\x03\xC3\x81\x38\x47" 
    "\x65\x74\x50\x75\xF4\x81\x78\x04\x72\x6F" 
    "\x63\x41\x75\xEB\x81\x78\x08\x64\x64\x72" 
    "\x65\x75\xE2\x49\x8B\x72\x24\x03\xF3\x66" 
    "\x8B\x0C\x4E\x8B\x72\x1C\x03\xF3\x8B\x14" 
    "\x8E\x03\xD3\x52\x33\xFF\x57\x68\x61\x72" 
    "\x79\x41\x68\x4C\x69\x62\x72\x68\x4C\x6F" 
    "\x61\x64\x54\x53\xFF\xD2\x68\x33\x32\x01" 
    "\x01\x66\x89\x7C\x24\x02\x68\x75\x73\x65" 
    "\x72\x54\xFF\xD0\x68\x6F\x78\x41\x01\x8B" 
    "\xDF\x88\x5C\x24\x03\x68\x61\x67\x65\x42" 
    "\x68\x4D\x65\x73\x73\x54\x50\xFF\x54\x24" 
    "\x2C\x57\x68\x4F\x5F\x6F\x21\x8B\xDC\x57" 
    "\x53\x53\x57\xFF\xD0\x68\x65\x73\x73\x01" 
    "\x8B\xDF\x88\x5C\x24\x03\x68\x50\x72\x6F" 
    "\x63\x68\x45\x78\x69\x74\x54\xFF\x74\x24" 
    "\x40\xFF\x54\x24\x40\x57\xFF\xD0"; 

void real_function(void) { 
    puts("I'm here"); 
} 

int main(int argc, char **argv) 
{ 
    function_t function = (function_t) &shellcode[0]; 

    real_function(); 
    function(); 
    return 0; 
}

编译它的钩任何调试器下,我将使用GDB:

> gcc shellcode.c -o shellcode 
> gdb -q shellcode.exe 
Reading symbols from shellcode.exe...done. 
(gdb) 
>

拆开主要功能看调用real_functionfunction之间的不同:

(gdb) disassemble main 
Dump of assembler code for function main: 
    0x004013a0 <+0>:  push %ebp 
    0x004013a1 <+1>:  mov %esp,%ebp 
    0x004013a3 <+3>:  and $0xfffffff0,%esp 
    0x004013a6 <+6>:  sub $0x10,%esp 
    0x004013a9 <+9>:  call 0x4018e4 <__main> 
    0x004013ae <+14>: movl $0x402000,0xc(%esp) 
    0x004013b6 <+22>: call 0x40138c <real_function> ; <- here we call our `real_function` 
    0x004013bb <+27>: mov 0xc(%esp),%eax 
    0x004013bf <+31>: call *%eax     ; <- here we call the address that is loaded in eax (the address of the beginning of our shellcode) 
    0x004013c1 <+33>: mov $0x0,%eax 
    0x004013c6 <+38>: leave 
    0x004013c7 <+39>: ret 
End of assembler dump. 
(gdb)

有两个call,让我们做一个破发点,在<main+31>,看看什么是EAX加载:

(gdb) break *(main+31) 
Breakpoint 1 at 0x4013bf 
(gdb) run 
Starting program: shellcode.exe 
[New Thread 2856.0xb24] 
I'm here 

Breakpoint 1, 0x004013bf in main() 
(gdb) disassemble 
Dump of assembler code for function main: 
    0x004013a0 <+0>:  push %ebp 
    0x004013a1 <+1>:  mov %esp,%ebp 
    0x004013a3 <+3>:  and $0xfffffff0,%esp 
    0x004013a6 <+6>:  sub $0x10,%esp 
    0x004013a9 <+9>:  call 0x4018e4 <__main> 
    0x004013ae <+14>: movl $0x402000,0xc(%esp) 
    0x004013b6 <+22>: call 0x40138c <real_function> 
    0x004013bb <+27>: mov 0xc(%esp),%eax 
=> 0x004013bf <+31>: call *%eax     ; now we are here 
    0x004013c1 <+33>: mov $0x0,%eax 
    0x004013c6 <+38>: leave 
    0x004013c7 <+39>: ret 
End of assembler dump. 
(gdb)

看前3个字节的数据,在eax中的地址继续:

(gdb) x/3x $eax 
0x402000 <shellcode>: 0xfc 0x33 0xd2 
(gdb)     ^-------^--------^---- the first 3 bytes of the shellcode

CPU因此call 0x402000,我们的shell代码在0x402000开始,让我们在0x402000拆卸过什么:

(gdb) disassemble 0x402000 
Dump of assembler code for function shellcode: 
    0x00402000 <+0>:  cld 
    0x00402001 <+1>:  xor %edx,%edx 
    0x00402003 <+3>:  mov $0x30,%dl 
    0x00402005 <+5>:  pushl %fs:(%edx) 
    0x00402008 <+8>:  pop %edx 
    0x00402009 <+9>:  mov 0xc(%edx),%edx 
    0x0040200c <+12>: mov 0x14(%edx),%edx 
    0x0040200f <+15>: mov 0x28(%edx),%esi 
    0x00402012 <+18>: xor %ecx,%ecx 
    0x00402014 <+20>: mov $0x18,%cl 
    0x00402016 <+22>: xor %edi,%edi 
    0x00402018 <+24>: xor %eax,%eax 
    0x0040201a <+26>: lods %ds:(%esi),%al 
    0x0040201b <+27>: cmp $0x61,%al 
    0x0040201d <+29>: jl  0x402021 <shellcode+33> 
    ....

正如你所看到的,shellcode不过是汇编指令,唯一不同的是你在编写这些指令的方式中,它使用了特殊的技术使它更具可移植性,例如从不使用固定地址。

蟒蛇相当于上面的程序:

#!python 

from ctypes import * 

shellcode_data = "\ 
\xFC\x33\xD2\xB2\x30\x64\xFF\x32\x5A\x8B\ 
\x52\x0C\x8B\x52\x14\x8B\x72\x28\x33\xC9\ 
\xB1\x18\x33\xFF\x33\xC0\xAC\x3C\x61\x7C\ 
\x02\x2C\x20\xC1\xCF\x0D\x03\xF8\xE2\xF0\ 
\x81\xFF\x5B\xBC\x4A\x6A\x8B\x5A\x10\x8B\ 
\x12\x75\xDA\x8B\x53\x3C\x03\xD3\xFF\x72\ 
\x34\x8B\x52\x78\x03\xD3\x8B\x72\x20\x03\ 
\xF3\x33\xC9\x41\xAD\x03\xC3\x81\x38\x47\ 
\x65\x74\x50\x75\xF4\x81\x78\x04\x72\x6F\ 
\x63\x41\x75\xEB\x81\x78\x08\x64\x64\x72\ 
\x65\x75\xE2\x49\x8B\x72\x24\x03\xF3\x66\ 
\x8B\x0C\x4E\x8B\x72\x1C\x03\xF3\x8B\x14\ 
\x8E\x03\xD3\x52\x33\xFF\x57\x68\x61\x72\ 
\x79\x41\x68\x4C\x69\x62\x72\x68\x4C\x6F\ 
\x61\x64\x54\x53\xFF\xD2\x68\x33\x32\x01\ 
\x01\x66\x89\x7C\x24\x02\x68\x75\x73\x65\ 
\x72\x54\xFF\xD0\x68\x6F\x78\x41\x01\x8B\ 
\xDF\x88\x5C\x24\x03\x68\x61\x67\x65\x42\ 
\x68\x4D\x65\x73\x73\x54\x50\xFF\x54\x24\ 
\x2C\x57\x68\x4F\x5F\x6F\x21\x8B\xDC\x57\ 
\x53\x53\x57\xFF\xD0\x68\x65\x73\x73\x01\ 
\x8B\xDF\x88\x5C\x24\x03\x68\x50\x72\x6F\ 
\x63\x68\x45\x78\x69\x74\x54\xFF\x74\x24\ 
\x40\xFF\x54\x24\x40\x57\xFF\xD0" 

shellcode = c_char_p(shellcode_data) 

function = cast(shellcode, CFUNCTYPE(None)) 
function()

来源

2013-01-19 22:42:16

+1

谢谢!这是我正在寻找的那种洞察力。很可能我不会自己开发shellcode,我想在Python中嵌入汇编有点奇怪,但现在我知道发生了什么:) – phineas

3

  • shellcode,如果我没有记错的话,包含特定架构编译代码,大致可以翻译为一个函数调用。 (不是建筑专家,并且代码被截断......)

  • 因此,一旦你已经创建了一个C风格的字符串create_string_buffer,然后你可以愚弄蟒蛇以为它与cast功能呼叫。然后Python执行最初包含在shellcode中的代码。

这里有一个有用的链接:http://www.blackhatlibrary.net/Python#Ctypes

来源

2013-01-19 15:14:02

2

让我们不要忘记,为了有可执行代码,它必须被转换成你的机器识别的格式。你在那里做的是提供一系列可以被你的机器解释的字节码,所以你可以告诉你的机器执行它。通过提供最终的字节代码,您实际上正在跳过编译器的工作;这种技术在Just-In-Time编译器中很常见,它必须在程序运行时创建可执行代码。因此,这实际上与C(或Python或任何其他语言)几乎没有任何关系,但与此代码预计运行的体系结构的细节有很大关系。

第一个字节代码有CLD(0xFC有),接着是CALL指令(0xe8),这使得该代码跳转到基于在此字节码序列中的下一个4个字节指定的偏移,等等上的地址。

来源

2013-01-19 16:00:31 mmgp

相关问题

 相关问题