浅析Pe2shellcode

渗透技巧 1个月前 admin
141 0 0

编者注:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。


前言

众所周知,对shellcode免杀是很流行的技术,但是直接对exe的免杀方法相对稀缺,如果我们能将exe转为shellcode,然后用shellcode免杀那一套就会简单许多。所以shellcode转exe是一个很值得研究的课题。下面我将大概讲解一下pe2shellcode这个开源项目的思路。

Github项目地:

https://github.com/hasherezade/pe_to_shellcode。


代码分析

我们先看看它的项目结构,主要模块有Injector、Runshc、pe2shr。


浅析Pe2shellcode


1

Injector

该文件夹下存在一个main.cpp。


浅析Pe2shellcode


这是一个简单的远程shellcode注入的代码,用于将我们的恶意代码注入到其它进程。

关于进程注入这里就不赘述了,想学习进程注入的朋友们可以关注一下这位师傅(https://modexp.wordpress.com/)。


2

Runshc

主文件main.cpp。


浅析Pe2shellcode


这是个最基本shellcode加载器,可以看出来Injector和Runshc都是给PE转成shellcode之后测试用的,测试shellcode是否能成功运行。

然后就是libpeconv。


浅析Pe2shellcode


这个工具也是非常经典,拿来用和学习pe结构都特别好(https://github.com/hasherezade/libpeconv),这个工具可以用来处理解析PE文件,可以用以替代windows的Createprocess制作Runshc和pe2shr。很巧的是,pe2shr里面的stub.bin是作者用汇编实现的一个简易版的libpeconv。


3

pe2shr

然后就是文章主角pe2shc,利用了stub32.bin、stub64.bin和main.cpp。

stub32.bin和stub64.bin是一个作者用汇编写的一个peloader。


浅析Pe2shellcode


接着打开main.cpp看看作者怎么实现的pe2shellcode。


浅析Pe2shellcode


前面就是对参数的处理,比如获取需要处理的原生pe路径,设置输出的shellcode路径,然后就是步入is_supporte_pe函数。


浅析Pe2shellcode


可以看到有三点:

1、必须要有重定位表

2、不能是控制台应用程序

3、不能是.net程序,.net的pe结构不同之处在于pe头中的IMAGE_OPTIONAL_HEARDER:这个结构中的数据目录DataDirectory包括了映像文件中的CLR头的RVA和大小。而stub并没有处理.net形式PE的代码。

 

其实除了作者在代码里列出的三种pe无法执行之外,有些有tls表的pe以及某些使用了延迟重定位表的pe也是转换不了的(或者说转换了也运行不了),因为作者的stub并没有对这些表处理,后面讲到stub的时候就可以发现了。

 

浅析Pe2shellcode


接下来将原生pe加载进内存处理后再将更改后的shellcode另存为(或者叫它pe?)。

关键是处理这一步:shellcodeify函数。


浅析Pe2shellcode


可以看到大致逻辑是判断pe位数后获取资源里的资源段,这个资源段是pe2shc.exe里本身的资源,且x64和x86各有一套。


浅析Pe2shellcode


RCData里有存储着stub,resourceID 101是32位的stub,102是64位的stub。

这个stub其实就是作者用汇编写的一段PEloader,后面会详细讲。

接下来分析overwrite_hdr这个函数。


浅析Pe2shellcode



Raw是原生pe的大小,将最后调用的eax赋值成ImageBase+sizeof(原生pe),让eip跳到尾部的stub执行。

这里可以看到有一个redir_code,这个redir_code是用来覆盖原生pe头的,个人认为这个redir_code涉及的十分巧妙,我们来分析一下32位的redir_code。


redir_code32[] = "x4D" //dec ebp   ‘M’   "x5A" //pop edx ’Z‘   "x45" //inc ebp   消除 dec ebp的影响   "x52" //push edx 消除pop edx 的影响   "xE8x00x00x00x00" //短call 下一条指令   "x58" // pop eax  把这条指令地址弹到eax   "x83xE8x09" // sub eax,9     eax-9指向的就是imageBase也就是加载进内存中pe的基址   "x50" // push eax (Image Base)  将eax压到栈顶   "x05" // add eax,   把shellcode地址放到eax当中   eax+ 原生PE的buffer大小就是shellcode的地址   "x59x04x00x00" // value   "xFFxD0" // call eax    将下一条指令压栈   "xc3"; // ret                       == // pop eip  又回到最初的起点


 x4Dx5A对应的是PE文件的魔术字段“MZ”,作者将MZ当成指令处理,CreateProcess底层函数MiVerifyImageHeader检测到文件没有某些字段便会抛出异常不去执行,这些字段就包括魔术字段,也就是说,作者很巧妙地让转成shellcode的文件仍然能当作正常的PE文件运行,这种手法让我想到了0x0C0C0C0C,既可以是地址也可以是opcode。

MZ字符当成指令在msf的stager里也用到过。


浅析Pe2shellcode


msf里是为了防止发生Bootstrap直接写入PE头部而导致破坏dos头的情况,这里就不作赘述了。

下图是windows针对PE头的必检字段。


浅析Pe2shellcode
浅析Pe2shellcode
浅析Pe2shellcode


有些安全研究员会更改这些非必检字段制作畸形pe,一旦edr或者杀软的校验逻辑与windows不一致,那就很可能将其当成非可执行文件从而达到绕过检测的目的,但并不会影响其在windows上的正常运行。


"x45" //inc ebp"x52" //push edx


接着这两条指令是为了平衡“M”,“Z”作为指令造成的影响,插在e_cblp上。


"xE8x00x00x00x00" //call <next_line"x58" // pop eax


然后是call 0,意思是call 下一条指令的地址,也就是call pop eax的地址。

pop eax 把该指令地址弹到eax里。


"x83xE8x09" // sub eax,9"x50" // push eax (Image Base)


sub eax ,9 就是让eax指向imageBase,把eax压栈。


"x05" // add eax,"x59x04x00x00" // value


前面讲过是将eax赋值成尾部stub的地址。

我们拿mimikatz_x86转shellcode进行验证。


浅析Pe2shellcode


010editor打开 mimi86.exe,可以看到rdi_code覆盖了原生pe头,而"x59x04x00x00"也变成了x00x80x09x00。


浅析Pe2shellcode


转到该地址,发现这确实是stu32.bin。


浅析Pe2shellcode
浅析Pe2shellcode


"xFFxD0" // call eax"xc3"; // ret      


接着最后两条指令跳到stub执行,然后ret 回到原来的地方。


stub32.bin

接着我们看一下stub32.bin,由于篇幅问题,我就不一个指令一个指令分析了。

可以看到asm文件包含了一个inc文件。


浅析Pe2shellcode


Inc文件里把一些固定值用伪指令equ对应起来。


浅析Pe2shellcode


像PAGE_EXECUTE_READWRITE equ 40h、lfanew equ 3ch,增强了代码的可读性。


1

获取kernel32地址

我们看看第一段。


浅析Pe2shellcode


很经典的shellcode写法,fsgs寄存器寻找PEB基址,通过PEB找到ldr链,然后ldr链里存放着dll名称和地址,hldr_begin的功能就是寻找kernel32.dll的地址。


2

获取导出函数地址

浅析Pe2shellcode


获取IMAGE_DIRECTORY_ENTRY_EXPORT地址->从IMAGE_DIRECTORY_ENTRY_EXPORT获取函数名地址(edAddressOfNames)->根据RVA在AddressOfNames表中的排序序号,获取AddressOfNameOrdinals表中相同排序序号的值->获取函数地址(edAddressOfFunctions)。

本质上实现了一个GetProAddress的功能。如下是转成C语言之后的代码。


DWORD GetFuncAddress() {    DWORD dwProcAddress = 0;    PIMAGE_DOS_HEADER pDosHdr = (PIMAGE_DOS_HEADER)hModule;    PIMAGE_NT_HEADERS pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)pDosHdr + pDosHdr->e_lfanew);    PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHdr + pNtHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);    PDWORD pAddressOfFunc = (PDWORD)((DWORD)hModule + pImageExportDirectory->AddressOfFunctions);    PDWORD pAddressOfName = (PDWORD)((DWORD)hModule + pImageExportDirectory->AddressOfNames);    PWORD pAddressOfNameOrdinal = (PWORD)((DWORD)hModule + pImageExportDirectory->AddressOfNameOrdinals);    if ((DWORD)lpProcName & 0xFFFF0000)    {        DWORD dwSize = pImageExportDirectory->NumberOfNames;        for (DWORD i = 0; i < dwSize; i++)        {            DWORD dwAddrssOfName = (DWORD)hModule + pAddressOfName[i];            int nRet = strcmp(lpProcName, (char*)dwAddrssOfName);            if (nRet == 0)            {                WORD wHint = pAddressOfNameOrdinal[i];                dwProcAddress = (DWORD)hModule + pAddressOfFunc[wHint];                return dwProcAddress;            }        }        dwProcAddress = 0;    }    else    {        DWORD nId = (DWORD)lpProcName - pImageExportDirectory->Base;        dwProcAddress = (DWORD)hModule + pAddressOfFunc[nId];    }    return dwProcAddress;}


3

处理导入表

浅析Pe2shellcode


循环遍历DLL导入表中的DLL及获取导入表中的函数地址-> 获取导入表中DLL的名称并加载DLL->判断是否加载了dll没有的话则加载之->获取OriginalFirstThunk以及对应的导入函数名称表首地址->获取FirstThunk以及对应的导入函数地址表首地址-> 判断导出函数是序号导出还是函数名称导出->获取函数地址。

转成C大概就是这样:


ImportTable(){    PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddr;    PIMAGE_NT_HEADERS NtAddr = (PIMAGE_NT_HEADERS)(BaseAddr + DosAddr->e_lfanew);    PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)DosAddr +                                                                       NtAddr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);    char* DllName = NULL;    HMODULE DllAddr = NULL;    PIMAGE_THUNK_DATA lpImportNameArray = NULL;    PIMAGE_IMPORT_BY_NAME lpImportByName = NULL;    PIMAGE_THUNK_DATA lpImportFuncAddrArray = NULL;    FARPROC FuncAddress = NULL;    DWORD i = 0;    while (TRUE)    {        if (0 == pImportTable->OriginalFirstThunk)        {            break;        }        DllName = (char*)((DWORD)DosAddr + pImportTable->Name);        DllAddr = GetModuleHandleA(DllName);if (NULL == hDll){    hDll = LoadLibraryA(DllName);    if (NULL == hDll)    {        pImportTable++;        continue;    }}
       i = 0;        lpImportNameArray = (PIMAGE_THUNK_DATA)((DWORD)DosAddr + pImportTable->OriginalFirstThunk);        lpImportFuncAddrArray = (PIMAGE_THUNK_DATA)((DWORD)DosAddr + pImportTable->FirstThunk);        while (TRUE)        {            if (0 == lpImportNameArray[i].u1.AddressOfData)            {                break;            }            lpImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)DosAddr + lpImportNameArray[i].u1.AddressOfData);            if (0x80000000 & lpImportNameArray[i].u1.Ordinal)            {                FuncAddress = GetProcAddress(DllAddr, (LPCSTR)(lpImportNameArray[i].u1.Ordinal & 0x0000FFFF));            }            else            {                FuncAddress = GetProcAddress(DllAddr, (LPCSTR)lpImportByName->Name);            }            lpImportFuncAddrArray[i].u1.Function = (DWORD)FuncAddress;            i++;        }        pImportTable++;    }    return TRUE;}


4

处理重定位

浅析Pe2shellcode


获取IMAGE_DIRECTORY_ENTRY_RELOC地址->计算需要修正的重定位项(地址)的数目(reSizeofBlock)->计算需要修正的重定位项的地址->把移动的距离在原地址加上去->转到下一个节进行处理直到所有节处理完毕。

转成C就是这样:


ProcessRelocation(){PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddr;PIMAGE_NT_HEADERS NtAddr = (PIMAGE_NT_HEADERS)(BaseAddr + DosAddr->e_lfanew);PIMAGE_BASE_RELOCATION LocAddr = (PIMAGE_BASE_RELOCATION)(BaseAddr + NtAddr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);while ((LocAddr->VirtualAddress + LocAddr->SizeOfBlock) != 0){WORD* LocAddrData = (WORD*)((PBYTE)LocAddr + sizeof(IMAGE_BASE_RELOCATION));int NumberOfReloc = (LocAddr->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);int i;for (i = 0; i < NumberOfReloc; i++){if ((DWORD)(LocAddrData[i] >> 12)==3){DWORD* pAddress = (DWORD*)((PBYTE)DosAddr + LocAddr->VirtualAddress + (LocAddrData[i] & 0x0FFF));DWORD dwDelta = (DWORD)DosAddr - NtAddr->OptionalHeader.ImageBase;*pAddress += dwDelta;}}LocAddr = (PIMAGE_BASE_RELOCATION)((PBYTE)LocAddr + LocAddr->SizeOfBlock);}


5

跳到OPE执行

浅析Pe2shellcode


bool GetEntry(){    PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddress;    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(BaseAddress + DosAddr->e_lfanew);    char* Entry = (char*)(BaseAddress + pNt->OptionalHeader.AddressOfEntryPoint);    ((void(*)())ExeEntry();    return TRUE;}


可以看到stub32.bin其实就是一个PEloader。


总结

pe2shellcode并不是真正意义上的将pe文件转成shellcode,它其实更像个加壳器,利用尾部的“peloader”加载头部的原生pe,并且让转换后的pe仍然是个合法的pe。




原文始发于微信公众号(默安逐日实验室):浅析Pe2shellcode

版权声明:admin 发表于 2022年12月20日 下午5:55。
转载请注明:浅析Pe2shellcode | CTF导航

相关文章

暂无评论

暂无评论...