水不脏人,人却脏水。这就是上善若水?
前言
我们时常说地址无关和地址相关代码是什么?
假设我们有一段代码,这段代码可以随意粘贴到任何程序中运行那么我可以简单的理解为这就是位置无关代码。
我们看下如下的代码:
#include<Windows.h>
int main()
{
return MessageBoxA(NULL,"hello","world",MB_OK);
}
这段代码对应的汇编代码如下:
下划线就是被重定位后的地址。
如果我们把这段汇编代码赋值到其他进程是无法运行的。
我们简单举例来说
本例中的push 00E2100是压入world字符串所在地址,但是其他进程00E2100指代的是什么是无法知晓。
所以我们怎么才能写一个地址无关代码?
地址无关代码编写
案例仅参考在windows ,linux同理
- 将字符串改为字符数组
- 关闭安全检查
- 修改入口点
- 关闭编译器优化
- 库函数调用方式修正
将字符串改为字符数组
看一下以下代码
#include<Windows.h>
int main()
{
char szText[] = { 'h', 'h',' e',' l',' l',' o','\0' };
char szText2[] = "world";
MessageBoxA(NULL, szText, szText2,MB_OK);
return EXIT_SUCCESS;
}
你会发现如果我们字符串的会引用数据地址,而字符数组会在自己用assic直接构造。
关闭安全检查
也许你留意到以下代码
上面代码是用来检查堆栈溢出等。
你可以关闭整个检查如下图所示:
修改入口点
我们main其实在运行前需要准备好c库运行环境,所以我们首先会运行一个叫mainCRTStartup函数,
函数源码地址参考:
C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.29.30133\crt\src\vcruntime
//exe_main.cpp
//
// exe_main.cpp
//
// Copyright (c) Microsoft Corporation. All rights reserved.
//
// The mainCRTStartup() entry point, linked into client executables that
// uses main().
//
#define _SCRT_STARTUP_MAIN
#include "exe_common.inl"
extern "C" DWORD mainCRTStartup(LPVOID)
{
return __scrt_common_main();
}
我们可以修改我们的函数为入口点
关闭编译器优化
我们前面说过说过字符数组会避免地址引用,但是对于过长字符数组就会转化为多媒体指令的调用了
#include<Windows.h>
int main()
{
char szText[] = { 'h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h', 'h',' e',' l',' l',' o','\0' };
char szText2[] = "world";
MessageBoxA(NULL, szText, szText2,MB_OK);
return EXIT_SUCCESS;
}
如下图的 xmm
库函数调用方式修正
在Window函数调用中会存在一个IAT机制,如下图会进行间接跳转
很显然这段跳转绑定在正运行程序IAT,因此我们往往需要很特殊的方式去调用。
我们可以如此这般解决:
- 通过PEB获取kernel32.dll地址
- 自行编写一个GetProcAddress 获取
kernel32.dll中的GetProcAddress与LoadLibraryA函数 - 得到这个两个函数后就可以自行加载某个系统库然后获取对应函数了
// ShellCodeStudy.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include <iostream>
#include<Windows.h>
typedef FARPROC(WINAPI * PFN_GetProcAddress)(
_In_ HMODULE hModule,
_In_ LPCSTR lpProcName
);
typedef
HMODULE
(WINAPI
*PNF_LoadLibraryA)(
_In_ LPCSTR lpLibFileName
);
typedef int(WINAPI *PNF_MessageBoxA)(
_In_opt_ HWND hWnd,
_In_opt_ LPCSTR lpText,
_In_opt_ LPCSTR lpCaption,
_In_ UINT uType);
//获取keenel32模块 https://xz.aliyun.com/t/10478
HMODULE GetKernelBase() {
HMODULE hMod = nullptr;
__asm {
mov eax, dword ptr fs : [0x30]
mov eax, dword ptr [eax + 0x0C]
mov eax, dword ptr [eax + 0x0C]
mov eax, dword ptr [eax]
mov eax, dword ptr [eax]
mov eax, dword ptr [eax + 0x18]
mov hMod, eax
}
return hMod;
}
void* MyGetProcAddress(HMODULE hMod, LPCSTR lpFunName)
{
IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
IMAGE_NT_HEADERS32* pNtHeader = (IMAGE_NT_HEADERS32*)((DWORD)hMod + pDosHeader->e_lfanew);
IMAGE_DATA_DIRECTORY* pExportDirectoty = &pNtHeader->OptionalHeader.DataDirectory[0];
IMAGE_EXPORT_DIRECTORY* pExport = (IMAGE_EXPORT_DIRECTORY*)((DWORD)hMod + pExportDirectoty->VirtualAddress);
if ((DWORD)lpFunName > 0xffff)
{
//名称查找
for (size_t i = 0; i < pExport->NumberOfNames; i++)
{
char* pName = (char*)(*(DWORD*)((DWORD)hMod + pExport->AddressOfNames + i * sizeof DWORD)+ (DWORD)hMod);
if (strcmp(lpFunName, pName) == 0)
{
DWORD dwOrdinals = *(WORD*)((DWORD)hMod + pExport->AddressOfNameOrdinals+ i * sizeof WORD);
return (void*)(*(DWORD*)((DWORD)hMod+pExport->AddressOfFunctions+ dwOrdinals* sizeof DWORD)+(DWORD)hMod);
}
}
}
else {
DWORD dwOrdinals = (DWORD)lpFunName - pExport->Base;
if (dwOrdinals>=pExport->NumberOfFunctions)
{
return 0;
}
return (void*)(*(DWORD*)((DWORD)hMod + pExport->AddressOfFunctions + dwOrdinals * sizeof DWORD) + (DWORD)hMod);
}
}
int Entry()
{
char szText[] = { 'h',' e',' l',' l',' o','\0' };
char szText2[] = "sdas";
char szTitle[] = { 'w',' o',' r',' l',' d','\0' };
char szGetProcAddress[] = { 'G','e','t','P','r','o','c','A', 'd','d','r','e','s','s','\0'};
char szLoadLibraryA[] = { 'L','o','a','d','L','i','b','r', 'a','r','y','A','\0' };
char szUser32[] = {'u','s','e','r','3','2','\0' };
char szMessageBoxA[] = { 'M','e','s','s','a','g','e','B','o','x','A','\0'};
HMODULE hKernnel32 = GetKernelBase();
PFN_GetProcAddress pfnGetProcAddress =(PFN_GetProcAddress)MyGetProcAddress(hKernnel32, szGetProcAddress);
PNF_LoadLibraryA pfnLoadLibraryA = (PNF_LoadLibraryA)pfnGetProcAddress(hKernnel32, szLoadLibraryA);
HMODULE hUser32 = pfnLoadLibraryA(szUser32);
PNF_MessageBoxA pnfMessageBoxA = (PNF_MessageBoxA)pfnGetProcAddress(hUser32,szMessageBoxA);
return pnfMessageBoxA(NULL, szText, szTitle, MB_OK);
}
