CreateProcessA参数型Shellcode的编码问题研究

宣布时间 2021-12-22

克日，，，，，在对WebAccess/SCADA系统的误差研究中，，，，，鉴黑担保网ADLab的工控清静研究员发明了一个未被普遍谈论的误差使用手艺问题，，，，，即经由CreateProcessA参数举行转达的shellcode的编码问题。。。。。。。

简朴来讲，，，，，该控制系统的误差由两个程序组成：焦点程序CoreProcess和辅助程序HelpProcess，，，，，焦点程序CoreProcess通过系统函数CreateProcessA来启动HelpProcess（同时转达了相关参数）。。。。。。。其中，，，，，CoreProcess的简化代码如下：

代码.png

显然，，，，，HelpProcess的WinMain函数保存一个经典的栈溢出误差。。。。。。。当lpCmdLine的数据长度凌驾400字节时，，，，，对buff的strcpy操作就会爆发溢出；；；；；；当长度凌驾404字节时，，，，，就会笼罩到eipCallerNext，，，，，从而挟制HelpProcess的程序控制流。。。。。。。

回溯代码可知，，，，，lpCmdLine的数据泉源是CoreProcess的CreateProcessA挪用，，，，，且是用户可控的。。。。。。。因此，，，，，该误差的使用看起来是简朴的，，，，，只需要盘算好eipCallerNext的偏移量并使用shellcode填充buff即可。。。。。。。该误差的使用链和客栈结构如下所示：

回溯代码.png

在使用历程中，，，，，接纳测试填充字符举行溢出时，，，，，eipCallerNext的笼罩总是准确的；；；；；；但接纳metasploit的shellcode来溢出时，，，，，eipCallerNext的笼罩就变得不准确。。。。。。。对数据举行较量后发明，，，，，shellcode在CoreProcess和HelpProcess是纷歧样的，，，，，即shellcode转达到HelpProcess后爆发了改变。。。。。。。别的，，，，，通过实验metasploit的差别shellcode，，，，，发明这种改变没有显着的纪律可循。。。。。。。

针对这个问题，，，，，ADLab的清静研究员举行了深入的剖析，，，，，弄清了CreateProcessA参数转达的shellcode的编码问题，，，，，并开发了自动化处置惩罚要领，，，，，从而兼容恣意shellcode。。。。。。。

CreateProcessA的参数处置惩罚

Windows操作系统的内核是支持全球种种语言的，，，，，其提供统一的Unicode编码型内核态API；；；；；；针对详细的国家或地区，，，，，Windows通过区域编码来实现外地语言支持，，，，，即Ansi字符串型的用户态API。。。。。。。这些用户态API在内部先把Ansi字符串转换为Unicode字符串，，，，，然后再挪用内核态API；；；；；；这个转换历程是透明的，，，，，用户编写的程序对此无感知。。。。。。。

在Window操作系统上，，，，，1个Unicode字符由2个字节组成，，，，，1个Ansi字符由1个字节或2个字节组成。。。。。。。当首字节的值是0到127时，，，，，它是1个ASCII字符，，，，，对应Unicode字符的2字节的内容就是该ASCII字符加1个填充字符0；；；；；；例如，，，，，Ansi字符”A”，，，，，其对应的Unicode字符是”A\x00”。。。。。。。当首字节的值大于127时，，，，，则目今字节和下个字节组合起来是一个区域语言的字符，，，，，区域语言字符保存对应的Unicode字符映射表；；；；；；例如，，，，，”\xce\xd2”的“\xce”不是1个正当的ASCII字符，，，，，它只能和“\xd2”联相助为1其中文字符“我”，，，，，对应的Unicode字符是”\x11\x62”。。。。。。。

如下所示，，，，，CreateProcessA就是一个Ansi编码型的用户态API，，，，，字符串”AAAA”会被自动转换为Unicode字符串并转达给HelpProcess，，，，，然后在挪用WinMain之前又被自动还原为Ansi字符串。。。。。。。因此，，，，，关于Ansi字符串”AAAA”，，，，，CoreProcess和HelpProcess在程序开发上都无需做任何特另外处置惩罚。。。。。。。

代码.png

通常情形下，，，，，CreateProcessA参数lpCmdline的泉源是可靠的，，，，，好比编译时预界说的字符串和API的返回值，，，，，此时lpCmdline都是准确的Ansi字符串。。。。。。。因此，，，，，CreateProcess险些总能在Unicode和Ansi之间自由地准确转换。。。。。。。

现实上，，，，，关于任何一门区域语言，，，，，其Ansi字符和Unicode字符的映射都不是逐一映射关系；；；；；；即在2字节的所有取值空间中，，，，，Ansi字符表的有用项数总是小于Unicode字符表的有用项数。。。。。。。这意味着，，，，，针对无法确认是区域语言的2个字节，，，，，若是强制视作Ansi字符则转换成Unicode字符后纷歧定能还原为初始的Ansi字符。。。。。。。例如：”\xeb\x2a”是一条通例的jmp offset指令，，，，，它不是1个正当的中文字符；；；；；；若是视作Ansi字符强制转换为Unicode字符则是”\x3f\x00”，，，，，再次转换为Ansi字符即是”?”，，，，，丧失了jmp offset指令的语义。。。。。。。

因此，，，，，通过CreateProcessA的cmdline参数举行shellcode转达，，，，，必需要思量区域语言的Ansi字符和Unicode字符相互转换的问题。。。。。。。

在本文的误差使用案例中，，，，，外地区域的语言是中文简体，，，，，对应Ansi编码表是GBK。。。。。。。因此，，，，，必需要对metasploit的shellcode举行GBK编码，，，，，确保其是准确的Ansi字符串。。。。。。。

GBK表的编码在2字节取值空间的规模是8140－FEFE，，，，，即第1字节的取值规模是0x81到0xFE，，，，，第2字节的取值是0x40到0xFE，，，，，如下所示：

字节.png

别的，，，，，第2字节的现实有用取值尚有更多约束。。。。。。。好比，，，，，第2字节不可为0X7F。。。。。。。针对某些取值的字节，，，，，第2字节的取值比[0x40, 0xFE]的空间更小。。。。。。。如下图所示，，，，，有的只能取该空间的后半部分，，，，，有的则只能取前半部分。。。。。。。

关于shellcode来讲，，，，，其每个字节的取值在0到255之间都是完全正当的。。。。。。。因此，，，，，本文的误差使用要实现shellcode的随意替换，，，，，必需要有一种要领来对shellcode中违反GBK编码的字节举行处置惩罚，，，，，从而阻止Ansi字符和Unicode字符间转换导致的shellcode字符被改变的问题。。。。。。。一个基本的要领是凭证如下的流程对shellcode举行处置惩罚，，，，，其要害是对GBK表举行查表并修正汇编指令。。。。。。。

字节调解.png

以如下的shellcode为例，，，，，在扫描到字节0xEB时，，，，，发明是非ASCII字符且查表GBK效果是不保存，，，，，需要举行转换；；；；；；盘问GBK表后发明，，，，，在0xEB之前插入0x90可以使得90 EB是一个正当的GBK字符，，，，，同时90EB 38又不改变原来的汇编语义，，，，，转换乐成。。。。。。。同理，，，，，继续扫描到下一个字节0XEB时，，，，，再做同样的转换就可以。。。。。。。可是，，，，，第2次的转换插入了新的字节0x90，，，，，导致了原始lab1对应的偏移量爆发了改变；；；；；；原始lab的指令现实位于转后的lab+1位置，，，，，使得第一个0XEB的语义不法了。。。。。。。因此，，，，，转换历程还要求跟踪指令区块的长度转变。。。。。。。

转换汇编.png

除了指令区块的长度改变外，，，，，尚有其它兼容性问题。。。。。。。好比，，，，，shellcode中特殊取值（典范有0）的字节处置惩罚问题，，，，，对shellcode的内嵌参数修改问题等。。。。。。。因此，，，，，只管查表转换是最基础的步伐，，，，，但全表盘问的空间大，，，，，限制了shellcode的无邪性。。。。。。。为相识决该问题，，，，，ADLab的清静研究员提出了一种基于盘算的shellcode编码要领。。。。。。。

Shellcode盘算转换

首先，，，，，我们把shellcode分为两部分：头部的牢靠decoder和尾部的多变payload。。。。。。。然后，，，，，接纳查表方法举行手工编写切合GBK编码的汇编代码。。。。。。。其中，，，，，decoder的长度很有限，，，，，决议了这个编写的价钱不大；；；；；；同时，，，，，多变payload是没有特殊限制的，，，，，通过编写对应的encoder来编码payload使其不违反GBK编码，，，，，又可以被decoder还原。。。。。。。通过这种方法，，，，，对原始shellcode的选择和改变就完全不必体贴GBK编码问题，，，，，使得该误差的使用越发富厚。。。。。。。

为了镌汰decoder的体积，，，，，我们设计了一种盘算要领来编码息争码，，，，，这样就不需要存储GBK字符表或者重大的规则。。。。。。。原始shellcode编码时的盘算规则如下：

遇到字节是ASCII、0x80和0xff，，，，，直接保存。。。。。。。

遇到字节是\x00，，，，，转换成加法运算符\x90和2个盘算数符\x80和\x80。。。。。。。

遇到字节是\x90，，，，，转换成加法运算符\x90和2个盘算数符\x48和\x48。。。。。。。

遇到2个字节可以转换为unicode字符，，，，，直接保存这2个字节。。。。。。。

遇到前面都不可处置惩罚的字节，，，，，直接转换成加法运算符\x90和2个盘算数符，，，，，第1个是\x80，，，，，第2个是差值。。。。。。。

接纳上述的编码要领后，，，，，任何shellcode都可以被转换为正当GBK字符串，，，，，并且decoder对payload的解码盘算也十分简朴，，，，，只需要如下的1条规则：

遇到字符是\x90，，，，，直接对后2个字符举行加法盘算，，，，，并用效果替换字符\x90。。。。。。。

至此，，，，，CreateProcessA参数转达的shellcode的编码问题就所有被约束在了只有一条规则的decoder代码中，，，，，很显然这是一个界线十明确确的局部问题，，，，，因此很容易就解决了。。。。。。。接纳这种要领，，，，，本文的误差使用可以随意挪用metasploit中的shellcode，，，，，无需再担心它们的指令内部细节。。。。。。。

在多语言情形下，，，，，shellcode若是不是直接的内存转达，，，，，则可能会被系统API函数所转换，，，，，从而导致其因在获得执行权之前爆发内容改变而无效。。。。。。。因此，，，，，在误差使用历程中，，，，，需要注重shellcode是否受到多语言版本的API影响。。。。。。。

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究