Введение
Сейчас хотел бы показать интересный пример запуска нативного байт кода в управляемой куче на языке C#. Для демонстрации будут использованы примеры примитивных shellcode взятых с сайта https://www.exploit-db.com/. На данном ресурсе публикуются боевые exploit для известного программного обеспечения, а сам сайт является аналогом закрытого milw0rm. Перейдя в раздел https://www.exploit-db.com/shellcodes можно найти огромное количество shellcode для различных операционных систем, и при исполнении делающие от простого открытия диалогового окна до запуска backshell для удаленного доступа к машине. Для того, что бы последовательность байт произвела заложенные в нее действия, ее требуется поместить в оперативную память и передать ей управление, иными словами какой то поток должен сделать CALL по адресу памяти. На языках С\С++ вызов делается очень просто, указатель на блок в памяти преобразуется в указатель на метод, чаще всего void(), и делается его вызов ((void (*)())shellcode)(). Если мы те же действия хотим произвести в управляемой куче, то нам запрещено работать с указателями, но при этом никто не запрещает используя WinAPI и Marshaling заставить систему выполнить то, что мы хотим.Как это будет работать?
Всё легко и просто, для этого нам понадобится всего две WinAPI функции.
- VirtualAlloc - используя которую, мы разместим байт код в неуправляемой части памяти нашего приложения.
- CreateThread - которая создаст поток исполнения, у которого в качестве "Точки входа" (стартового адреса исполнения) будет наш размещенный блок с байт кодом.
Практика.
В примере ниже будет продемонстрировано два метода,
- RunCmd запускает cmd.exe внутри текущего консольного приложения.
- RunMessageBox - создает обычный MessageBox с текстом.
Далее привожу пример моего приложения. ByteCodeExecutor - класс, который непосредственно располагает байты в памяти и создает поток
internal static class Program { /// <summary> /// Entry point. /// </summary> /// <param name="args">Arguments.</param> private static void Main(string[] args) { if (IntPtr.Size != 4) { throw new NotSupportedException("Examples required x86 platform"); } RunCmd(); RunMessageBox(); Console.ReadKey(); } private static void RunCmd() { Console.WriteLine("Console application becomes command line"); // https://www.exploit-db.com/exploits/14052/ var bytes = new [] { 0xFC, 0x33, 0xD2, 0xB2, 0x30, 0x64, 0xFF, 0x32, 0x5A, 0x8B, 0x52, 0x0C, 0x8B, 0x52, 0x14, 0x8B, 0x72, 0x28, 0x33, 0xC9, 0xB1, 0x18, 0x33, 0xFF, 0x33, 0xC0, 0xAC, 0x3C, 0x61, 0x7C, 0x02, 0x2C, 0x20, 0xC1, 0xCF, 0x0D, 0x03, 0xF8, 0xE2, 0xF0, 0x81, 0xFF, 0x5B, 0xBC, 0x4A, 0x6A, 0x8B, 0x5A, 0x10, 0x8B, 0x12, 0x75, 0xDA, 0x8B, 0x53, 0x3C, 0x03, 0xD3, 0xFF, 0x72, 0x34, 0x8B, 0x52, 0x78, 0x03, 0xD3, 0x8B, 0x72, 0x20, 0x03, 0xF3, 0x33, 0xC9, 0x41, 0xAD, 0x03, 0xC3, 0x81, 0x38, 0x47, 0x65, 0x74, 0x50, 0x75, 0xF4, 0x81, 0x78, 0x04, 0x72, 0x6F, 0x63, 0x41, 0x75, 0xEB, 0x81, 0x78, 0x08, 0x64, 0x64, 0x72, 0x65, 0x75, 0xE2, 0x49, 0x8B, 0x72, 0x24, 0x03, 0xF3, 0x66, 0x8B, 0x0C, 0x4E, 0x8B, 0x72, 0x1C, 0x03, 0xF3, 0x8B, 0x14, 0x8E, 0x03, 0xD3, 0x52, 0x68, 0x78, 0x65, 0x63, 0x01, 0xFE, 0x4C, 0x24, 0x03, 0x68, 0x57, 0x69, 0x6E, 0x45, 0x54, 0x53, 0xFF, 0xD2, 0x68, 0x63, 0x6D, 0x64, 0x01, 0xFE, 0x4C, 0x24, 0x03, 0x6A, 0x05, 0x33, 0xC9, 0x8D, 0x4C, 0x24, 0x04, 0x51, 0xFF, 0xD0, 0x68, 0x65, 0x73, 0x73, 0x01, 0x8B, 0xDF, 0xFE, 0x4C, 0x24, 0x03, 0x68, 0x50, 0x72, 0x6F, 0x63, 0x68, 0x45, 0x78, 0x69, 0x74, 0x54, 0xFF, 0x74, 0x24, 0x20, 0xFF, 0x54, 0x24, 0x20, 0x57, 0xFF, 0xD0 }; ByteCodeExecutor.Execute(bytes); }
