shellcode
play

Shellcode Shellcode A set of instructions injected and - PowerPoint PPT Presentation

Jul 20, 2023 •115 likes •606 views

Shellcode Shellcode A set of instructions injected and executed by exploited software Also called a payload Denoted as shellcode because

  2. Shellcode ¡ � Shellcode ¡ � A ¡set ¡of ¡instructions ¡injected ¡and ¡executed ¡by ¡ exploited ¡software ¡ � Also ¡called ¡a ¡“payload” ¡ � Denoted ¡as ¡“shell”code ¡because ¡shellcode ¡most ¡ typically ¡spawns ¡a ¡command ¡shell ¡ 2

  3. NOP ¡Sled ¡ � NOP ¡Sled ¡ � Set ¡of ¡instructions ¡which ¡ultimately ¡do ¡not ¡affect ¡ code ¡execution ¡ � Placed ¡before ¡shellcode ¡so ¡that ¡a ¡transfer ¡of ¡ execution ¡into ¡the ¡NOP ¡sled ¡will ¡transfer ¡ execution ¡into ¡the ¡shellcode ¡ � NOP ¡instruction ¡(\x90) ¡ � Good ¡NOP ¡sleds ¡ � Do ¡not ¡interfere ¡with ¡code ¡execution ¡ � May ¡be ¡entered ¡at ¡any ¡location ¡ � Are ¡hard ¡to ¡detect ¡ 3

  4. NOP ¡Sled ¡ Technology ¡ � IDS ¡Evasion ¡ � Easy ¡to ¡detect ¡a ¡large ¡0x90 ¡NOP ¡sled ¡ � ADMutate ¡ � Single-­‑byte ¡x86 ¡ � Opty2 ¡ � Part ¡of ¡Metasploit ¡ � Multi-­‑byte ¡slide ¡ 4

  5. NOP ¡Sled ¡ Technology ¡ � Multi-­‑byte ¡NOP ¡Sleds ¡ 5

  6. Linux ¡System ¡Calls ¡ System ¡Calls ¡ � Aka ¡syscall ¡ � Powerful ¡set ¡of ¡kernel ¡functions ¡ � Linux ¡System ¡Call ¡ � 1. The ¡syscall ¡number ¡is ¡loaded ¡into ¡EAX ¡ 2. Arguments ¡are ¡placed ¡in ¡other ¡registers ¡ � EBX, ¡ECX, ¡EDX, ¡ESI, ¡EDI, ¡EBP ¡ 3. Int ¡0x80 ¡(\xCD ¡\x80) ¡ 4. CPU ¡switches ¡to ¡kernel ¡mode ¡ 5. Syscall ¡executes ¡ 6

  7. Exit ¡Shellcode ¡ � Exit.c ¡ � We ¡will ¡compile ¡statically ¡ � This ¡will ¡include ¡the ¡exit ¡function ¡in ¡our ¡executable ¡ � gcc ¡-­‑static ¡-­‑o ¡exit ¡exit.c ¡ 7

  8. Exit ¡Shellcode ¡ 8

  9. Exit ¡Shellcode ¡ � Two ¡Syscalls ¡ � Exit ¡Group ¡(0xFC) ¡ � Argument ¡1: ¡[esp+4] ¡ � ¡0 ¡ � Exit ¡(0x01) ¡ � Argument ¡1: ¡[esp+4] ¡ � ¡0 ¡ 9

  10. Exit ¡Shellcode ¡ � Exit.asm ¡ � NASM ¡(Netwide ¡Assembler) ¡ � We ¡do ¡not ¡need ¡the ¡exit ¡group ¡for ¡our ¡shellcode ¡ 10

  11. Exit ¡Shellcode ¡ � Exit.asm ¡ � Assemble ¡with ¡NASM ¡ � Link/Load ¡with ¡ld ¡ � Execute ¡ � Dump ¡with ¡objdump ¡ 11

  12. Exit ¡Shellcode ¡ � Shellcode ¡Test ¡ � Standard ¡C ¡template ¡to ¡test ¡shellcode ¡ 12

  13. Injectable ¡Shellcode ¡ � Common ¡Constraints ¡on ¡Shellcode ¡ � No ¡null ¡bytes ¡ � Ascii ¡text ¡only ¡ � Uppercase/lowercase ¡ � Unicode ¡only ¡ � Uppercase/lowercase ¡ � … ¡ 13

  14. Injectable ¡Shellcode ¡ � No ¡Null ¡Bytes ¡ � Literals ¡are ¡a ¡large ¡source ¡of ¡nulls ¡ � Xor ¡trick ¡ � Truncation ¡trick ¡ 14

  15. Injectable ¡Shellcode ¡ 15

  16. Popping ¡a ¡Shell ¡in ¡Linux ¡ � Local ¡Shell ¡Shellcode ¡ � execve ¡ int execve(const char *filename, char *const argv[], char *const envp[]) 16

  17. Popping ¡a ¡Shell ¡in ¡Linux ¡ � Local ¡Shell ¡Shellcode ¡ 17

  18. Popping ¡a ¡Shell ¡in ¡Linux ¡ 18

  19. Popping ¡a ¡Shell ¡in ¡Linux ¡ 19

  20. Popping ¡a ¡Shell ¡in ¡Linux ¡ � Jump ¡/ ¡Call ¡ � Position ¡Independent ¡Code ¡(PIC) ¡technique ¡ � A ¡call ¡gives ¡us ¡access ¡to ¡relative ¡addressing ¡ 20

  21. Popping ¡a ¡Shell ¡in ¡Linux ¡ � Notes ¡ � db ¡in ¡code ¡section ¡ � Essentially ¡scratch ¡space ¡ � Avoid ¡nulls ¡ Pop Pop Ret et into o ESI Clea ear EAX � Xor ¡ Set et J to o null byte e Arg1 = = &“/bin/sh” � Truncation ¡ Set et AAAA to o &Arg1 Set et KKKK to o NULL LL � Dynamic ¡overwrite ¡ Syscall 0x0b (ex (exec ecve) e) Arg1 = = &“/bin/sh” � PIC ¡ Arg2 = = &&“/bin/sh” Arg3 = = &NULL LL � Using ¡ESI ¡ Syscall Inter errupt 21

  22. Popping ¡a ¡Shell ¡in ¡Linux ¡ � Shellcode ¡Test ¡ � Standard ¡C ¡template ¡to ¡test ¡shellcode ¡ 22

  23. Windows ¡Shellcoding ¡ � Windows ¡Shellcode ¡ � System ¡calls ¡exist ¡( int 0x2e ) ¡ � But ¡most ¡functionality ¡is ¡found ¡elsewhere ¡ � Windows ¡uses ¡DLLs ¡for ¡most ¡system ¡functions ¡ � These ¡addresses ¡change ¡per ¡OS ¡and ¡service ¡pack ¡ � Code ¡normally ¡resolves ¡addresses ¡dynamically ¡ � This ¡makes ¡Windows ¡shellcode ¡large ¡ � Means ¡we ¡have ¡to ¡process ¡the ¡PEB ¡in ¡our ¡shellcode ¡ � Popping ¡a ¡Shell ¡in ¡Windows ¡ � Never ¡do ¡this! ¡ 23

  24. Position ¡Independent ¡Code ¡ Revisited ¡ � Noir’s ¡Get ¡EIP ¡ � fldz ¡ � Dummy ¡FPU ¡instruction ¡ � fnstenv ¡ � Gets ¡the ¡EIP ¡of ¡the ¡last ¡FPU ¡instruction ¡ � pop ¡ � Pops ¡the ¡value ¡into ¡EAX ¡ D9EE fldz D97424F4 fnstenv [esp-0xc] 58 pop eax 24

  25. Position ¡Independent ¡Code ¡ Revisited ¡ � Call ¡$+4 ¡ � Relative ¡jump ¡to ¡inter-­‑call ¡instruction ¡ � Opcodes ¡are ¡decoded ¡on ¡the ¡fly ¡ E8FFFFFFFF call 0x4 FFC3 inc ebx Call C3 ret 58 pop eax 58 pop eax 25

  26. Types ¡of ¡Payloads ¡ � Single ¡ � “Self-­‑contained” ¡payload ¡ � Stager ¡ � A ¡payload ¡that ¡loads ¡then ¡executes ¡a ¡stage ¡ � Over ¡a ¡network ¡connection ¡ � Allows ¡use ¡of ¡large ¡payloads ¡ � Kernel ¡to ¡user ¡(ring ¡0 ¡to ¡ring ¡3) ¡handoff ¡ � Metasploit’s ¡ stager_sysenter_hook � Usually ¡smaller ¡than ¡single ¡payloads ¡ � Stage ¡ � A ¡payload ¡that ¡is ¡loaded ¡via ¡a ¡stager ¡ 26

  27. Types ¡of ¡Shellcode ¡ � Local ¡ � Remote ¡ � Download ¡and ¡Execute ¡ � Staged ¡ � Egg-­‑hunter ¡ � Omelet ¡ 27

  28. Local ¡Versus ¡Remote ¡Shellcode ¡ � Local ¡Shellcode ¡ � Privilege ¡escalation ¡ � Remote ¡Shellcode ¡ � Reverse ¡ � Connect ¡from ¡victim ¡back ¡to ¡hacker ¡ � Bypasses ¡firewalls ¡and ¡NAT ¡ � Bind ¡ � Open ¡a ¡server ¡port ¡on ¡the ¡victim ¡for ¡the ¡hacker ¡ � Find ¡ � Reuse ¡an ¡existing ¡connection ¡ 28

  29. Download ¡and ¡Execute ¡/ ¡Staged ¡ Shellcode ¡ � Download ¡and ¡Execute ¡Shellcode ¡ � Commonly ¡used ¡for ¡browser ¡drive-­‑by ¡attacks ¡ � Shellcode ¡downloads ¡a ¡file ¡from ¡a ¡network ¡ � Saves ¡it ¡to ¡the ¡disk, ¡then ¡executes ¡it ¡ � Staged ¡Shellcode ¡ � Stager ¡shellcode ¡downloads ¡stage ¡shellcode ¡ � Stager ¡usually ¡called ¡stage ¡1 ¡ � Stage ¡usually ¡called ¡stage ¡2 ¡ 29

  30. Egg ¡Hunter ¡/ ¡Omelet ¡ Shellcode ¡ � Egg ¡Hunter ¡ � Small ¡hunter ¡shellcode ¡is ¡injected ¡at ¡a ¡predictable ¡ location ¡ � Searches ¡for ¡a ¡larger ¡egg ¡at ¡a ¡less ¡predictable ¡ location ¡ � Omelet ¡ � Recombines ¡multiple ¡small ¡eggs ¡into ¡one ¡payload ¡ called ¡the ¡omelet ¡ � Useful ¡if ¡you ¡can ¡only ¡inject ¡small ¡blocks ¡ 30

  31. Egg ¡Hunter ¡/ ¡Omelet ¡ Shellcode ¡ � Survivable ¡Search ¡Techniques ¡ � NtAccessCheckAndAuditAlarm � Offset ¡0x2 ¡in ¡ KiServiceTable ; push address to check push edx ; NtAccessCheckAndAuditAlarm mov eax, 0x02 ; syscall int 0x2e ; did we get an ACCESS_VIOLATE (0xc0000005)? cmp eax, 0xc0000005 31

  32. Metasploit ¡Egg ¡Hunter ¡ � Egg ¡Hunter ¡Stub ¡ � Egg ¡tag ¡ � The ¡marker ¡repeated ¡twice ¡ � Marker ¡ � Random ¡4-­‑byte ¡identifying ¡value ¡ � Checksum ¡stub ¡ � Computes ¡the ¡payload ¡checksum ¡in ¡case ¡we ¡got ¡a ¡ false ¡positive ¡on ¡the ¡marker ¡ 32

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Go to http://workshop.DidierStevens.com Unzip shellcode-workshop.zip to C:\ Password is workshop

Go to http://workshop.DidierStevens.com Unzip shellcode-workshop.zip to C:\ Password is workshop

White Hat Shellcode Workshop Didier Stevens Go to http://workshop.DidierStevens.com Unzip shellcode-workshop.zip to C:\ Password is workshop . First example: loading/unloading a DLL Start calc.exe Start procexp.exe (Process Explorer) and

471 views • 23 slides
Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Scoreboard 3 Administrivia Survey: how

Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Scoreboard 3 Administrivia Survey: how

1 Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Scoreboard 3 Administrivia Survey: how many hours did you spend? (<3h, 6h, 10h, >20h) Join Piazza An optional recitation at 5-6pm on every Wed (in Klaus 1447) Lab02

794 views • 25 slides
ShellNoob Because writing shellcode is fun, but sometimes painful Black Hat USA Yanick

ShellNoob Because writing shellcode is fun, but sometimes painful Black Hat USA Yanick

ShellNoob Because writing shellcode is fun, but sometimes painful Black Hat USA Yanick Fratantonio Arsenal 2013 UC Santa Barbara Who am I? PhD Student at UC Santa Barbara I play with the ShellPhish team What I do I like

506 views • 31 slides
Network-level Polymorphic Shellcode Detection using Emulation Michalis Polychronakis, Kostas

Network-level Polymorphic Shellcode Detection using Emulation Michalis Polychronakis, Kostas

Network-level Polymorphic Shellcode Detection using Emulation Michalis Polychronakis, Kostas Anagnostakis, and Evangelos Markatos Institute of Computer Science Foundation for Research and Technology Hellas Crete, Greece DIMVA06 - 13

771 views • 54 slides
Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Administrivia Survey: how many hours did

Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Administrivia Survey: how many hours did

1 Lec02: x86_64 / Shellcode / Tools Taesoo Kim 2 Administrivia Survey: how many hours did you spend? (<3h, 6h, 10h, >20h) Please join Piazza An optional recitation at 5-7pm on every Wed (in CoC 052 ) Lab02 is already

394 views • 26 slides
Waiter, theres a compiler in my shellcode! Not so loud, or everybody will want one! Josh

Waiter, theres a compiler in my shellcode! Not so loud, or everybody will want one! Josh

Waiter, theres a compiler in my shellcode! Not so loud, or everybody will want one! Josh Stone NolaCon, 2019 Waiter by Adrien Coquet from the Noun Project Introduction: Josh Stone 30 years programmer 19 years infosec 15 years married

742 views • 49 slides
Teaching Old Shellcode New Tricks REcon Brussels 2017 @midnite_runr Cest Moi US Marine

Teaching Old Shellcode New Tricks REcon Brussels 2017 @midnite_runr Cest Moi US Marine

Teaching Old Shellcode New Tricks REcon Brussels 2017 @midnite_runr Cest Moi US Marine (out in 2001) Wrote BDF/BDFProxy Co-Authored Ebowla Found OnionDuke Work @ Okta Twitter: @midnite_runr Why This Talk Its

1.36k views • 105 slides
Outline Threat modeling, contd Shellcode techniques CSci 4271W Development of Secure

Outline Threat modeling, contd Shellcode techniques CSci 4271W Development of Secure

Outline Threat modeling, contd Shellcode techniques CSci 4271W Development of Secure Software Systems Binary-level GDB commands and demo Day 5: Memory safety attacks In-person lab logistics reminders Stephen McCamant Project 1 bcimgview

1.17k views • 6 slides
ss 4 Cl Class CSC 472/583 Software Security System Call, Shellcode Dr. Si Chen

ss 4 Cl Class CSC 472/583 Software Security System Call, Shellcode Dr. Si Chen

ss 4 Cl Class CSC 472/583 Software Security System Call, Shellcode Dr. Si Chen (schen@wcupa.edu) System Call Page 2 System Call User code can be arbitrary User code cannot modify kernel memory The call mechanism switches code to

840 views • 17 slides
a single gadget weird machine Framing Signals a return to portable shellcode Erik Bosman and

a single gadget weird machine Framing Signals a return to portable shellcode Erik Bosman and

a single gadget weird machine Framing Signals a return to portable shellcode Erik Bosman and Herbert Bos stack buffer overflow stack return addr buffer sp 1 stack buffer overflow stack return addr buffer sp 1 stack buffer overflow

1.65k views • 89 slides
Lecture 10 Return-oriented programming Stephen Checkoway University of Illinois at Chicago

Lecture 10 Return-oriented programming Stephen Checkoway University of Illinois at Chicago

Lecture 10 Return-oriented programming Stephen Checkoway University of Illinois at Chicago Based on slides by Bailey, Brumley, and Miller ROP Overview Idea: We forge shellcode out of existing application logic gadgets Requirements:

789 views • 63 slides
Miasm2 Reverse engineering framework F. Desclaux, C. Mougey Commissariat lnergie

Miasm2 Reverse engineering framework F. Desclaux, C. Mougey Commissariat lnergie

Miasm2 Reverse engineering framework F. Desclaux, C. Mougey Commissariat lnergie atomique et aux nergies alternatives June 17, 2017 Summary 1 Introduction 2 Use case: Shellcode Use case: EquationDrug from EquationGroup 3 Use

1.66k views • 143 slides
Automatic Generation of Compact Printable Shellcodes For x86 WOOT 20 Dhrumil Patel Aditya

Automatic Generation of Compact Printable Shellcodes For x86 WOOT 20 Dhrumil Patel Aditya

Automatic Generation of Compact Printable Shellcodes For x86 WOOT 20 Dhrumil Patel Aditya Basu Anish Mathuria August 11, 2020 Outline Introduction Currently used Algorithms Motivation Printable Shellcode Compiler ( psc ) Results

578 views • 18 slides
Lecture 14 Return-oriented programming Stephen Checkoway Oberlin College Based on slides by

Lecture 14 Return-oriented programming Stephen Checkoway Oberlin College Based on slides by

Lecture 14 Return-oriented programming Stephen Checkoway Oberlin College Based on slides by Bailey, Brumley, and Miller ROP Overview Idea: We forge shellcode out of existing application logic gadgets Requirements: vulnerability +

1.64k views • 80 slides
Lecture 08 Control-flow Hijacking Defenses Stephen Checkoway University of Illinois at

Lecture 08 Control-flow Hijacking Defenses Stephen Checkoway University of Illinois at

Lecture 08 Control-flow Hijacking Defenses Stephen Checkoway University of Illinois at Chicago CS 487 Fall 2017 Slides adapted from Miller, Bailey, and Brumley Control Flow Hijack: Always control + computation shellcode (aka payload)

652 views • 36 slides
Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow

Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow

CSE350/450 Lehigh University Fall 2016 Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow Shellcode Heap Overflow Format Strings Return-oriented Programming Metasploit 101 Anatomy of the Stack

1.83k views • 124 slides
Self- -Recharging Virtual Currency Recharging Virtual Currency Self David Irwin , Jeff Chase,

Self- -Recharging Virtual Currency Recharging Virtual Currency Self David Irwin , Jeff Chase,

Self- -Recharging Virtual Currency Recharging Virtual Currency Self David Irwin , Jeff Chase, Laura Grit, and Aydan Yumerefendi Department of Computer Science Duke University Motivation Motivation Networked computing utilities have matured

669 views • 22 slides
Rust Removing the Sharp Edges from Systems Programming Who is this guy? Systems programmer

Rust Removing the Sharp Edges from Systems Programming Who is this guy? Systems programmer

Embedded Linux Conference 2017 Jonathan Creekmore <jonathan@thecreekmores.org> Star Lab Corp. @jcreekmore Rust Removing the Sharp Edges from Systems Programming Who is this guy? Systems programmer for over 15 years

762 views • 29 slides
The Riksbanks monetary policy 1 July 2020 Sharp fall in the Swedish economy The Riksbanks

The Riksbanks monetary policy 1 July 2020 Sharp fall in the Swedish economy The Riksbanks

The Riksbanks monetary policy 1 July 2020 Sharp fall in the Swedish economy The Riksbanks measures are keeping interest rates low in order to help the economy recover Sharp fall in Swedish GDP Annual percentage change Sources:

518 views • 15 slides
The costs of cancer to the patient and carers Linda Sharp, Paul Hanly, Alan OCeilleachair,

The costs of cancer to the patient and carers Linda Sharp, Paul Hanly, Alan OCeilleachair,

The costs of cancer to the patient and carers Linda Sharp, Paul Hanly, Alan OCeilleachair, Mairead Skally, Aileen Timmons National Cancer Registry Ireland The socio-economic implications of cancer as a chronic disease for patients and

677 views • 29 slides
Program Development Manager WA Institute of Public Administration PREMIER Corporate Member Dale

Program Development Manager WA Institute of Public Administration PREMIER Corporate Member Dale

Program Development Manager WA Institute of Public Administration PREMIER Corporate Member Dale Putland Planning Manager Infrastructure Planning and Coordination Department of Planning Collaboration: Top down and Bottom up approaches Dale

641 views • 41 slides
Lecture 1 basic Python programs, defining functions Lecture notes modified from CS Washington CS

Lecture 1 basic Python programs, defining functions Lecture notes modified from CS Washington CS

Lecture 1 basic Python programs, defining functions Lecture notes modified from CS Washington CS 142 Except where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0 Python! Created in 1991 by

460 views • 16 slides
Life Cycles Return to Table of Contents Slide 6 / 115 Living and Nonliving Think back to what

Life Cycles Return to Table of Contents Slide 6 / 115 Living and Nonliving Think back to what

Slide 1 / 115 Slide 2 / 115 3 rd Grade PSI Growth and Development of Organisms 2015-12-06 www.njctl.org Slide 3 / 115 Table of Contents Click on the topic to go to that section Life Cycles Plant Life Cycles Animal Life Cycles

417 views • 39 slides
CS527 Software Security Attack Vectors Mathias Payer Purdue University, Spring 2018 Mathias

CS527 Software Security Attack Vectors Mathias Payer Purdue University, Spring 2018 Mathias

CS527 Software Security Attack Vectors Mathias Payer Purdue University, Spring 2018 Mathias Payer CS527 Software Security Exploitation: Disclaimer This section focuses software exploitation We will discuss both basic and advanced

860 views • 49 slides

More recommend