読者です 読者をやめる 読者になる 読者になる

Windowsで電卓を起動するアセンブリコードを書いてみる

Exploit

限定的な環境において電卓を起動するアセンブリコードを書き、シェルコードとして実行してみる。

環境

Windows 8.1 Pro 64 bit版、Visual Studio Community 2013 with Update 4

>systeminfo
OS 名:                  Microsoft Windows 8.1 Pro
OS バージョン:          6.3.9600 N/A ビルド 9600
OS ビルドの種類:        Multiprocessor Free
システムの種類:         x64-based PC
プロセッサ:             1 プロセッサインストール済みです。
                        [01]: Intel64 Family 6 Model 69 Stepping 1 GenuineIntel ~1596 Mhz

>cl
Microsoft (R) C/C++ Optimizing Compiler Version 18.00.31101 for x86

>ml
Microsoft (R) Macro Assembler Version 12.00.31101.0

>dumpbin
Microsoft (R) COFF/PE Dumper Version 12.00.31101.0

電卓を起動するプログラムを書いてみる

まずは、C言語で電卓を起動するプログラムを書いてみる。

Windowsにおいて、特定のコマンドを実行するにはWinExec関数、プロセスを終了させるにはExitProcess関数が利用できる。 これらはちょうど、glibcにおけるsystem関数とexit関数に対応する。 これらを使い、calc.exeを起動するプログラムコードを書くと次のようになる。

/* execcalc.c */
#include <windows.h>

int main()
{
    WinExec("calc", SW_SHOWNORMAL);
    ExitProcess(0);
}

コンパイルして、実行してみる。

>cl execcalc.c
Microsoft (R) C/C++ Optimizing Compiler Version 18.00.31101 for x86
Copyright (C) Microsoft Corporation.  All rights reserved.

execcalc.c
Microsoft (R) Incremental Linker Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.

/out:execcalc.exe
execcalc.obj

>execcalc.exe

実行の結果、電卓が起動することが確認できる。

API関数のアドレスを調べてみる

アセンブリコードにおいてAPI関数を呼び出すためには、その実際のアドレスを得る必要がある。 そこで、実際のアドレスを調べるために次のようなプログラムコードを書いてみる。

/* getaddr.c */
#include <windows.h>
#include <stdio.h>

int main(int argc, char *argv[])
{
    if (argc < 3) {
        fprintf(stderr, "Usage: %s lpFileName lpProcName\n", argv[1]);
    exit(1);
    }

    HMODULE hmod = LoadLibrary(argv[1]);
    if (!hmod) {
        fprintf(stderr, "library not found: %s\n", argv[1]);
    exit(1);
    }

    FARPROC fproc = GetProcAddress(hmod, argv[2]);
    if (!fproc) {
        fprintf(stderr, "function not found: %s\n", argv[2]);
        exit(2);
    }

    printf("%s!%s = %p\n", argv[1], argv[2], fproc);
    return 0;
}

上のコードは、LoadLibrary関数で第一引数に与えたモジュールをロードし、GetProcAddress関数で第二引数に与えた関数のアドレスを取得して表示する。 このようなコードは、一般にはarwinという名前で知られている。

上のコードをコンパイルし、WinExec関数、ExitProcess関数のアドレスを調べてみる。 なお、MSDNのドキュメントより、これらはどちらもkernel32.dllにて実装されていることが調べられる。

>cl getaddr.c
Microsoft (R) C/C++ Optimizing Compiler Version 18.00.31101 for x86
Copyright (C) Microsoft Corporation.  All rights reserved.

getaddr.c
Microsoft (R) Incremental Linker Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.

/out:getaddr.exe
getaddr.obj

>getaddr kernel32 WinExec
kernel32!WinExec = 75802927

>getaddr kernel32 ExitProcess
kernel32!ExitProcess = 757E7F64

上の結果から、それぞれの関数の実際のアドレスが0x75802927、0x757E7F64であることがわかる。 なお、64bit版のWindowsではWOW64(Windows 32-bit On Windows 64-bit)と呼ばれる仕組みにより32bitアプリケーションをそのまま動かすことができ、ここでのコードもすべて32bitアプリケーションとしてコンパイルされている。

アセンブリコードを書いてみる

Visual Studioでは、Microsoft Macro Assembler(MASM)がmlというコマンド名で使えるようになっている。 MASMの文法に従い、電卓を起動するアセンブリコードを書くと次のようになる。

; execcalc.asm
.386
.model flat, stdcall
.code

start:
    xor eax, eax
    push eax
    push 636c6163h      ; "calc"
    mov eax, esp
    push 1
    push eax
    mov eax, 75802927h  ; ret = WinExec("calc", SW_SHOWNORMAL)
    call eax
    push eax
    mov eax, 757E7F64h  ; ExitProcess(ret)
    call eax

end start

MASMでは16進定数の表記に0x prefixではなくh suffixを用いる。 また、x86の32bitアプリケーションなので、レジスタにはeaxなどを用い、関数の引数はスタックに積むことによって渡される。

上のコードを、mlを使ってアセンブルするには次のようにする。

>ml execcalc.asm /link /subsystem:console
Microsoft (R) Macro Assembler Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.

 Assembling: execcalc.asm
Microsoft (R) Incremental Linker Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.

/OUT:execcalc.exe
execcalc.obj
/subsystem:console

なお、/link以降はリンカオプションとなるため、ファイル名は先に指定しておく必要がある。

生成されたshellcode.exeを実行すると、電卓が起動することが確認できる。

>execcalc.exe

コンパイルされたexeファイルをディスアセンブルするには、dumpbinコマンドが利用できる。

>dumpbin /disasm execcalc.exe
Microsoft (R) COFF/PE Dumper Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file execcalc.exe

File Type: EXECUTABLE IMAGE

  00401000: 33 C0              xor         eax,eax
  00401002: 50                 push        eax
  00401003: 68 63 61 6C 63     push        636C6163h
  00401008: 8B C4              mov         eax,esp
  0040100A: 6A 01              push        1
  0040100C: 50                 push        eax
  0040100D: B8 27 29 80 75     mov         eax,75802927h
  00401012: FF D0              call        eax
  00401014: 50                 push        eax
  00401015: B8 64 7F 7E 75     mov         eax,757E7F64h
  0040101A: FF D0              call        eax

  Summary

        1000 .text

>dumpbin /rawdata execcalc.exe
Microsoft (R) COFF/PE Dumper Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file execcalc.exe

File Type: EXECUTABLE IMAGE

RAW DATA #1
  00401000: 33 C0 50 68 63 61 6C 63 8B C4 6A 01 50 B8 27 29  3ÀPhcalc.Äj.P¸')
  00401010: 80 75 FF D0 50 B8 64 7F 7E 75 FF D0              .uÿÐP¸d.~uÿÐ

  Summary

        1000 .text

シェルコードとして実行してみる

上の出力結果から得られる機械語コードをC形式の文字列に変換し、これにジャンプするC言語コードを書いてみると、次のようになる。

/* loader.c */
#include <stdio.h>
#include <string.h>

int main()
{
    char code[] = "\x33\xC0\x50\x68\x63\x61\x6C\x63\x8B\xC4\x6A\x01\x50\xB8\x27\x29\x80\x75\xFF\xD0\x50\xB8\x64\x7F\x7E\x75\xFF\xD0";
    printf("strlen(code) = %d\n", strlen(code));
    (*(void (*)())code)();
    return 0;
}

WindowsにおけるDEPにはHardware-enforced DEPとSoftware-enforced DEPの二つがあり、スタックにおけるコード実行はHardware-enforced DEPにより禁止される(参考)。 つまり、上のコードをそのままコンパイルしてもスタック上のコードにジャンプした直後に落ちるようになっている。 そこで、ここではリンカオプションにて意図的にDEPを無効にした上でコンパイルしてみる。

>cl loader.c /link /nxcompat:no
Microsoft (R) C/C++ Optimizing Compiler Version 18.00.31101 for x86
Copyright (C) Microsoft Corporation.  All rights reserved.

loader.c
Microsoft (R) Incremental Linker Version 12.00.31101.0
Copyright (C) Microsoft Corporation.  All rights reserved.

/out:loader.exe
/nxcompat:no
loader.obj

/link /nxcompat:noを指定することで、コンパイルされた実行ファイルにおいてDEPが無効となる。

生成されたloader.exeを実行すると、シェルコードが実行され電卓が起動することが確認できる。

>loader.exe
strlen(code) = 28

WindowsにおけるASLRとシェルコード

Windows 8.1ではkernel32.dll含む主要なシステムライブラリにおいてASLR(Address space layout randomization)が有効となっているため、kernel32.dllが読み込まれるタイミング(OS起動時)ごとに得られるアドレスが変化する。 つまり、上で書いたアセンブリコードは再起動すると動かなくなる。 このため、WindowsのシェルコードではProcess Environment Block(PEB)などの構造体からkernel32.dllのベースアドレスを特定するといった処理が含まれることが多い。

また、Windowsの場合、内部的に用いられるシステムコールよりもドキュメント化されているWindows APIのほうが仕様変更されにくいため、シェルコードではAPI関数の呼び出しが行われることが一般的である。

関連リンク