• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
http://www.nologin.org
Understanding Windows Shellcode
skapemmiller@hick.org
Last modified: 12/06/2003 
 
Contents
1 Foreword32 Introduction43 Shellcode Basics5
3.1 System Calls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63.2 Finding kernel32.dll. . . . . . . . . . . . . . . . . . . . . . . . . 63.2.1 PEB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2.2 SEH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.2.3 TOPSTACK. . . . . . . . . . . . . . . . . . . . . . . . . 103.3 Resolving Symbol Addresses. . . . . . . . . . . . . . . . . . . . . 113.3.1 Export Directory Table. . . . . . . . . . . . . . . . . . . 113.3.2 Import Address Table (IAT). . . . . . . . . . . . . . . . 13
4 Common Shellcode14
4.1 Connectback. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144.2 Portbind. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
5 Advanced Shellcode27
5.1 Download/Execute. . . . . . . . . . . . . . . . . . . . . . . . . . 27
6 Staged Loading Shellcode37
6.1 Dynamic File Descriptor Re-use. . . . . . . . . . . . . . . . . . . 376.2 Static File Descriptor Re-use. . . . . . . . . . . . . . . . . . . . 406.3 Egghunt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406.4 Egghunt (syscall). . . . . . . . . . . . . . . . . . . . . . . . . . . 426.5 Connectback IAT. . . . . . . . . . . . . . . . . . . . . . . . . . . 44
7 Conclusion478 Detailed Shellcode Analysis48
8.1 Finding kernel32.dll. . . . . . . . . . . . . . . . . . . . . . . . . 488.1.1 PEB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488.1.2 SEH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498.1.3 TOPSTACK. . . . . . . . . . . . . . . . . . . . . . . . . 501
 
8.2 Resolving Symbol Addresses. . . . . . . . . . . . . . . . . . . . . 518.2.1 Export Table Enumeration. . . . . . . . . . . . . . . . . 518.3 Common Shellcode. . . . . . . . . . . . . . . . . . . . . . . . . . 548.3.1 Connectback. . . . . . . . . . . . . . . . . . . . . . . . . 548.3.2 Portbind. . . . . . . . . . . . . . . . . . . . . . . . . . . . 618.4 Advanced Shellcode. . . . . . . . . . . . . . . . . . . . . . . . . 698.4.1 Download/Execute. . . . . . . . . . . . . . . . . . . . . . 698.5 Staged Loading Shellcode. . . . . . . . . . . . . . . . . . . . . . 798.5.1 Dynamic File Descriptor Re-use. . . . . . . . . . . . . . 798.5.2 Egghunt. . . . . . . . . . . . . . . . . . . . . . . . . . . . 838.5.3 Egghunt (syscall). . . . . . . . . . . . . . . . . . . . . . . 868.5.4 Connectback IAT. . . . . . . . . . . . . . . . . . . . . . . 872
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...