[Windows][PE][ASM]純組語手幹Dll Header解析外導函數表撈出函數地址(如LoadLibraryA動態地址)

-
此篇內容接續著前幾篇Blog文:
參考文獻
  1. 緩衝區溢位攻擊:第三章 - 改變程式執行的行為
今天如果已經能找出進程中模組內容、列舉模組,但是模組並不是我們需要的直接呼叫的目標(應該說我們想找出模組資料、細節,就是為了內部的函數來做呼叫),所以今天我們的目標是用組語透過模組的資料結構來分析一個動態記憶體中的DLL Library的模組陣列結構、進一步來做篩選出我們要的函數地址在哪裡(如LoadLibraryA在進程中的哪個位置上)

首先可以去翻翻DLL在Windows從DLL頭開始會有DOS Header、NT Header、各區段節..等
可以參考緩衝區溢位攻擊:第三章 - 改變程式執行的行為中的圖:


而我們要找一個DLL中有哪些函數可以給我們引用,例如說:Kernel32中的OpenProcess、GetCurrentThreadId、LoadLibraryA...等。這些函數都被稱之為導出函數(Export Function),也就是該DLL願意分享出去給其他使用者去調用其中的函數。

在這張圖上我們清楚看到整個DLL中第一個區段(也就是在Offset = 0的時候)為DOS Header,也就是說,整個DLL架構中我唯一能確定的資料結構就是DOS Header,所以可以先看一下DOS Header的結構如下:
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
這個DOS Header應該是為了兼容舊版MS-DOS時代軟體所留下來的結構,而今天重點只放在最後一個e_lfanew(Offset = 0x3C)的變數上,裡面存放了NT Header所在的偏移值為多少,藉由此偏移值加上當前DLL所在的地址就可以精確的計算出NT Header結構體所在的位置在哪裡。

找到NT Header後,可以看一下NT Header結構體如下:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;// + 0x18
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

NT Header中三個區段,我們說外導函數表會存放在OptionalHeader(0x18)區段中;而Optional Header節段的最後一項Data Directories區段內有16個DWORD變數的陣列(也就是這個區段占用的大小有16*4 = 64 BYTE這麼大)區段依序紀錄指向的資料結構如下:

#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
#define IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (x86 usage)
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor
而今天我們的目標就是撈出導出函數表、比對一個DLL內所有導出的函數哪個是我們想用的函數,找到後再取出該函數的記憶體中的絕對位置,如此便能讓我們調用;很快的就可以看到再Offset = 0的IMAGE_DIRECTORY_ENTRY_EXPORT結構體指向的就是我們要找的導出函數資料結構體,那麼在看一下IMAGE_DIRECTORY_ENTRY_EXPORT的定義:
typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;      // + 0x14
    DWORD   NumberOfNames;          // + 0x18
    DWORD   AddressOfFunctions;     // + 0x1C
    DWORD   AddressOfNames;         // + 0x20
    DWORD   AddressOfNameOrdinals;  // + 0x24
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
今天重點我們放在末五個變數,分別為NumberOfFunctions(0x14)、NumberOfNames(0x18)、AddressOfFunctions(0x1C)、AddressOfNames(0x20)、AddressOfNameOrdinals(0x24)

它們功用如下:
  • NumberOfFunctions - 紀錄當前DLL有多少個外導函數
  • NumberOfNames - 紀錄當前DLL有多少個外導函數名稱
  • AddressOfFunctions - 紀錄所有函數的偏移
  • AddressOfNames - 紀錄著所有函數名的偏移
  • AddressOfNameOrdinals - 紀錄著AddressOfFunctions要的函數地址是多少索引值 
所以今天可以推導出一個策略該如何找到一個DLL中的指定函數所在的地址呢?以Kernel32.dll中的LoadLibraryA函數而言,首先我們得從Kernel32.dll中的DOS Header內e_lfanew(0x3C)取得NT Header,接著從NT header找到OptionalHeader(0x18)區段,在找到OptionalHeader區段中的IMAGE_DIRECTORY_ENTRY_EXPOR結構體

找到了IMAGE_DIRECTORY_ENTRY_EXPOR結構體後, 我們就可以從AddressOfNames(0x20)函數名陣列去列舉所有DLL中的導出函數有哪些,找到了"LoadLibraryA"的函數名後,看它是在AddressOfNames中的第幾個,拿此索引值去AddressOfNameOrdinals(0x24)找出相對應索引值上的Ordinals欄位內寫的索引值為多少,拿此索引值去查詢AddressOfFunctions(0x1C)陣列,就可以取出該函數的偏移在哪,加上DLL的地址後就會是記憶體中該函數的絕對地址了

聽起來有點囉嗦...我寫了一個CE的AutoASM腳本效果如下: 
//NT Header Find LoadLibraryA Address Of Kernel32.dll.
//By aaaddress1.
alloc(Func,128)
createthread(Func)
alloc(Get,04)
registersymbol(Get)
label(NextFind)
label(MyLeave)

Func:
mov eax, kernel32.dll//DLL Base Address.
mov ebx, [eax+3C]//e_iframe Offset(DOS Header)
add ebx, eax//EBX Point To NTHeader Address.
add ebx, 18//NT Header -> OptionalHeader.
add ebx, 60//IMAGE_OPTIONAL_HEADER -> DataDirectory.
add ebx, 00//IMAGE_DIRECTORY_ENTRY_EXPORT Offset.
mov ebx, [ebx]//EBX = IMAGE_DIRECTORY_ENTRY_EXPORT Offset
add ebx, eax//EBX Point To IMAGE_DIRECTORY_ENTRY_EXPORT

mov ecx, [ebx+18]//ECX = Number Of Names

NextFind:
mov edx, [ebx+20]//EDX = Offset Of Name Address Array.
add edx, eax//EDX Point to Name Address Array.
mov edx, [edx+ecx*4]//ECX(index) * sizeof(DWORD) + Name Array Address. 
add edx, eax//Offset + eax(Kernel32.dll address) = Current String Address.
dec ecx
jl MyLeave//Find Fail.

cmp [edx+00],64616F4C//Name[0~4] = {'L','o','a','d'}
jne NextFind
cmp [edx+08],41797261//Name[8~11] = {'a','r','y','A'}
jne NextFind

//Find Correct "LoadLibraryA" String Address.
inc ecx//前面會多扣一次,這邊我們補回來.
mov edx, [ebx+24]//EDX = AddressOfNameOrdinals  Array Offset.
add edx, eax//EDX Point to AddressOfNameOrdinals  Address.
mov cx, [edx+ecx*2]//ECX = AddressOfNameOrdinals  + Index As WORD(2 BYTE)
mov edx,[ebx+1C]//EDX = AddressOfFunction Array Offset.
add edx, eax//EDX Point to AddressOfFunction Array Address.
mov edx, [edx+ecx*4]//Set EDX = Value Of AddressOfFunction[Index] = Offset.
add edx, eax//EDX Point to Function Address.
mov [Get],edx//Got It!

MyLeave:
ret
實測結果如下:
可以取出Get變數內的地址為0x7615DD15,實際看一下0x7615DD15的函數:
成功惹!

最後,
可以結合前一篇Blog文從PE架構到模組架構到暴力列舉模組找模組位置(如Kernel32.dll)寫好的數據,寫出以下AutoASM腳本,就可以達成純組語不用API卻可以撈出正確的LoadLibraryA的記憶體地址囉!

//NT Header Find LoadLibraryA Address Of Kernel32.dll.
//By aaaddress1.
alloc(Func,100)
createthread(Func)
alloc(Get,04)
registersymbol(Get)
label(Search)
label(NextFind)
label(MyLeave)
Func:
/*Find DLL Base Of Kernel32.dll*/
mov ebx,fs:[30] //PEB
mov ebx,[ebx+0c]//Ldr
mov ebx,[ebx+1c]//InInitializationOrderModuleList
Search:
mov eax,[ebx+08]//Point to Current Modual Base.
mov ecx,[ebx+20]//Point to Current Name.
mov ecx,[ecx+18]//Get the char of Name[25].
test ecx,ecx//Test if Name[25] == \x00.
mov ebx,[ebx+00]
jnz Search
/*EAX = Kernel32.dll Address.
Start To Find LoadLibraryA Address.*/
mov ebx, [eax+3C]//e_iframe Offset(DOS Header)
add ebx, eax//EBX Point To NTHeader Address.
mov ebx, [ebx+78]//EBX = IMAGE_DIRECTORY_ENTRY_EXPORT Offset
add ebx, eax//EBX Point To IMAGE_DIRECTORY_ENTRY_EXPORT
mov ecx, [ebx+18]//ECX = Number Of Names
NextFind:
mov edx, [ebx+20]//EDX = Offset Of Name Address Array.
add edx, eax//EDX Point to Name Address Array.
mov edx, [edx+ecx*4]//ECX(index) * sizeof(DWORD) + Name Array Address.
add edx, eax//Offset + eax(Kernel32.dll address) = Current String Address.
dec ecx
jl MyLeave//Find Fail.
cmp [edx+08],41797261//Name[8~11] = {'a','r','y','A'}
jne NextFind
inc ecx//前面會多扣一次,這邊我們補回來.
mov edx, [ebx+24]//EDX = AddressOfNameOrdinals  Array Offset.
add edx, eax//EDX Point to AddressOfNameOrdinals  Address.
mov cx, [edx+ecx*2]//ECX = AddressOfNameOrdinals  + Index As WORD(2 BYTE)
mov edx,[ebx+1C]//EDX = AddressOfFunction Array Offset.
add edx, eax//EDX Point to AddressOfFunction Array Address.
mov edx, [edx+ecx*4]//Set EDX = Value Of AddressOfFunction[Index] = Offset.
add edx, eax//EDX Point to Function Address.
mov [Get],edx//Got It!
MyLeave:
ret
最後,我花了點時間,參照原文的方式加入了Hash來比對文字(而非上面用ASCII做字節判斷) 額外還加了一些模組化的設計,成果像這樣: 
//NT Header Find LoadLibraryA Address Of Kernel32.dll.
//By aaaddress1.
alloc(Func,256)
createthread(Func)
alloc(Get,04)
registersymbol(Get)
registersymbol(Func)

//===============HASH FUNCTION=================
alloc(HashFunc,128)
label(compute_hash_again)
label(compute_hash_finished)
HashFunc:
xor edi, edi
xor eax, eax
cld
compute_hash_again:
lodsb
test eax, eax
jz compute_hash_finished
ror edi, 0D
add edi, eax
jmp compute_hash_again
compute_hash_finished:
mov eax,edi
ret

//================FIND FUNCTION ADDRESS.=======
alloc(FindFuncAddr,256)
label(NextFind)
label(MyLeave)

FindFuncAddr:
mov ebp, [esp+04]//GET DLL Base
mov ebx, [ebp+3C]//e_iframe Offset(DOS Header)
add ebx, ebp//EBX Point To NTHeader Address.
mov ebx, [ebx+78]//EBX = IMAGE_DIRECTORY_ENTRY_EXPORT Offset
add ebx, ebp//EBX Point To IMAGE_DIRECTORY_ENTRY_EXPORT
mov ecx, [ebx+18]//ECX = Number Of Names
NextFind:
mov edx, [ebx+20]//EDX = Offset Of Name Address Array.
add edx, ebp//EDX Point to Name Address Array.
mov edx, [edx+ecx*4]//ECX(index) * sizeof(DWORD) + Name Array Address.
add edx, ebp//Offset + eax(Kernel32.dll address) = Current String Address.
dec ecx
jl MyLeave//Find Fail.

mov esi, edx
call HashFunc
cmp eax, [esp+08]
jne NextFind
inc ecx//前面會多扣一次,這邊我們補回來.
mov eax, [ebx+24]//EDX = AddressOfNameOrdinals  Array Offset.
add eax, ebp//EDX Point to AddressOfNameOrdinals  Address.
mov cx, [eax+ecx*2]//ECX = AddressOfNameOrdinals  + Index As WORD(2 BYTE)
mov eax,[ebx+1C]//EDX = AddressOfFunction Array Offset.
add eax, ebp//EDX Point to AddressOfFunction Array Address.
mov eax, [eax+ecx*4]//Set EDX = Value Of AddressOfFunction[Index] = Offset.
add eax, ebp//EDX Point to Function Address.
MyLeave:
ret 08

//===============FIND KERNEL32 DLL BASE==========
alloc(GetKernel32Base,64)
label(Search)
GetKernel32Base:
mov ebx,fs:[30] //PEB
mov ebx,[ebx+0c]//Ldr
mov ebx,[ebx+1c]//InInitializationOrderModuleList
Search:
mov eax,[ebx+08]//Point to Current Modual Base.
mov ecx,[ebx+20]//Point to Current Name.
cmp [ecx+18],00//Test if Name[25] == \x00.
mov ebx,[ebx+00]
jne Search
ret


//=================Main=======================
Func:
/*Find DLL Base Of Kernel32.dll*/
call GetKernel32Base

/*Start To Find LoadLibraryA Address.*/
push EC0E4E8E
push eax
call FindFuncAddr
mov [Get],eax//Got It!
ret

留言

張貼留言

這個網誌中的熱門文章

[C#] Lambda花式應用噁爛寫法(跨UI委派秒幹、多線程處理...etc)

-
為啥會有這篇呢...因為最近寫太多C# 突然發現Lambda對程式碼減化太有幫助了=...= 為了怕哪天老人癡呆忘了這些噁心的花式寫法,就開一篇Blog文紀錄了 以前在寫多線程,可能得這麼寫: void Func() {/*多線程要做的事情*/} //接著呼叫: Thread nThread = new Thread(Func); nThread.Start(); 但今天用Lambda可以改寫: Thread nThread = new Thread(() => {/*多線程要做的事情*/}); nThread.Start(); 甚至在噁心點寫的寫法: new Thread(() => {/*多線程要做的事情*/}).Start(); 簡單來說Lambda的形式可拆解成: ()是指你的函數參數列、然後可用=>代表你要接的Lambda陳述句/塊,最後用{}把事情包起來。 在來就是比較討厭的C#內要做跨UI線程操控UI上物件,會有跨UI安全性線程問題, 所以一般會額外寫個委派函數,然後請求UI Thread去處理這個委派函數請求,才能控制 這樣往往可能只用一兩次的委派函數,卻要占用一個篇幅去寫委派函數 先看看正常的跨UI委派寫法: private delegate void nCallback(string ContentText); public void n(string ContentText) { if (this.InvokeRequired) { nCallback obj = new nCallback(n); this.Invoke(obj, new object[] { ContentText }); return; } this.Text = ContentText; } //調用時呼叫n("str") 就可以改寫成: this.Invoke(new Action(() => { this.Text = "Str"; })); 又因為=>後面可接陳述塊或者陳述句,所
閱讀完整內容

[Windows] 逆向工程 C++ 中入口函數參數 main(argc, argv) 與如何正確的進行參數劫持

-
圖片
前言 我在 Github 上三年前開源了精簡的以 C/C++ 撰寫的 Windows 執行程式裝載器: aaaddress1/RunPE-In-Memory  用以從記憶體執行以 C/C++ 開發的 *.exe 程式不必以 CreateProcess() 來叫起,算是一種概念性 PoC 啦畢竟這種手段在惡意程式和殼上經常使用,所以寫一寫就丟出來給大家玩 XD 不過有人在我的專案發起了 Issue:既然能從記憶體中執行 *.exe 那能否偽造 *.exe 取得的參數呢?嗯好問題XD 正逢去年蠻忙的所以一直懶得弄,這個月比較閒於是就決定在專案中新增 參數偽造 的功能,這邊簡單提一下 C++ 中 main() 入口所收的 argc 與 argv 來的。 [附註] 以下逆向工程內容以 MinGW 生產的程式為例, 系統逆向工程為 Win10 企業版 1809版  CRTStartup 在 Windows 下通常取得參數通常分為兩種狀況:  WINAPI GetCommandLineW() 系統函數返回字串指針指向當前完整應用程式參數 從 main(argc, argv) 拿回來的參數,那麼第二種狀況在編譯器是怎麼吐參數給開發者 main 入口的呢? 在編譯器吐出執行程式後,連結器會生產一段 CRTStartup 的函數用於做一些基礎的例如像是 Security Cookies、Control Flow Guard 保護的初始化,在一系列初始化之後 .data 段的全域變數 _argv、argc 紀錄著要傳入給開發者入口函數的 參數陣列 與 數量,就以參數形式呼叫 main() 函數 好問題,那這兩個全域變數是在哪裡被初始化的? 你會發現以 MinGW 為例的話,會去呼叫 msvcrt!__getmainargs() 來取得參數資訊保存到 .data 全域變數上,後續再傳遞給 main() 函數;如果是 VC++ 吐出來的則是直接呼叫 GetCommandLineW() 在做文字切割取出參數 MSVCRT MSVCRT.dll 有導出一系列 C 函數是引用 #include <stdio.h> 時會用到的,例如 printf, sprintf, gets 等等。我們剛剛提到了其導出函數 _
閱讀完整內容

重建天堂之門:從 32 位元地獄一路打回天堂聖地(上)深度逆向工程 WOW64 設計

-
圖片
前言 這份研究是從去年底開始摸的,主因是一直對 Windows 如何實作 WOW64 兼容架構覺得有意思,並且坊間蠻多開源的天堂之門專案都死掉了 QQ 所以才打算自己完全重新逆向工程分析過一次。 逆向整個 WOW64 架構可以發現很多蠻有意思的問題,比方說 Intel 晶片指令集模式切換、記憶體模擬分配、WOW64 偽造的原生 32-bit 環境,例如 System32 在 32-bit 下會被重導向至 SysWOW64 到底在哪一層實作重導向的呢 ;)  此研究也運氣不錯分別被國內研討會 CYBERSEC 收錄為 《重建天堂之門:從 32bit 地獄一路打回天堂聖地》 與 HITB(Hack In The Box Security Conference)收錄為  《WoW Hell: Rebuilding Heavens Gate》 若對線上演講內容有興趣可以參考 Youtube 上 HITB 的直撥串流  HITB2021AMS D1T2 - WoW Hell: Rebuilding Heavens Gate - ShengHao Ma   不過我英文很破能不看就不看啦 由於整份演講內容想提的細節太多了,所以本部落格文拆成上下兩集。 當前本文是上集,會講述完整逆向工程整套微軟設計的 WOW64 架構怎麼設計的 。而下集《 重建天堂之門:從 32 位元地獄一路打回天堂聖地(下)攻擊篇:x96 Shellcode、天堂聖杯 & 天堂注入器 》會著重在我今年發表出來的幾個有趣的攻擊點 :) 如果對天堂之門技術已經很熟的大佬,可以跳過本文看下一集了 <(_ _)> *注意* 本份研究在 2021/06/11 是基於 Windows 10 Enterprise 最新版本逆向工程結果所紀錄, 可能與讀者電腦中反編譯出來的結果有所出入是正常的 。筆者實測了同樣是 Windows 10 但不同組建版本在組合語言層級皆有些許差異,不過各個函數設計用途是固定且規律的、不會因版本而有所差異。 而整份研究不限但至少涉及了以下已知文獻,蠻值得一看的 2011 -  Mixing x86 with x64 code by ReWolf 2012 -  Knockin’ on Heaven’s Gate by george_nicolaou 2012 -  KERNEL: Cr
閱讀完整內容