Writing JIT-Spray Shellcode for fun and profit

### JIT-Spray Shellcode编写技巧及其应用 #### 引言 随着互联网技术的快速发展与广泛应用，浏览器成为用户访问网络资源的主要途径之一。然而，这也使得浏览器成为黑客攻击的重要目标。针对浏览器及其插件（如ActiveX）的攻击手段层出不穷，其中就包括利用漏洞进行恶意代码注入。为了应对这类威胁，软件供应商不断推出补丁修复已知的安全漏洞，操作系统供应商也在操作系统层面增加了各种防御机制。但正如网络安全领域的一般规律所示——防御措施总是伴随着新的绕过方法的出现。本篇文章将重点介绍一种名为JIT-Spray的新攻击方式，并探讨如何编写适用于该攻击模式的shellcode。 #### IE8的保护机制 当IE8被安装在目标系统上后，通过JavaScript进行Heap Spray的传统方法变得不可行，即SkyLined等旧式方法不再有效。这意味着我们需要寻找其他路径来实现类似的效果，例如使用Flash或PDF文件作为攻击媒介。在某些针对Flash的公开漏洞利用案例中，我们可以找到具体的PoC实例。但是，这里还存在一个更为严重的问题：永久性数据执行保护（DEP）。IE8通过调用`SetProcessDepPolicy`函数（实际上是`NtSetInformationProcess`的一个封装层）为自己设置DEP标志，这导致我们无法像在IE7中那样简单地禁用DEP功能，因为调用`NtSetInformationProcess`时会返回“拒绝访问”的错误。 在这种情况下，仅剩的方法就是ret2libc攻击了。具体来说，我们可以先通过调用`VirtualAlloc()`分配一段内存区域，然后使用`memcpy()`将shellcode拷贝到这块新分配的内存中，最后返回到这片内存区执行shellcode。不过，这种方式存在几个问题：一是输入缓冲区可能包含NULL字符或只允许ASCII字符，这会影响漏洞利用的成功率；二是地址空间布局随机化（ASLR）的存在进一步加大了成功执行shellcode的难度。 #### JIT-Spray原理及实践 JIT-Spray是一种新型攻击方法，其核心思想是利用Just-In-Time编译器的特性，通过对内存区域进行精心布局，从而实现对目标进程的控制。具体而言，攻击者可以预先在目标进程中布置大量的、经过特殊设计的代码段（即spray），这些代码段会被JIT编译器识别并编译为机器码。当特定条件满足时（比如触发某个漏洞），攻击者就可以利用这些已经编译好的代码段来达到自己的目的，例如执行任意命令或控制目标进程的行为。 ##### Size Matters 在实施JIT-Spray攻击时，代码段的大小是一个非常关键的因素。由于JIT编译器通常会根据性能需求选择性地编译代码段，因此攻击者需要确保自己的spray足够大且分布均匀，以提高被编译的可能性。此外，还需要考虑如何在有限的空间内嵌入尽可能多的有效指令，这就要求shellcode的设计必须高效紧凑。 ##### Shellcode编写技巧 编写适用于JIT-Spray的shellcode需要遵循以下原则： 1. **紧凑性**：尽可能减少shellcode的长度，因为可用的喷洒空间是有限的。 2. **兼容性**：确保shellcode能够在不同架构下正确运行。 3. **避免敏感字符**：避免使用可能引起异常或被过滤掉的特殊字符，如NULL字符。 ##### 实现步骤 1. **代码布局**：需要确定spray的总体布局策略，包括如何组织和分布shellcode。 2. **代码编写**：编写高效的shellcode，注意优化指令序列以减少整体大小。 3. **测试与调整**：在真实环境中测试shellcode的可行性和稳定性，必要时进行调整。 4. **部署**：将准备好的shellcode植入目标程序中，通过触发特定条件来激活。 #### PoC示例 为了更好地理解上述理论，下面提供了一个简单的JIT-STAGE-0 shellcode示例。这个shellcode的作用是为后续更复杂的payload提供控制权。例如，它可以跳转到由Metasploit框架生成的常见shellcode中。 #### 结论 JIT-Spray作为一种新兴的攻击技术，在绕过现代浏览器和操作系统的防护机制方面展现出了强大的潜力。通过深入研究其工作原理和技术细节，安全研究人员和开发人员可以更好地理解当前网络安全领域的挑战，并采取有效的对策来保护用户的数字资产。