我正在通过这里的示例学习C语言的shellcode开发。我可以编译汇编代码并获取 de 操作码,也可以成功运行使用 NASM 编译的 ELF,但是当我使用嵌入式 shellcode 运行 C 测试应用程序时,出现分段错误。我有 Ubuntu 20.04 64 位。
这是汇编代码,我可以运行
./shellcode; https://mcsi-library.readthedocs.io/articles/2022/06/linux-exploitation-x64-shellcode/linux-exploitation-x64-shellcode.html
; shellcode.asm
; nasm -f elf64 -o shellcode.o shellcode.asm
; ld -m elf_x86_64 -s -o shellcode shellcode.o
section .text
global _start ; we inform the system where the program begins
_start:
xor rdx, rdx ; zero out rdx
push rdx ; push it onto the stack
mov rax, 0x68732f2f6e69622f ; we can push 'hs//nib/' as one value, after all it is 64-bit
push rax ; we push it onto the stack, so it lands at some address on the stack
mov rdi, rsp ; that address is where esp points to, so we store it in rdi => pointer to '/bin/sh'
push rdx ; we push 0, as it will be the null termination of the array
push rdi ; the address of '/bin/sh' is pushed onto the stack, it lands under another stack address
mov rsi, rsp ; we store that address into rsi. So rsi contains a pointer to a pointer to '/bin/sh'
xor rax, rax ; zero out eax to keep it clean
mov al, 0x3b ; 59 DEC, we move it to the lowest eax part to avoid nulls.
syscall ; all arguments are set up, syscall time
我使用此脚本获取操作码,并且获得与原始帖子相同的操作码。
#!/bin/bash
# extract elf opcodes
if [ -z "$1" ]
then
echo "Usage: $0 <path to executable>"
exit
fi
objdump -d $1|grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'
这是带有嵌入式 shellcode 的 tester.c,它会启动分段错误。
// tester.c
// shellcode tester program
// gcc -m64 -z execstack -fno-stack-protector -o tester tester.c
// https://mcsi-library.readthedocs.io/articles/2022/06/linux-exploitation-x64-shellcode/linux-exploitation-x64-shellcode.html
#include <stdio.h>
#include <string.h>
unsigned char code[] = "\x48\x31\xd2\x52\x48\xb8\x2f\x62\x69\x6e\x2f\x73\x68\x50\x48\x89\xe7\x52\x57\x48\x89\xe6\x48\x31\xc0\xb0\x3b\x0f\x05";
int main() {
printf("shellcode length: %d\n", strlen(code));
int (*ret)() = (int(*)())code;
ret();
}
我已经使用 -no-pie、-fno-pie 进行了测试,使用
setarch `uname -m` -R ./tester提取 shellcode 的 shell 脚本中存在错误。
在目标文件上运行
objdump -dx1.o: file format elf64-x86-64
Disassembly of section .text:
0000000000000000 <_start>:
0: 48 31 d2 xor %rdx,%rdx
3: 52 push %rdx
4: 48 b8 2f 62 69 6e 2f movabs $0x68732f2f6e69622f,%rax
b: 2f 73 68
e: 50 push %rax
f: 48 89 e7 mov %rsp,%rdi
12: 52 push %rdx
13: 57 push %rdi
14: 48 89 e6 mov %rsp,%rsi
17: 48 31 c0 xor %rax,%rax
1a: b0 3b mov $0x3b,%al
1c: 0f 05 syscall
此输出通过管道传递,该管道会删除标题行和字节计数前缀以产生以下结果:
48 31 d2 xor %rdx,%rdx
52 push %rdx
48 b8 2f 62 69 6e 2f movabs $0x68732f2f6e69622f,%rax
2f 73 68
50 push %rax
48 89 e7 mov %rsp,%rdi
52 push %rdx
57 push %rdi
48 89 e6 mov %rsp,%rsi
48 31 c0 xor %rax,%rax
b0 3b mov $0x3b,%al
0f 05 syscall
那么管道中的下一个命令是这样的:
cut -f1-6 -d' '
这会抓取每行中的前 6 个字(表示字节值)。 问题是第三行有 7 个字节值,所以最后一个被砍掉了。
这会导致生成的操作码中缺少一个字节,这意味着您没有运行您认为的代码。
将该管道命令更改为:
cut -f1-7 -d' '
您将获得预期的机器代码字节。