x86 shellcode 导致分段错误

逆向工程部件 C 外壳代码

2021-06-26 10:31:00

我想execve("/bin/dash", &"/bin/dash", NULL)使用以下 32 位 shellcode 在 Ubuntu 64 位上执行：

global _start

_start:
    xor eax, eax ; set eax = 0 to push a null without using 0x0
    push eax ; eax = null pointer

    mov edx, esp ; edx = null pointer

    ; push '/bin/dash' into stack
    ; but length of string actually needs to be divisible by 4,
    ; otherwise there will be a 0x00 in the string, so:
    ; push null pointer first, then
    ; push '////bin/dash' into stack
    push eax ; eax = null pointer
    push 0x68736164
    push 0x2f6e6962
    push 0x2f2f2f2f

    mov ebx, esp ; ebx = string pointer '////bin/dash'
    push ebx
    mov ecx, esp ; ecx = pointer to string pointer
    mov eax, 0xfffffff4 
    not eax ; eax = 0xb = pointer to execve
    int 0x80 ; interrupt system call

我使用以下行编译汇编代码，然后提取机器代码：

$ nasm -felf32 shellcode.asm -o x.o && ld -m elf_i386 x.o -o shellcode
$ objdump -d shellcode -M intel -s
shellcode:     file format elf32-i386

Contents of section .text:
 8048060 31c05089 e2506864 61736868 62696e2f  1.P..Phdashhbin/
 8048070 682f2f2f 2f89e353 89e1b8f4 fffffff7  h////..S........
 8048080 d0cd80                               ..P             

Disassembly of section .text:

08048060 <_start>:
 8048060:   31 c0                   xor    eax,eax
 8048062:   50                      push   eax
 8048063:   89 e2                   mov    edx,esp
 8048065:   50                      push   eax
 8048066:   68 64 61 73 68          push   0x68736164
 804806b:   68 62 69 6e 2f          push   0x2f6e6962
 8048070:   68 2f 2f 2f 2f          push   0x2f2f2f2f
 8048075:   89 e3                   mov    ebx,esp
 8048077:   53                      push   ebx
 8048078:   89 e1                   mov    ecx,esp
 804807a:   b8 f4 ff ff ff          mov    eax,0xfffffff4
 804807f:   f7 d0                   not    eax
 8048081:   cd 80                   int    0x80

然后我试图用这个 c 文件执行我的 shellcode：

#include <stdio.h>
#include <string.h>

char *shellcode = "\x31\xc0\x50\x89\xe2\x50\x68\x64\x61\x73\x68\x68\x62\x69\x6e\x2f\x68\x2f\x2f\x2f\x2f\x89\xe3\x53\x89\xe1\xb8\xf4\xff\xff\xff\xf7\xd0\xcd\x80";

int main()
{
    fprintf(stdout,"Length: %d\n",strlen(shellcode));
    (*(void  (*)()) shellcode)();
}

我编译这个文件：

gcc -m32 -fno-stack-protector test_shellcode.c -o test_shellcode

但这会导致分段错误。我用 gdb 调试了我的 shellcode，看起来我的 shellcode 工作正常，但第一行使用寄存器al或ah导致分段错误。

我该如何解决？

2个回答

错误的参数

我能够解决我的问题！

该函数execve具有以下定义：

int execve(const char *filename, char *const argv[], char *const envp[]);`
      ^                   ^                    ^                   ^
     eax                 ebx                  ecx                 edx

所以第二个参数argv不仅仅是一个指针，它实际上是一个（多个）指针数组。所以ecx需要以空值终止，但在我的代码中并非如此。我还发现ecx不需要指向字符串，/bin/dash而是可以将其设置为 null。

所以参数需要设置为：

eax = 0x0b
ebx = "/bin/dash"
ecx = 0x00
ecd = 0x00

汇编器

我只有29 个字节的工作代码现在看起来像：

global _start

_start:
    ; set eax = 0 without using 0x00
    xor eax, eax 
    push eax ; terminating null string & reference for null pointer

    ; set edc = pointer to null
    ; set edx = pointer to null
    mov ecx, esp
    mov edx, esp

    ; push '////bin/dash' into the stack
    push 0x68736164
    push 0x2f6e6962
    push 0x2f2f2f2f

    ; set ebx = string pointer to '////bin/dash'
    mov ebx, esp

    ; set ecx = pointer to string pointer to '////bin/dash'
    push ebx

    ; set eax = 0xb (function 'execve')
    mov al, 0xb
    int 0x80 ; interrupt system call

我认为只需更换mov eax, 0xfffffff4和not eax

其它你可能感兴趣的问题

上一篇自定义虚拟机保护下一篇用于 Linux 的 Lipo 替代品