Linux 64-bit shellcode

Question

Я пытаюсь написать свой первый «Hello world» shellcode на моем 64-битном Ubuntu, но он не работает.

У меня есть файл hello.asm:

; 64-bit "Hello World!" in Linux NASM 

global _start   ; global entry point export for ld 

section .text 
_start: 

    ; sys_write(stdout, message, length) 

    mov rax, 1  ; sys_write 
    mov rdi, 1  ; stdout 
    mov rsi, message ; message address 
    mov rdx, length ; message string length 
    syscall 

    ; sys_exit(return_code) 

    mov rax, 60  ; sys_exit 
    mov rdi, 0  ; return 0 (success) 
    syscall 

section .data 
    message: db 'Hello, world!',0x0A ; message and newline 
    length: equ $-message  ; NASM definition pseudo-instruction 

Я использовал эти команды:

nasm -felf64 hello.asm -o hello.o 
ld -o hello hello.o 
objdump -d hello 

Я положил шеллкода из objdump в моей программе C:

char code[] = "\xb8\x01\x00\x00\x00\xbf\x01\x00\x00\x00\x48\xbe\xd8\x00\x60\x00\x00\x00\x00\x00\xba\x0e\x00\x00\x00\x0f\x05\xb8\x3c\x00\x00\x00\xbf\x00\x00\x00\x00\x0f\x05"; 

int main(int argc, char **argv) 
{ 
    int (*func)(); 
    func = (int (*)()) code; 
    (int)(*func)(); 
    return 0; 
} 

и скомпилируйте его в gcc, но после запуска у меня есть «Ошибка сегментации (ядро сбрасывается) ».

Я понятия не имею, что я делаю неправильно. Ассемблерный код, похоже, работает, потому что когда я запускаю ./hello, он печатает «Hello world».

Answer 1

Надежда не слишком поздно, чтобы ответить на этот вопрос :)

Вы должны использовать этот код, чтобы скомпилировать код C (Чтобы отключить защиту стека и сделать его исполняемым):

gcc -fno-stack-protector -z execstack -o hello hello.c 

Удачи

Answer 2

Это хорошая практика, чтобы удалить nullbytes, если вы хотите ввести его в буфер, но основная проблема, вероятно, в том, что у вас есть строка в сегменте данных?

Я переписал его вот так и получил его на работу.

global _start 
    _start: 
    jmp short string 

    code: 
    pop rsi 
    xor rax, rax 
    mov al, 1 
    mov rdi, rax 
    mov rdx, rdi 
    add rdx, 14 
    syscall 

    xor rax, rax 
    add rax, 60 
    xor rdi, rdi 
    syscall 

    string: 
    call code 
    db 'Hello, world!',0x0A 

---

$ nasm -felf64 hello.asm -o hello.o 
$ ld -s -o hello hello.o 
$ for i in $(objdump -d hello |grep "^ " |cut -f2); do echo -n '\x'$i; done; echo 
\xeb\x1e\x5e\x48\x31\xc0\xb0\x01\x48\x89\xc7\x48\x89\xfa\x48\x83\xc2\x0e\x0f\x05\x48\x31\xc0\x48\x83\xc0\x3c\x48\x31\xff\x0f\x05\xe8\xdd\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x20\x77\x6f\x72\x6c\x64\x21\x0a 

---

char code[] = "\xeb\x1e\x5e\x48\x31\xc0\xb0\x01\x48\x89\xc7\x4\x89\xfa \x48\x83\xc2\x0e\x0f\x05\x48\x31\xc0\x48\x83\xc0\x3c\x48\x31\xff\x0f\x05\xe8\xdd\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x20\x77\x6f\x72\x6c\x64\x21\x0a"; 

int main(int argc, char **argv) 
{ 
    int (*func)(); 
    func = (int (*)()) code; 
    (int)(*func)(); 
    return 0; 
} 

---

$ gcc -fno-stack-protector -z execstack -o code code.c  
$./code 
Hello, world! 

Answer 3

Там в два слоя проблемы здесь.

1) char data[] = ... будет помещен в сегмент данных, который не является исполняемым. Вам нужно const char data[] = ..., чтобы он был помещен в текстовый сегмент. (Технически, это будет в только для чтения данных сегмента, который может быть отмечен неисполняемым, но в данный момент никто не делает, что, насколько я знаю.)

2) Это то, что я получаю когда я разобрать содержимое data:

0: b8 01 00 00 00   mov eax, 0x1 
    5: bf 01 00 00 00   mov edi, 0x1 
    a: 48 be d8 00 60 00 00 movabs rsi, 0x6000d8 
    11: 00 00 00 
    14: ba 0e 00 00 00   mov edx, 0xe 
    19: 0f 05     syscall 
    1b: b8 3c 00 00 00   mov eax, 0x3c 
    20: bf 00 00 00 00   mov edi, 0x0 
    25: 0f 05     syscall 

и это то, что я получаю, когда я пытаюсь запустить его:

$ strace ./a.out 
execve("./a.out", ["./a.out"], [/* 38 vars */]) = 0 
write(1, 0x6000d8, 14)     = -1 EFAULT (Bad address) 
_exit(0)        = ? 
+++ exited with 0 +++ 

Вы можете видеть, что это не , что вдали от того, что вы хотели, но он явно не работает, и ничего не существует при абсолютном адресе 0x6000d8. Проблема в том, что вы только ставили код в data, а не на строку.Вам нужно поместить строку сразу после кода и использовать относительную адресацию для ПК, чтобы получить ее. Ответ nighter показывает, как это делается (при дополнительном ограничении, которое может отсутствовать \x00 байтов в data, что было бы необходимо, если бы вы фактически использовали типичный переполнение буфера здесь вместо того, чтобы просто работать с машинным языком).

Answer 4

Вы можете просто скомпилировать с помощью nasm -felf64 и связаться с ld. Нет необходимости в gcc. Я считаю, что проблема, на которую вы наткнулись, - это x86 стиль equ $-message расчет в вашем коде. Для x86_64 это недопустимо. Вот краткий пример:

section .data 
    string1 db 0xa, " Hello StackOverflow!!!", 0xa, 0xa, 0 

section .text 
    global _start 

    _start: 
     ; calculate the length of string 
     mov  rdi, string1  ; string1 to destination index 
     xor  rcx, rcx   ; zero rcx 
     not  rcx     ; set rcx = -1 
     xor  al,al    ; zero the al register (initialize to NUL) 
     cld       ; clear the direction flag 
     repnz scasb    ; get the string length (dec rcx through NUL) 
     not  rcx     ; rev all bits of negative results in absolute value 
     dec  rcx     ; -1 to skip the null-terminator, ecx contains length 
     mov  rdx, rcx   ; put length in rdx 
     ; write string to stdout 
     mov  rsi, string1  ; string1 to source index 
     mov  rax, 1    ; set write to command 
     mov  rdi,rax    ; set destination index to rax (stdout) 
     syscall      ; call kernel 

     ; exit 
     xor  rdi,rdi    ; zero rdi (rdi hold return value) 
     mov  rax, 0x3c   ; set syscall number to 60 (0x3c hex) 
     syscall      ; call kernel 

Compile/выход

$ nasm -felf64 -o hello-stack_64.o hello-stack_64.asm 
$ ld -o hello-stack_64 hello-stack_64.o 
$ ./hello-stack_64 

    Hello StackOverflow!!!