arm shellcode 编写详析2

最新推荐文章于 2022-07-14 18:30:49 发布
最新推荐文章于 2022-07-14 18:30:49 发布
阅读量737 收藏
点赞数
分类专栏: android逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwanttowin/article/details/78640252
版权

前一篇中介绍了arm shellcode基本用法,现在涉及到arm和thumb状态

在前一篇中默认为arm32模式:

text:00008074 ; Segment type: Pure code
.text:00008074                 AREA .text, CODE
.text:00008074                 ; ORG 0x8074
.text:00008074                 CODE32
.text:00008074
.text:00008074                 EXPORT _start
.text:00008074 _start
.text:00008074                 MOV     R2, #0x10
.text:00008078                 ADR     R1, ascii       ; "hello shell\n"
.text:0000807C                 MOV     R0, #1
.text:00008080                 MOV     R7, #4
.text:00008084                 SVC     0
.text:00008088                 SUB     R0, R0, R0
.text:0000808C                 MOV     R7, #1
.text:00008090                 SVC     0
.text:00008090 ; ---------------------------------------------------------------------------
.text:00008094 ascii           DCB "hello shell",0xA,0 ; DATA XREF: .text:00008078o
.text:000080A1                 DCB 0, 0, 0
.text:000080A1 ; .text         ends

若要转化为thumb状态则需要先得到thumb状态的地址存放到r6,然后通过bx r6命令来转换:

.section .text
.global _start

_start:
	.code  32
	#thumb-Mode on
	add r6, pc, #1
	bx r6
	.code 16
	mov r2, #16
	adr r1, ascii
	mov r0, $0x1
	mov r7, $0x4
	svc 0
	
	// _exit
	sub r0, r0, r0
	mov	r7, #1
	svc 0

ascii:
	.string "hello shell\n"
	.balign 4

效果如下:

.text:00008074                 AREA .text, CODE
.text:00008074                 ; ORG 0x8074
.text:00008074                 CODE32
.text:00008074
.text:00008074                 EXPORT _start
.text:00008074 _start
.text:00008074                 ADR     R6, (loc_807C+1)
.text:00008078                 BX      R6 ; loc_807C
.text:0000807C ; ---------------------------------------------------------------------------
.text:0000807C                 CODE16
.text:0000807C
.text:0000807C loc_807C                                ; CODE XREF: .text:00008078j
.text:0000807C                                         ; DATA XREF: .text:_starto
.text:0000807C                 MOVS    R2, #0x10
.text:0000807E                 ADR     R1, ascii       ; "hello shell\n"
.text:00008080                 MOVS    R0, #1
.text:00008082                 MOVS    R7, #4
.text:00008084                 SVC     0
.text:00008086                 SUBS    R0, R0, R0
.text:00008088                 MOVS    R7, #1
.text:0000808A                 SVC     0
.text:0000808A ; ---------------------------------------------------------------------------
.text:0000808C ascii           DCB "hello shell",0xA,0 ; DATA XREF: .text:0000807Eo
.text:00008099                 DCB 0, 0xC0, 0x46
.text:00008099 ; .text         ends

若主函数是thumb状态,而子函数是32位arm的话,需要用到blx指令来做状态转换,可以这样做:

.section .text
.global _start

_start:
	.code  32
	#thumb-Mode on
	add r6, pc, #1
	bx r6
	.code 16
	//blx	_write
	blx	j_write
	mov r2, #16
	adr r1, ascii2
	mov r0, $0x1
	mov r7, $0x4
	svc 0
	
	// _exit
	sub r0, r0, r0
	mov	r7, #1
	svc 0

j_write:
	.code 32
	b _write
_write:
	STMFD           SP!, {R0-R7,LR}
	mov r2, #16
	adr r1, ascii
	mov r0, $0x1
	mov r7, $0x4
	svc 1
	LDMFD           SP!, {R0-R7,PC}
ascii:
	.string "hello shell\n"
	.balign 4
ascii2:
	.string "shell storm\n"
	.balign 4

效果如下:

.text:00008074                                         AREA .text, CODE
.text:00008074                                         ; ORG 0x8074
.text:00008074                                         CODE32
.text:00008074
.text:00008074                         ; =============== S U B R O U T I N E =======================================
.text:00008074
.text:00008074
.text:00008074                                         EXPORT _start
.text:00008074                         _start
.text:00008074 01 60 8F E2                             ADR     R6, (loc_807C+1)
.text:00008078 16 FF 2F E1                             BX      R6 ; loc_807C
.text:0000807C                         ; ---------------------------------------------------------------------------
.text:0000807C                                         CODE16
.text:0000807C
.text:0000807C                         loc_807C                                ; CODE XREF: _start+4j
.text:0000807C                                                                 ; DATA XREF: _starto
.text:0000807C 00 F0 08 E8                             BLX     j_write
.text:00008080 10 22                                   MOVS    R2, #0x10
.text:00008082 0F A1                                   ADR     R1, ascii2      ; "shell storm\n"
.text:00008084 01 20                                   MOVS    R0, #1
.text:00008086 04 27                                   MOVS    R7, #4
.text:00008088 00 DF                                   SVC     0
.text:0000808A 00 1A                                   SUBS    R0, R0, R0
.text:0000808C 01 27                                   MOVS    R7, #1
.text:0000808E 00 DF                                   SVC     0
.text:0000808E                         ; End of function _start
.text:0000808E
.text:00008090                                         CODE32
.text:00008090
.text:00008090                         ; =============== S U B R O U T I N E =======================================
.text:00008090
.text:00008090
.text:00008090                         j_write                                 ; CODE XREF: _start:loc_807Cp
.text:00008090 FF FF FF EA                             B       _write
.text:00008094                         ; ---------------------------------------------------------------------------
.text:00008094
.text:00008094                         _write                                  ; CODE XREF: j_writej
.text:00008094 FF 40 2D E9                             STMFD   SP!, {R0-R7,LR}
.text:00008098 10 20 A0 E3                             MOV     R2, #0x10
.text:0000809C 0C 10 8F E2                             ADR     R1, ascii       ; "hello shell\n"
.text:000080A0 01 00 A0 E3                             MOV     R0, #1
.text:000080A4 04 70 A0 E3                             MOV     R7, #4
.text:000080A8 01 00 00 EF                             SVC     1
.text:000080AC FF 80 BD E8                             LDMFD   SP!, {R0-R7,PC}
.text:000080AC                         ; End of function j_write
.text:000080AC
.text:000080AC                         ; ---------------------------------------------------------------------------
.text:000080B0 68 65 6C 6C 6F 20 73 68+ascii           DCB "hello shell",0xA,0 ; DATA XREF: j_write+Co
.text:000080BD 00 00 00                                DCB 0, 0, 0
.text:000080C0 73 68 65 6C 6C 20 73 74+ascii2          DCB "shell storm",0xA,0 ; DATA XREF: _start+Eo
.text:000080CD 00 00 00                                DCB 0, 0, 0
.text:000080CD                         ; .text         ends



lwanttowin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shellcodes:ARM & x86 shellcode
06-30
外壳代码 ARM & x86 shellcode 由 signalsec 编写
ARM(手机、嵌入式)架构上ShellCode编写入门教程
msInfoSec的博客
12-14 1123
ShellCode编写起来其实很简单。
arm shellcode 编写详析1
随心散人专栏
11-26 1254
编写arm shell code 之前,先介绍下arm中r0-r15寄存器的主要用途:Register Alt. Name Usage r0 a1 First function argument Integer function result Scratch register r1 a2 S
arm linux漏洞,Linux/ARM - Bind (/TCP) Shell Shellcode (104 bytes)
weixin_32824725的博客
05-13 117
/**Copyright © 2017 Odzhan. All Rights Reserved.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditions aremet:1. Redistrib...
Armv5_shellcode
doudoudedi
04-14 2830
Armv5_shellcode 背景: ​ 由于在pwntools生成的shellcode默认Armv7语法无法在Armv5指令集芯片下执行,所以写了以下shellcode便于漏洞的利用,此shellcodeArmv5上亲测可使用且无NULL byte,此shellcode主要是对栈进行了操作,未对代码段与数据段进行修改。 适用场景: ​ 1.目标适用busybox ​ 2.有栈溢出或者其他可以劫持程序流程漏洞 ​ 3.内存中布置好此段shellcode,且能执行 适用busybox /* #exec
Android系统shellcode编写.zip_android_shellcode
最新发布
09-23
随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode编写和理解成为了安全研究的重要部分。 shellcode通常在黑客攻击中扮演关键角色,当一个漏洞被利用时,攻击者会尝试注入shellcode来...
MemLoad2Shellcode.rar
06-30
"MemLoad2Shellcode"框架便是这样一种工具,它简化了Shellcode的开发过程,使得开发者可以专注于编写代码,而不用过于关注底层实现细节。 该框架的一个重要特性是对x86和x86_64架构的支持。x86是32位指令集,而x86_...
shellcode 编写技术 缓冲区溢出教程
04-20
shellcode 编写技术 缓冲区溢出教程 缓冲区溢出是指当程序向缓冲区写入数据时 vượt过缓冲区的容量限制,导致溢出到相邻的内存区域中,可能会导致系统崩溃或其他安全问题。 Buffer Overflow(缓冲区溢出)是一种...
shellcode2assembly:ARCH:ARMARM64,MIPS,PPC,X86
03-02
ShellcodeToAssembly 用您的shellcode替换shellcodetoasm.py。 {Endian类型是little endian。 } shellcode = ' ' 安装 git clone https://github.com/blacknbunny/ShellcodeToAssembly.git && cd ShellcodeToAssembly/ && pip2 install -r requirements.txt && python2 shellcodetoasm.py 模块手动安装 pip install -r requirements.txt可以是pip2 install -r requirements.txt 用法 python2 shellcodetoasm.py [returnbit] [architecture] [assembly-fl
arm so注入代码
06-22
arm elf格式so注入,研究elf格式,ARM1136J-S发布于2003年,是针对高性能和高能效的应用而设计的。ARM1136J-S是第一个执行ARMv6架构指令的处理器,它集成了一条具有独立的load-store和算术流水线的8级流水线。ARMv6指令包含了针对媒体处理的单指令多数据流(SIMD)扩展,采用特殊的设计以改善视频处理性能
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2497
个人shellcode相关网络资源学习记录
【移动安全高级篇】————3、Android系统ShellCode编写
Fly_鹏程万里
01-10 1697
随着Android手机的普及,Android系统安全日益受人关注。漏洞攻防是安全的一大课题,其中自然少不了shellcode编写。本文将以提出问题、解决问题的方式教你如何编写Android系统shellcode。由于篇幅限制,本文将不对ARM指令集进行介绍,建议没有基础的读者先参考相关手册。 基础部分 使用什么工具? GNU ARM汇编器as和GNU ARM连接器ld是编写Androi...
用汇编语言(ARM 32位)编写TCP Bind Shell的菜鸟教程
weixin_30408165的博客
04-30 496
用汇编语言(ARM 32位)编写TCP Bind Shell的菜鸟教程 来源https://www.4hou.com/info/news/9959.html Change新闻2018年1月19日发布 导语:在本教程中,你将学习如何编写不包含null字节的tcp_bind_shell,并且可以用作shellcode测试漏洞可利用性。 在本教程中,你将学习如何编写不包含...
基于STM32L4的硬核“shellcode
有价值炮灰
04-11 1223
有经验的程序员都知道源码需要进行编译、链接、封装,然后才能执行。那你知道如何为一块CPU编写编译程序吗?知道编译后的程序如何写入MCU、并让CPU加载运行的吗?
记一次shellcode提取经历
jmp esp
08-15 3348
前言闲来无事,以前都是去exploit-db找shellcode使用,但是有的时候似乎并不那么顺利,找到了之后却由于一些问题(比如之前有一次,要求shellcode里边不能出现0b和0c之类制表符,否则会提前中断,但是一些打开shellshellcode基本都有),想到如果自己掌握了提取方法,或许以后会方便一点,根据自己的要求进行一些更改或者调整指令,为此还专门学习了一下内联汇编的使用(发现并没有
ARM之反弹shell
github_38641765的博客
12-22 763
C代码 获取一个socket的文件描述符 定义好远程地址,使用connect函数连接过去 重定位标准输入流、标准输出流、标准错误流到socket文件描述符中去,这样就可以利用执行/bin/sh后,获取命令、输出结果的通道都有socket来执行,也就是远端操控 #include <sys/types.h> #include <sys/s...
zlib数据格式及解压缩实现
热门推荐
随心散人专栏
12-15 1万+
0x01 zlib和其他压缩的魔术头 一般来说压缩文件都有个魔术头,用于区分不同的压缩文件对应不同的解压缩算法。 7z文件:  00000000 37 7A BC AF 27 1C 00 03 CD F7 CC 2E 66 6A 33 00 7z集' 枉?fj3 tar.xz文件 00000000 FD 37 7A 58 5A 00 00 04
ARM汇编基础与Shellcode编写实战
"这篇文档是关于在ARM平台上编写汇编语言SHELLCODE的教程,适合初学者入门。它涵盖了ARM汇编基础、常用指令、模式切换、地址计算、分支指令,以及如何编写ARM Shellcode,包括系统调用、参数映射、逆向工程等实践...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值