流れに流れて今回はシェルコードに挑戦してみようと思います。
まずシェルコードとは
ソフトウェアのセキュリティホールを利用するペイロードとして使われるコード断片である。
By Wikipedia
いわゆるfragmentだ。
とりあえず参考サイトのままに権限を取得するコードを試しでやってみた。
実行結果しか載せないけど、うまくいかずに結構時間はかかってる。
アセンブラむずかしい。
[takeken@32bittest]$ id [/home/takeken/asm]
uid=500(takeken) gid=500(takeken)
[takeken@32bittest]$ ./shelltest.o
sh-4.1# zsh
[root@32bittest]$ id
uid=0(root) gid=500(takeken)
[root@32bittest]$
さくっとrootが取れちゃうような、こういうものらしいけど・・・、サンプルがこういうのしかなく試しただけであって、自分でアセンブラを使ってなにか作りたいのさ。
アセンブリに詳しくなりそうだし、まずはやっぱりHello Worldだわよね。
とりあえず前回作ったHello Worldのコードを修正する。
-nostdlibオプションを使うように、短いコードにする。
[takeken@32bittest]# cat hello2.s [/home/takeken/asm]
.att_syntax noprefix
.global _start
_start:
mov $1, %ebx
mov $4, %eax
mov $msg, %ecx
mov $15, %edx
int $0x80
mov $1, %eax
int $0x80
.data
msg: .ascii "Hello, World!!\n"
[takeken@32bittest]# ./hello2 [/home/takeken/as
Hello, World!!
[takeken@32bittest]#
実行可能となりました。
だけどこのままではダメなようで、シェルコードはヌルバイトをなくさないといけないらしい。
レジスタのことはまだいまいち分かってないので、パズル式にやってみる。
pushとaddを使って、ヌルにならないようにしてみた。
[takeken@32bittest]# cat hello2.s [/home/takeken/asm]
.att_syntax noprefix
.global _start
_start:
mov $1, %ebx
mov $4, %eax
mov $msg, %ecx
mov $15, %edx
int $0x80
mov $1, %eax
int $0x80
.data
msg: .ascii "Hello, World!!\n"
[takeken@32bittest]# objdump -d hello
hello: file format elf32-i386
Disassembly of section .text:
080480b8 <_start>:
80480b8: 31 d2 xor %edx,%edx
80480ba: 6a 01 push $0x1
80480bc: 53 push %ebx
80480bd: 83 c0 04 add $0x4,%eax
80480c0: b9 d0 90 04 08 mov $0x80490d0,%ecx
80480c5: 83 c2 0f add $0xf,%edx
80480c8: cd 80 int $0x80
80480ca: b0 01 mov $0x1,%al
80480cc: cd 80 int $0x80
[takeken@32bittest]# ./hello2
Hello, World!!
ご覧のようにヌルバイトがなくなり、実行も可能な状態となった。
だが
Cの形式にしてみて実行しても
objdump -M att -d hello2 | grep '^ ' | cut -f2 | perl -pe 's/(\w{2})\s+/\\x\1/g'
#include <stdio.h>
char shellcode[] = "\x31\xd2\x6a\x01\x53\x83\xc0\x04\xb9\xd0\x90\x04\x08\x83\xc2\x0f\xcd\x80\xb0\x01\xcd\x80";
int main()
{
printf("sizeof(shellcode) == %d\n", sizeof(shellcode));
(*(void (*)())shellcode)();
}
$ ./aa.o [/home/takeken/asm]
sizeof(shellcode) == 23
zsh: segmentation fault ./aa.o
だめらしい。
うーん・・・。
どうしたもんかなぁ。
普通にデバッグしてみたものの
(gdb) next
Single stepping until exit from function shellcode,
which has no line number information.
Program received signal SIGSEGV, Segmentation fault.
0x0804966c in shellcode ()
(gdb) next
Single stepping until exit from function shellcode,
which has no line number information.
Program terminated with signal SIGSEGV, Segmentation fault.
The program no longer exists.
うーん、分からん。
nasm式というのがあるらしいので、そっちでやってみることにした。
[takeken@32bittest nasm]$ cat hello.asm
section .text
global _start
BITS 32
_start:
xor edx, edx
mov ebx, 1 ; stdout
mov eax, 4 ; write
mov ecx, msg ; address
mov edx, len
int 0x80
mov eax, 1 ; sys_exit
int 0x80
section .data
msg db 'hello, world',0xa
len equ $ - msg
[takeken@32bittest nasm]$ ./hello
hello, world
とりあえず実行できるようにはなったものの。
[takeken@32bittest nasm]$ objdump -d hello.o
hello.o: file format elf32-i386
Disassembly of section .text:
00000000 <_start>:
0: 31 d2 xor %edx,%edx
2: bb 01 00 00 00 mov $0x1,%ebx
7: b8 04 00 00 00 mov $0x4,%eax
c: b9 00 00 00 00 mov $0x0,%ecx
11: ba 0d 00 00 00 mov $0xd,%edx
16: cd 80 int $0x80
18: b8 01 00 00 00 mov $0x1,%eax
1d: cd 80 int $0x80そりゃそうなんだが、ヌルヌルなのであった。
さっきの要領でヌル除去を進めていくんだが、うまくいかないらしい。
もうダメかなーなんて思ってたらNASMは変数タイプを保存しないというのを発見して閃いた。
[takeken@32bittest nasm]$ cat hello.asm
section .text
global _start
BITS 32
foo equ 1
bar equ 4
_start:
xor edx, edx
mov bl,foo ; stdout
mov al,bar ; write
mov ecx, msg ; address
mov dl, len
int 0x80
mov al, 1 ; sys_exit
mov ah, 0
int 0x80
section .data
msg db 'hello, world',0xa
len equ $ - msg
[takeken@32bittest nasm]$ nasm -f elf hello.asm && ld -s -o hello hello.o
[takeken@32bittest nasm]$ ./hello
hello, world
[takeken@32bittest nasm]$ objdump -d hello
hello: file format elf32-i386
Disassembly of section .text:
08048080 <.text>:
8048080: 31 d2 xor %edx,%edx
8048082: b3 01 mov $0x1,%bl
8048084: b0 04 mov $0x4,%al
8048086: b9 98 90 04 08 mov $0x8049098,%ecx
804808b: b2 0d mov $0xd,%dl
804808d: cd 80 int $0x80
804808f: b0 01 mov $0x1,%al
8048091: b4 00 mov $0x0,%ah
8048093: cd 80 int $0x80おおおー。
[takeken@32bittest nasm]$ ./mike
セグメンテーション違反です orz
ダメか。
なにか違うところに原因があるのかもしれない。
参考サイト
技術メモ帖 shellcode を書く
ももいろテクノロジー Linux x86用のシェルコードを書いてみる