将十六进制管道传输到 sed 并将其输出附加到文件

Question

我正在尝试编写一个脚本，该脚本获取目标文件的十六进制字符，然后将输出（在 ascii 中）重定向到文件中的特定行。

基本上是这样的

export FILE=myobj_file
export j=''
for b in $(objdump -d -M intel $FILE | grep "^ " | cut -f2); do j+='\x'$b; done; echo $j

这会打印出十六进制代码（shellcode）：

\xeb\x0d\x5e\x31\xc9\x67\x2a\x42\x4b\x55\x55\x55\x85\xc8\xc3\xc4\x85\xd9\xc2\xeb\xe8\xe8\xe8\xe8\xe9\xe9\xe9\xe9

我想将其写入包含以下内容的文件：

#include <stdio.h>
#include <string.h>

int main() { 
unsigned char code[] = {{PLACEHOLDER}} /*Here need to be inserted*/
printf("Length:  %d\n", strlen(code));

    int (*ret)() = (int(*)())code;
    ret();
    return 0;


}

我尝试将输出传递给 sed：

sed '6s/%d/$j/' file.c

但我得到一个错误。

我的结果应该是：

#include <stdio.h>
#include <string.h>

int main() { 
unsigned char code[] = \
"\xeb\x0d\x5e\x31\xc9\x67\x2a\x42\x4b\x55\x55\x55\x85\xc8\xc3\xc4\x85\xd9\xc2\xeb\xe8\xe8\xe8\xe8\xe9\xe9\xe9\xe9";
printf("Length:  %d\n", strlen(code));

    int (*ret)() = (int(*)())code;
    ret();
    return 0;


}

要么我得到一个 sed 错误，要么我得到 sed 插入 HEX 代码而不是 ASCII，通过将 \x41 转换为 'A'，而不是插入 \x41。

谢谢

Answer 1

与hek2mgl的回答类似，我们使用带有占位符的模板文件（此处相同）：

/* ... */

int main() { 
    unsigned char code[] = "{{PLACEHOLDER}}"
    printf("Length:  %d\n", strlen(code));
    int (*ret)() = (int(*)())code;
    ret();
    return 0;
}

/* ... */

所以现在我们可以将{{PLACEHOLDER}} 替换为：

 awk 'BEGIN{FS="\t"}
      (NR==FNR) && /^ /{
         sub(" +$","",$2);gsub(" ","\\x",$2); string=string "\\x" $2
         next;
      }
      (NR == FNR) { next }
      /{{PLACEHOLDER}}/{ sub("{{PLACEHOLDER}}",string ) }
      1' <(objdump -d -M intel $FILE) code.c > updated_output.c

Answer 2

我最终得到了这个：

export j=''
for b in $(objdump -d -M intel /bin/ls | grep "^ " | cut -f2); do j+='\\x'$b; done; echo $j
sed "s/{{PLACEHOLDER}}/${j}/" file.c

Answer 3

我会在 c 文件中使用占位符：

/* ... */

int main() { 
    unsigned char code[] = "{{PLACEHOLDER}}"
    printf("Length:  %d\n", strlen(code));
    int (*ret)() = (int(*)())code;
    ret();
    return 0;
}

/* ... */

然后使用两步法（以 /bin/ls 为例）：

string="$(objdump -d -M intel /bin/ls | awk -F'\t' '/^ /{gsub(/^|\y \y/, "\\\\x", $2);gsub(/ /,"",$2);printf "%s", $2}')"
sed "s/{{PLACEHOLDER}}/${string}/" file.c

Answer 4

一般来说，我建议您将这个问题更多地视为“模板”而不是“替换”。也就是说，将您的文件从file.c 重命名为file.c.template。然后将标记放入您要修改的模板中。例如：

#include <stdio.h>
#include <string.h>

int main() { 
unsigned char code[] = \
<% code_hex_string %>
printf("Length:  %d\n", strlen(code));

    int (*ret)() = (int(*)())code;
    ret();
    return 0;


}

现在您的所有sed 只需将<% code_hex_string %> 替换为实际的十六进制字符串，就完成了。

sed -e 's/<%\s*code_hex_string\s*%>/'"$j"'/' < file.c.template > file.c

一旦你有了这个概念，它也能很好地翻译成其他语言，你可以很容易地将你的 bash 脚本扩展成 perl/python/groovy/C#/任何东西。