【发布时间】:2015-05-25 10:47:10
【问题描述】:
我正在编写一个简单的 shellcode,它会为 ARM 平台(Raspberry PI 上的 Linux)调用 execve(),但遇到了 execve 的第二个参数。根据documentation:
int execve(const char *filename, char *const argv[], char *const envp[]);
如果我打电话给execve("/bin/sh", {NULL}, {NULL});(从大会的角度来看),这对我来说完全不合适:
.data
.section .rodata
.command:
.string "/bin/sh"
.text
.globl _start
_start:
mov r7, #11
ldr r0, =.command
eor r1, r1 @ temporarily forget about argv
eor r2, r2 @ don't mind envp too
svc #0
mov r7, #1
eor r0, r0
svc #0
上面的程序集编译得很好,并在我的测试机器上运行时调用了一个 shell,它具有真正的/bin/sh。然而,我所有的麻烦是在特定的目标框本身没有/bin/sh,而只有一个指向busybox的符号链接,这需要我执行execve("/bin/busybox", {"/bin/busybox", "sh", NULL}, {NULL})之类的东西。
据我所知,数组在内存中是连续的,所以我所要做的就是以连续的方式在内存中分配字节,然后将指针指向我认为是这样的“数组”的开头。考虑到这一点,我尝试了以下操作:
.data
.section .rodata
.command:
.string "/bin/busybox"
.args:
.ascii "/bin/busybox\0"
.ascii "sh\0"
.ascii "\0"
.text
.globl _start
_start:
mov r7, #11
ldr r0, =.command
ldr r1, =.args
eor r2, r2
svc #0
mov r7, #1
eor r0, r0
svc #0
但是没有成功。试图玩弄字节并创建一系列填充空字节以对齐到 4 个字节的字节,这也不起作用。如果.args 标签如下所示:
.args:
.ascii "/bin/sh\0"
.ascii "-c\0\0\0"
.ascii "ls\0\0\0"
.ascii "\0\0\0\0"
那么strace正在执行的程序如下:
$ strace ./shell
execve("./shell", ["./shell"], [/* 19 vars */]) = 0
dup2(0, 4) = 4
dup2(1, 4) = 4
dup2(2, 4) = 4
execve("/bin/sh", [0x6e69622f, 0x68732f, 0x632d, 0x736c00], [/* 0 vars */]) = -1 EFAULT (Bad address)
exit(0) = ?
+++ exited with 0 +++
(尝试先在测试机上执行/bin/sh -c ls,然后再编码/bin/busybox sh)。
我运行了一个类似的 C 程序,然后对其进行调试,看看它是如何完成的。似乎传递给r1 的位置包含一堆指向字符串的指针,然后自然是0x00:
(gdb) x/4xw 0xbefff764
0xbefff764: 0x000105d0 0x000105d8 0x000105dc 0x00000000
... snip ...
(gdb) p argv
$3 = {0x105d0 "/bin/sh", 0x105d8 "-c", 0x105dc "ls", 0x0}
问题
既然我弄清楚了内存是如何布局的,那么如何在汇编中准备这样的布局并正确地将第二个参数作为 ARM 汇编语言中的“数组”传递给execve()?
【问题讨论】:
-
标记每个参数并创建这些标签的数组并将地址传递给它。这就是 C 字符串数组的工作原理(
char**类型)。 -
@Jester 这就是我刚刚意识到我可以通过查看一些来源在汇编中做的事情。谢谢。
标签: linux assembly arm shellcode execve