c - 简单的 shellcode 不起作用
问题描述
我有以下代码应该删除一个外壳,但是,在我运行代码之后似乎什么都没有发生。这是我拥有的代码。这取自 shellcoder 的手册。
`
char shellcode[] =
"\xeb\x1a\x5e\x31\xc0\x88\x46\x07\x8d\x1e\x89\x5e\x08\x89\x46"
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xe1"
"\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68";
int main()
{
int *ret;
ret = (int *)&ret + 2;
(*ret) = (int)shellcode;
}`
我编译它使用gcc -fno-stack-protector -z execstack shellcode.c -o shellcode
以下是产生上述结果的代码:
int main()
{
char *name[2];
name[0] = "/bin/sh";
name[1] = 0x0;
execve(name[0], name, 0x0);
exit(0);
}
我不确定为什么会这样。我在 Windows 10 上使用 Ubuntu。这可能不会影响我的结果,但我禁用了 ASLR。这可能是个问题。我还没有在虚拟机上试过这个。在我这样做之前,我想尝试弄清楚为什么这不起作用。如果不清楚,请告诉我,我很乐意澄清任何细节。
我提前感谢您的所有帮助。
- 更新 -
我能够从我提供的 shellcode 中获得汇编指令。
有没有人看到任何会导致外壳不被丢弃的问题?
解决方案
在一位同事的帮助下,我们能够弄清楚为什么 shellcode 没有执行。shellcode 很好,问题实际上是对 gcc 编译器的更新,它改变了代码执行时 prolog/epilog 的处理方式。当程序启动时,编译器生成的代码将返回地址放入堆栈,但它使用新模式这样做。执行程序不再通过将返回地址弹出到指令指针 (IP) 中来直接使用返回地址。相反,它将堆栈值弹出%ecx
,然后使用地址%ecx-4
(对于 32 位机器)处的内容作为返回地址。因此,即使关闭了保护措施,我试图这样做的方式也永远不会奏效。此行为仅影响main()
而不是 main 调用的函数。因此,一个简单的解决方案是将 main 的内容放入另一个函数foo()
并从 main() 调用 foo() ,如下所示。
char shellcode[] =
"\xeb\x1a\x5e\x31\xc0\x88\x46\x07\x8d\x1e\x89\x5e\x08\x89\x46"
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xe1"
"\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68";
void foo()
{
int *ret;
ret = (int *)&ret + 4;
(*ret) = (int)shellcode;
}
int main()
{
foo();
}
这是一个与此答案相关的问题。 了解新的 gcc 序言
推荐阅读
- julia - 古巴的Julia包装器和Windows上的fork?
- python - 如何在 Python 中将 zip 文件转换为 gzip
- marklogic - 管理 API 以在集群环境中的组中的所有节点中创建森林
- node.js - parse-server-example 项目不再工作
- java - 为什么我的 gradle 创建的 jar 文件中没有 .class 文件?
- excel - 遍历所有 Outlook 项目,查找包含特定文本的电子邮件正文的电子邮件
- azure - Azure 认知文本分析
- amazon-ec2 - Terraform:无法创建点实例。错误:MaxSpotInstanceCountExceeded
- flutter - 如何根据设计规范使我的布局响应?
- html - Flexbox - 编号列表
- - 2 列 - 从上到下的数字