汇编有效，但 shellcode 不[关闭]

Question

我有一个 x64 处理器，我正在研究 shellcode。
我有以下代码：

section .text
  global _start

_start:
   push rax
   mov rbx, 0x68732f6e69622f2f
   shr rbx, 0x8
   push rbx
   mov rdi, rsp
   ;mov rdi, com

   mov al, 59
   syscall

用傻逼命令编译时：

nasm -g -f elf64 execve.asm  

并与：

ld execve.o -o execve

运行良好。它打开一个外壳。如果我从中得到 shellcode：

"\x50\x48\xbb\x2f\x2f\x62\x69\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\xb0\x3b\x0f\x05"

并使用这个 C 程序：

int main(void)
{
    const char shellcode[] = "\x50\x48\xbb\x2f\x2f\x62\x69\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\xb0\x3b\x0f\x05";

    (*(void (*)()) shellcode)();

    return 0;

} 编译它：

gcc -fno-stack-protector -z execstack -o ex2 ex.c

如果运行它会返回一个分段错误，但它应该执行一个 shell。为什么？ 帮助表示赞赏！

Answer 1

您的独立程序集依赖于寄存器rsi 和rdx 被归零。 （从http://blog.rchapman.org/posts/Linux_System_Call_Table_for_x86_64/可以看出 sys_execve 通过寄存器rdi、rsi 和rdx 接受三个参数，如果rdi 是正确的文件名并且rsi 和rdx 为零，Linux 也会接受它。

程序启动时可能会出现这种情况，但在您从 程序中间。

因此，如果 rsi 和 rdx 中有垃圾，系统调用将失败，指令流 将继续执行它会在 syscall 指令之后找到的垃圾字节，最终导致崩溃（这确实是您的情况，如果您通过 gdb 运行程序可以看到）

使系统调用成功的最简单方法是将第二个和第三个参数置零：

section .text
  global _start

_start:
   xor rax, rax
   xor rsi, rsi ; zero 2nd argument
   xor rdx, rdx ; zero 3rd argument
   push rax
   mov rbx, 0x68732f6e69622f2f
   shr rbx, 0x8
   push rbx
   mov rdi, rsp

   mov al, 59
   syscall

对应的C代码：

int main(void)
{
 char shellcode[] =

"\x48\x31\xc0\x48\x31\xd2\x48\x31\xf6\x50\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\xb0\x3b\x0f\x05"
;
    ((void (*)()) shellcode)();
    return 0;
}

Answer 2

你漏掉了\x6e。

这会导致 segv，因为 exec 失败并且在 syscall 之后没有返回。