GAS 汇编程序不使用 2 字节相对 JMP 位移编码(仅 1 字节或 4 字节)
GAS assembler not using 2-byte relative JMP displacement encoding (only 1-byte or 4-byte)
我正在尝试为不允许 0x00 字节(它将被解释为终止符)的 CTF 挑战编写 shellcode。由于挑战的限制,我必须这样做:
[shellcode bulk]
[(0x514 - sizeof(shellcode bulk)) filler bytes]
[fixed constant data to overwrite global symbols]
[shellcode data]
看起来像这样
.intel_syntax noprefix
.code32
shellcode:
jmp sc_data
shellcode_main:
#open
xor eax, eax
pop ebx //file string
xor ecx, ecx //flags
xor edx, edx //mode
mov al, 5 //sys_OPEN
int 0x80
... // more shellcode
.org 514, 0x41 // filler bytes
.long 0xffffffff // bss constant overwrite
sc_data:
call shellcode_main
.asciz "/path/to/fs/file"
如果 sc_data 在 shellcode 的 127 字节以内,这会很好地工作。在这种情况下,汇编器 (GAS) 将输出一个短跳转格式:
Opcode Mnemonic
EB cb JMP rel8
但是,由于我有一个硬性限制,即我需要 0x514 字节用于批量 shellcode 和填充字节,所以这个相对偏移量至少需要 2 个字节。这 也 可以工作,因为 jmp 指令有一个 2 字节的相对编码:
Opcode Mnemonic
E9 cw JMP rel16
很遗憾,GAS 不输出这种编码。相反,它使用 4 字节偏移编码:
Opcode Mnemonic
E9 cd JMP rel32
这导致两个 MSB 字节为零。类似于:
e9 01 02 00 00
我的问题是:可以强制 GAS 输出 jmp 指令的 2 字节变体吗? 我玩弄了多个较小的 1 字节 jmps,但是 GAS 一直在输出 4 字节的变体。我还尝试使用 -Os 调用 GCC 来优化大小,但它坚持使用 4 字节相对偏移编码。
Intel 定义的跳转操作码here 供参考。
jmp rel16 只能使用操作数大小 16 进行编码,这会将 EIP 截断为 16 位。 (编码在 32 位和 64 位模式下需要 66 操作数大小前缀)。如您链接的指令集参考中所述,或 in this more up-to-date PDF->HTML conversion of Intel's manual,当操作数大小为 16 时,jmp 执行 EIP ← tempEIP AND 0000FFFFH;。这就是为什么 assemblers 从不使用它,除非你手动请求它1,为什么你不能在 32 位或 64 位代码 中使用 jmp rel16 除了非常不寻常的目标映射到虚拟地址低 64kiB 的情况 space2.
避免jmp rel32
你只是向前跳,所以你可以使用 call rel32 来推送你的数据地址,因为你希望你的数据一直在你的长填充有效负载的末尾。
你可以用push imm32/imm8/reg和mov ebx, esp在栈上构造一个字符串。 (您已经有一个置零寄存器,您可以推送终止零字节)。
如果您不想在堆栈上构造数据,而是使用作为有效负载一部分的数据,请为其使用位置无关代码/相对寻址。 也许您在寄存器中有一个值,该值是与 EIP 的已知偏移量,例如如果您的漏洞利用代码是通过 jmp esp 或其他 ret-2-reg 攻击 获得的。在这种情况下,您也许可以
mov ecx, 0x12345678 / shr ecx, 16 / lea ebx, [esp+ecx].
或者,如果您必须使用 NOP sled,并且您不知道 EIP 相对于任何寄存器值的确切值,您可以获得 EIP 的当前值使用带有负位移的 call 指令。 向前跳到 call 目标,然后 call 返回它。 您可以在 call 之后立即放置数据。 (但是避免数据中的零字节很不方便;一旦获得指向它的指针就可以存储一些。)
# Position-independent 32-bit code to find EIP
# and get label addresses into registers
# and insert zeros into data that we jumped over.
jmp .Lcall
.Lget_eip:
pop ebx
jmp .Lafter_call # jmp rel8
.Lcall: call .Lget_eip # backward rel32 = 0xffffff??
# execution never returns here
.Lmsg: .ascii "/path/to/fs/file/" # last byte to be overwritten
msglen = . - .Lmsg
.Loffset_data2: .long .Ldata2 - .Lmsg # relative offset to other data, or make this a 16-bit int to avoid zeros
# max data size 127 - 5 bytes
.Lafter_call:
# EBX = OFFSET .Lmsg just from the call + pop
# Insert a zero at runtime because the data wasn't at the end of the payload
mov byte ptr [ebx+ msglen - 1], al # with al=0
# ESI = OFFSET .Ldata2 using an offset loaded from memory
mov esi, ebx
add esi, [ebx + .Loffset_data2 - .Lmsg] # [ebx + disp8]
# with an immediate displacement, avoiding zero bytes
mov ecx, ((.Ldata3 - .Lmsg) << 17) | 0xffff
shr ecx, 17 # choose shift count to avoid high zeros
lea edi, [ebx + ecx] # edi = OFFSET .Ldata3
# if disp8 doesn't work but 8 * disp8 does: small code size
push (.Ldata3 - .Lmsg)>>8 # push imm8
pop ecx
lea edi, [ebx + ecx*8 + (.Ldata3 - .Lmsg)&7] # disp8 of the low 3 bits
...
# at the end of your payload
.Ldata2:
whatever you want, arbitrary size
.Ldata3:
在 64 位代码中,要容易得多:
# In 64-bit code
jmp .Lafter_data
.Lmsg1: .ascii "/foo/bar/" # last bytes to be replaced
.Lmsg2: .ascii "/bin/sh/"
.Lafter_data:
lea rdi, [RIP + .Lmsg1] # negative rel32
lea rsi, [rdi + .Lmsg2 - .Lmsg1] # disp8
xor eax,eax
mov byte ptr [rsi - 1], al # insert zeros
mov byte ptr [rsi + len], al
或者使用相对于 RIP 的 LEA 获取标签地址,并使用一些零避免方法向其添加一个立即数以获取负载末尾的标签地址。
.Lbase:
lea rdi, [RIP + .Lbase]
xor ecx,ecx
mov cx, .Lpath - .Lbase
add rdi, rcx # RDI = .Lpath address
...
syscall
... # more than 128 bytes
.Lpath:
.asciz "/foo/bar"
如果你真的需要跳远,而不仅仅是远距离"static"数据的位置无关寻址。
一连串的短向前跳跃会起作用。
或者用以上任何一种方法在一个寄存器中查找后面一个标签的地址,用jmp eax.
保存代码字节数:
在您的情况下,节省代码大小并不能帮助您避免跳远位移,但对于其他一些人来说可能会:
您可以使用这些 Tips for golfing in x86/x64 machine code:
来节省代码字节
xor eax,eax / cdq 比 xor edx,edx.xor ecx, ecx / mul ecx 将 4 个字节中的三个寄存器置零(ECX 和 EDX:EAX)- 实际上,
int 0x80 设置的最佳选择可能是
xor ecx,ecx (2B) / lea eax, [ecx+5] (3B) / cdq (1B),并且根本不要使用 mov al,5。您可以使用 push imm8 / pop 将任意小常量放入寄存器中,只有 3 个字节,或者如果您有另一个具有已知值的寄存器,则使用一个 lea。
脚注 1:要求您的 assembler 在 16 位模式之外编码 jmp rel16:
NASM(在 16、32 或 64 位模式下)
addr:
; times 256 db 0 ; padding to make it jump farther.
o16 jmp near addr ; force 16-bit operand-size and near (not short) displacement
AT&T 语法:
objdump -d 将其解码为 jmpw:对于上述 NASM 源 assembled 为 32 位静态 ELF 二进制文件,objdump -drwC foo 显示EIP截断:
0000000000400080 <addr>:
400080: 66 e9 fc ff jmpw 80 <addr-0x400000>
但 GAS 似乎认为助记符仅用于间接跳转(意味着 16 位加载)。 (foo.S:5: Warning: indirect jmp without '*'),而这个 GAS 来源:.org 1024; addr: .zero 128; jmpw addr 给你
480: 66 ff 25 00 04 00 00 jmpw *0x400 483: R_386_32 .text
参见 - GAS 如何处理 AT&T 语法的这种疯狂的不一致甚至适用于 jmpl。在 16 位模式下汇编时,普通 jmp 0x400 将是到该绝对偏移量的相对跳转。
在极不可能的情况下,您需要在其他模式下使用 jmp rel16,您必须自己 assemble 使用 .byte 和 .short。我认为甚至没有办法让 assembler 为您发出它。
脚注 2:您不能在 32/64 位代码中使用 jmp rel16,除非您正在攻击映射在虚拟的低 64kiB 中的某些代码地址 space,例如也许 运行 在 DOSEMU 或 WINE 下。 Linux 对 /proc/sys/vm/mmap_min_addr 的默认设置是 65536,而不是 0,所以通常没有什么可以 mmap 那个内存,即使你想,或者大概通过 ELF 在那个地址加载它的文本段程序加载器。 (因此 NULL 指针使用偏移段错误取消引用,而不是静默访问内存)。
您可以确定您的 CTF 目标不会碰巧是 运行 EIP = IP,并且将 EIP 截断为 IP 只会出现段错误。
我正在尝试为不允许 0x00 字节(它将被解释为终止符)的 CTF 挑战编写 shellcode。由于挑战的限制,我必须这样做:
[shellcode bulk]
[(0x514 - sizeof(shellcode bulk)) filler bytes]
[fixed constant data to overwrite global symbols]
[shellcode data]
看起来像这样
.intel_syntax noprefix
.code32
shellcode:
jmp sc_data
shellcode_main:
#open
xor eax, eax
pop ebx //file string
xor ecx, ecx //flags
xor edx, edx //mode
mov al, 5 //sys_OPEN
int 0x80
... // more shellcode
.org 514, 0x41 // filler bytes
.long 0xffffffff // bss constant overwrite
sc_data:
call shellcode_main
.asciz "/path/to/fs/file"
如果 sc_data 在 shellcode 的 127 字节以内,这会很好地工作。在这种情况下,汇编器 (GAS) 将输出一个短跳转格式:
Opcode Mnemonic
EB cb JMP rel8
但是,由于我有一个硬性限制,即我需要 0x514 字节用于批量 shellcode 和填充字节,所以这个相对偏移量至少需要 2 个字节。这 也 可以工作,因为 jmp 指令有一个 2 字节的相对编码:
Opcode Mnemonic
E9 cw JMP rel16
很遗憾,GAS 不输出这种编码。相反,它使用 4 字节偏移编码:
Opcode Mnemonic
E9 cd JMP rel32
这导致两个 MSB 字节为零。类似于:
e9 01 02 00 00
我的问题是:可以强制 GAS 输出 jmp 指令的 2 字节变体吗? 我玩弄了多个较小的 1 字节 jmps,但是 GAS 一直在输出 4 字节的变体。我还尝试使用 -Os 调用 GCC 来优化大小,但它坚持使用 4 字节相对偏移编码。
Intel 定义的跳转操作码here 供参考。
jmp rel16 只能使用操作数大小 16 进行编码,这会将 EIP 截断为 16 位。 (编码在 32 位和 64 位模式下需要 66 操作数大小前缀)。如您链接的指令集参考中所述,或 in this more up-to-date PDF->HTML conversion of Intel's manual,当操作数大小为 16 时,jmp 执行 EIP ← tempEIP AND 0000FFFFH;。这就是为什么 assemblers 从不使用它,除非你手动请求它1,为什么你不能在 32 位或 64 位代码 中使用 jmp rel16 除了非常不寻常的目标映射到虚拟地址低 64kiB 的情况 space2.
避免jmp rel32
你只是向前跳,所以你可以使用 call rel32 来推送你的数据地址,因为你希望你的数据一直在你的长填充有效负载的末尾。
你可以用push imm32/imm8/reg和mov ebx, esp在栈上构造一个字符串。 (您已经有一个置零寄存器,您可以推送终止零字节)。
如果您不想在堆栈上构造数据,而是使用作为有效负载一部分的数据,请为其使用位置无关代码/相对寻址。 也许您在寄存器中有一个值,该值是与 EIP 的已知偏移量,例如如果您的漏洞利用代码是通过 jmp esp 或其他 ret-2-reg 攻击 获得的。在这种情况下,您也许可以
mov ecx, 0x12345678 / shr ecx, 16 / lea ebx, [esp+ecx].
或者,如果您必须使用 NOP sled,并且您不知道 EIP 相对于任何寄存器值的确切值,您可以获得 EIP 的当前值使用带有负位移的 call 指令。 向前跳到 call 目标,然后 call 返回它。 您可以在 call 之后立即放置数据。 (但是避免数据中的零字节很不方便;一旦获得指向它的指针就可以存储一些。)
# Position-independent 32-bit code to find EIP
# and get label addresses into registers
# and insert zeros into data that we jumped over.
jmp .Lcall
.Lget_eip:
pop ebx
jmp .Lafter_call # jmp rel8
.Lcall: call .Lget_eip # backward rel32 = 0xffffff??
# execution never returns here
.Lmsg: .ascii "/path/to/fs/file/" # last byte to be overwritten
msglen = . - .Lmsg
.Loffset_data2: .long .Ldata2 - .Lmsg # relative offset to other data, or make this a 16-bit int to avoid zeros
# max data size 127 - 5 bytes
.Lafter_call:
# EBX = OFFSET .Lmsg just from the call + pop
# Insert a zero at runtime because the data wasn't at the end of the payload
mov byte ptr [ebx+ msglen - 1], al # with al=0
# ESI = OFFSET .Ldata2 using an offset loaded from memory
mov esi, ebx
add esi, [ebx + .Loffset_data2 - .Lmsg] # [ebx + disp8]
# with an immediate displacement, avoiding zero bytes
mov ecx, ((.Ldata3 - .Lmsg) << 17) | 0xffff
shr ecx, 17 # choose shift count to avoid high zeros
lea edi, [ebx + ecx] # edi = OFFSET .Ldata3
# if disp8 doesn't work but 8 * disp8 does: small code size
push (.Ldata3 - .Lmsg)>>8 # push imm8
pop ecx
lea edi, [ebx + ecx*8 + (.Ldata3 - .Lmsg)&7] # disp8 of the low 3 bits
...
# at the end of your payload
.Ldata2:
whatever you want, arbitrary size
.Ldata3:
在 64 位代码中,要容易得多:
# In 64-bit code
jmp .Lafter_data
.Lmsg1: .ascii "/foo/bar/" # last bytes to be replaced
.Lmsg2: .ascii "/bin/sh/"
.Lafter_data:
lea rdi, [RIP + .Lmsg1] # negative rel32
lea rsi, [rdi + .Lmsg2 - .Lmsg1] # disp8
xor eax,eax
mov byte ptr [rsi - 1], al # insert zeros
mov byte ptr [rsi + len], al
或者使用相对于 RIP 的 LEA 获取标签地址,并使用一些零避免方法向其添加一个立即数以获取负载末尾的标签地址。
.Lbase:
lea rdi, [RIP + .Lbase]
xor ecx,ecx
mov cx, .Lpath - .Lbase
add rdi, rcx # RDI = .Lpath address
...
syscall
... # more than 128 bytes
.Lpath:
.asciz "/foo/bar"
如果你真的需要跳远,而不仅仅是远距离"static"数据的位置无关寻址。
一连串的短向前跳跃会起作用。
或者用以上任何一种方法在一个寄存器中查找后面一个标签的地址,用jmp eax.
保存代码字节数:
在您的情况下,节省代码大小并不能帮助您避免跳远位移,但对于其他一些人来说可能会:
您可以使用这些 Tips for golfing in x86/x64 machine code:
来节省代码字节xor eax,eax/cdq比xor edx,edx. 节省 1 个字节
xor ecx, ecx/mul ecx将 4 个字节中的三个寄存器置零(ECX 和 EDX:EAX)- 实际上,
int 0x80设置的最佳选择可能是
xor ecx,ecx(2B) /lea eax, [ecx+5](3B) /cdq(1B),并且根本不要使用mov al,5。您可以使用push imm8/pop将任意小常量放入寄存器中,只有 3 个字节,或者如果您有另一个具有已知值的寄存器,则使用一个lea。
脚注 1:要求您的 assembler 在 16 位模式之外编码 jmp rel16:
NASM(在 16、32 或 64 位模式下)
addr:
; times 256 db 0 ; padding to make it jump farther.
o16 jmp near addr ; force 16-bit operand-size and near (not short) displacement
AT&T 语法:
objdump -d 将其解码为 jmpw:对于上述 NASM 源 assembled 为 32 位静态 ELF 二进制文件,objdump -drwC foo 显示EIP截断:
0000000000400080 <addr>:
400080: 66 e9 fc ff jmpw 80 <addr-0x400000>
但 GAS 似乎认为助记符仅用于间接跳转(意味着 16 位加载)。 (foo.S:5: Warning: indirect jmp without '*'),而这个 GAS 来源:.org 1024; addr: .zero 128; jmpw addr 给你
480: 66 ff 25 00 04 00 00 jmpw *0x400 483: R_386_32 .text
参见 jmpl。在 16 位模式下汇编时,普通 jmp 0x400 将是到该绝对偏移量的相对跳转。
在极不可能的情况下,您需要在其他模式下使用 jmp rel16,您必须自己 assemble 使用 .byte 和 .short。我认为甚至没有办法让 assembler 为您发出它。
脚注 2:您不能在 32/64 位代码中使用 jmp rel16,除非您正在攻击映射在虚拟的低 64kiB 中的某些代码地址 space,例如也许 运行 在 DOSEMU 或 WINE 下。 Linux 对 /proc/sys/vm/mmap_min_addr 的默认设置是 65536,而不是 0,所以通常没有什么可以 mmap 那个内存,即使你想,或者大概通过 ELF 在那个地址加载它的文本段程序加载器。 (因此 NULL 指针使用偏移段错误取消引用,而不是静默访问内存)。
您可以确定您的 CTF 目标不会碰巧是 运行 EIP = IP,并且将 EIP 截断为 IP 只会出现段错误。