Edinho Sousa 3 Posted November 24, 2020 Share Posted November 24, 2020 (edited) Boa tarde! nos meus estudos descobrir algo interessante, um programa em assembly como: global _main: _main: mov eax, 10 add ecx, 10 add ebx, 20 compilando: nasm -f win32 tes.asm -o tes.o e usando o objdump do gcc temos o seguite resutado tes.o: file format pe-i386 Disassembly of section .text: 00000000 <.text>: 0: b8 0a 00 00 00 mov $0xa,%eax 5: 83 c1 0a add $0xa,%ecx 8: 83 c3 14 add $0x14,%ebx concluimos que 83 é o opcode de add, c1 e c3 são os registradores ecx, ebx e 0a e 14 sao os valores 10 e 20 em hexadecimal. minha duvida é tem como atrves do codigo em C, colocar esses opcodes para o precessador execultar? Edited November 24, 2020 by Edinho Sousa esqueci uma parte 0_0 Quote Link to post Share on other sites
Administradores Fernando Mercês 0 Posted November 24, 2020 Administradores Share Posted November 24, 2020 Oi @Edinho Sousa. É exatamente como se costuma testar um shellcode em C. Tudo que você precisa é: 1. Colocar os opcodes que você quer num buffer. 2. Criar um ponteiro de função que aponte para este buffer. 3. Chamar esta função através do ponteiro criado no passo anterior. Tutoriais sobre shellcode / exploração de binários vão te mostrar isso. Achei um gist aqui: https://gist.github.com/securitytube/5318838 Abraço! Quote Link to post Share on other sites
Edinho Sousa 3 Posted November 24, 2020 Author Share Posted November 24, 2020 @Fernando Mercês obrigado denovo 😃 Quote Link to post Share on other sites
fredericopissarra 270 Posted November 24, 2020 Share Posted November 24, 2020 Infelizmente a conclusão sobre os opcodes está errada. O formato de opcodes de processadores Intel (x86) é mais complicada: Um opcode pode ter até 3 btyes de tamanho, e pode ser precedido de um ou mais prefixos. Seguido de mais 1 byte contendo a lista de argumentos (ModR/M - registro ou memória), seguido do byte SIB - ainda temos o displacement (offset) e um possível valor imediato. Consulte o volume 2 do Manual de desenvolvimento de software da Intel para ver os opcodes de todas as instruções (https://software.intel.com/content/www/us/en/develop/articles/intel-sdm.html). Quote Link to post Share on other sites
fredericopissarra 270 Posted November 24, 2020 Share Posted November 24, 2020 Outro problema a ser enfrentado... Um "shellcode" que funcione no modo i386 (32 bits) geralmente não funciona no modo x86-64 (64 bits)... Por exemplo, os registradores seletores de segmentos não são usados no modo x86-64.... O modo de endereçamento relativo a RIP não está disponível no modo i386 (32 bits), etc... Quote Link to post Share on other sites
fredericopissarra 270 Posted November 24, 2020 Share Posted November 24, 2020 OUTRO problema... Simplesmente colocar os bytes dos opcodes num buffer é problemático. Sistemas modernos usam paginação para gerenciar memória e páginas podem ter o flag NX (not executable) habilitado. É o caso do segmento de dados. O programa abaixo simplesmnte causará um "segmentation fault" porque o segmento de dados não permite execução de código (mesmo que o "shellcode" esteja correto e respeite a convenção de chamada): #include <stdio.h> char *shellcode = "\x8d\x04\x7f" // lea eax,[rdi+rdi*2] "\xc3"; // ret int main( void ) { int (*f)(int) = (int (*)(int))shellcode; int y; y = f(3); printf( "%d\n", y ); } Compilando e executando: $ cc -o test test.c $ ./test Segmentation fault (code dumped) 1 Quote Link to post Share on other sites
Administradores Fernando Mercês 0 Posted November 25, 2020 Administradores Share Posted November 25, 2020 @fredericopissarra, O problema é a stack não executável, mas este esquema é só para testes. Normalmente é compilado com as opções -fno-stack-protector e -z execstack do gcc para testar o shellcode. ;-) Abraço. Quote Link to post Share on other sites
fredericopissarra 270 Posted November 25, 2020 Share Posted November 25, 2020 20 minutos atrás, Fernando Mercês disse: @fredericopissarra, O problema é a stack não executável, mas este esquema é só para testes. Normalmente é compilado com as opções -fno-stack-protector e -z execstack do gcc para testar o shellcode. 😉 Abraço. Fernando, o "shellcode" ai não está na pilha. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.