linux - linux x86 tcp bind shellcode(GAS语法)bind()不返回零

我试图在Linuxx86体系结构上创建一个tcp绑定外壳代码，并使用GAS语法。
我可以成功地调用SOCKET call（SYS_SOCKET）并获得一个文件描述符（不为空）
现在我试图使用这个fd并进行SYS_BIND调用，我似乎从BIND中得到了一个不为零的返回值（应该是）。我已经调试过了。一切都在堆栈上，但是。。。
下面是注释代码：

.text

.globl _start

_start:

    xorl %eax, %eax
    xorl %ebx, %ebx
    movb $1, %bl
    subl $30, %esp
    movl %esp, %esi

# array of arguments for socketcall->SYS_SOCKET:

    movb $2, 8(%esi)
    movb $1, 12(%esi)
    movl %eax, 16(%esi)

# load the address of that array in ecx:

    leal 8(%esi), %ecx
    movb $102, %al

    int $0x80

    jz exit0 # exit(0) if eax(return value)==0
# ---------------------------------------------------------------------

bind:

    movl %eax, %edx       # save the file descriptor
    xorl %eax, %eax
    inc %bl               # bl == 2 -> bind

    movw $2, 8(%esi)      # sa_family == AF_INET
    movw $2222, 10(%esi)  # sin_port == 2222

    movl %eax, 12(%esi)   # INADDR_ANY
    movl %eax, 16(%esi)   # sin_zero
    movl %eax, 20(%esi)   # sin_zero

    addl $16, %eax
    pushl %eax            # size of struct sockaddr(16) as the third argument of bind,pushed first
    leal 8(%esi), %ecx    # leal the address of argument array into ecx
    pushl %ecx            # push it onto the stack
    pushl %edx            # file descriptor (first argument)
    movb $102, %al        # socketcall

    int $0x80

    jnz exit1 # exit(1) if bind() return value is not zero (zero flag is not set)

# ---------------------------------------------------------------------------

exit0:
    xorl %eax, %eax
    inc %eax
    xorl %ebx, %ebx

    int $0x80

# --------------------------------------------------------------------------

exit1:
    xorl %eax, %eax
    inc %eax
    xorl %ebx, %ebx
    inc %ebx

    int $0x80

编制：

as -ggstabs -o sys_socket.o sys_socket.s

链接：

ld -o sys_socket sys_socket.o

上一次内核中断（GDB）之前的堆栈和寄存器：

(gdb) x/8xw $esp
0xbffff5d6: 0x00000007  0xbffff5ea  0x00000010  0x00000000
0xbffff5e6: 0x00000000  0x08ae0002  0x00000000  0x00000000
(gdb) x/1xb 0xbffff5ea
0xbffff5ea: 0x02
(gdb) i r
eax            0xfffffff7   -9
ecx            0xbffff5ea   -1073744406
edx            0x7  7
ebx            0x2  2
esp            0xbffff5d6   0xbffff5d6
ebp            0x0  0x0
esi            0xbffff5e2   -1073744414
edi            0x0  0
eip            0x8048099    0x8048099 <bind+40>
eflags         0x202    [ IF ]
cs             0x73 115
ss             0x7b 123
ds             0x7b 123
es             0x7b 123
fs             0x0  0
gs             0x0  0
(gdb)

那么问题到底在哪里，如何解决呢？
提前谢谢。

最佳答案

在堆栈上组装参数数组，但需要传递系统调用使用的地址。你应该稍微清理一下你的代码，很难理解你在做什么。作为一个快速的技巧，movl %esp, %ecx在int $0x80之前似乎是有效的，尽管不确定您是否需要这样做：

bind(3, {sa_family=AF_INET, sin_port=htons(44552), sin_addr=inet_addr("0.0.0.0")}, 16) = 0

还要注意jz和jnz不会自动比较eax和0，也就是说，您不能在int $0x80之后直接使用它们。他们只是在测试零旗。您必须添加代码来根据自己设置它，例如eax。
此外，您应该保持堆栈指针4字节对齐。testl %eax, %eax是个非常糟糕的主意。
这次通话，你需要记住两件事。一，参数数组。您需要在subl $30, %esp中传递一个指针。第二个参数本身必须是指向ecx结构的指针。
在sockaddr指向的内存中构建sockaddr。您的注释错误地指出这是参数数组，但事实并非如此。您随后通过堆栈上的3esi+8指令构建参数数组。因此，参数数组的地址是push，而esp处的值（第二个参数）指向esp+4，这是您的sockaddr。您错误地使用了esi+8（前8个字节在这里没有使用），但至少它是一致的，并且您分配了足够的内存，所以它碰巧工作。
还请注意，端口号应按网络（大端）字节顺序排列，这就是为什么您的esi+8（2222）将被解释为=0x08AE（44552）。

关于linux - linux x86 tcp bind shellcode(GAS语法)bind()不返回零，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/27626828/