我想使用自己的shellcode进行缓冲区溢出攻击,因此我已经用C语言编写了一个脚本[shellcode script]。

我使用了以下命令:

gcc -c file.c -o file.o
objdump -sS -D file.o


root@kali:~/shellcode# cat file.c
#include<stdio.h>

int main()
{

    printf("Hi");

}


上面的代码是'file.c'。

我希望'objdump -sS -D file.o'的输出没有空字节,但是实际上这是键入该命令后的输出:


file.o:     file format elf64-x86-64

Contents of section .text:
 0000 554889e5 488d3d00 000000b8 00000000  UH..H.=.........
 0010 e8000000 00b80000 00005dc3           ..........].
Contents of section .rodata:
 0000 486900                               Hi.
Contents of section .comment:
 0000 00474343 3a202844 65626961 6e20382e  .GCC: (Debian 8.
 0010 332e302d 36292038 2e332e30 00        3.0-6) 8.3.0.
Contents of section .eh_frame:
 0000 14000000 00000000 017a5200 01781001  .........zR..x..
 0010 1b0c0708 90010000 1c000000 1c000000  ................
 0020 00000000 1c000000 00410e10 8602430d  .........A....C.
 0030 06570c07 08000000                    .W......

Disassembly of section .text:

0000000000000000 <main>:
   0:   55                      push   %rbp
   1:   48 89 e5                mov    %rsp,%rbp
   4:   48 8d 3d 00 00 00 00    lea    0x0(%rip),%rdi        # b <main+0xb>
   b:   b8 00 00 00 00          mov    $0x0,%eax
  10:   e8 00 00 00 00          callq  15 <main+0x15>
  15:   b8 00 00 00 00          mov    $0x0,%eax
  1a:   5d                      pop    %rbp
  1b:   c3                      retq

Disassembly of section .rodata:

0000000000000000 <.rodata>:
   0:   48                      rex.W
   1:   69                      .byte 0x69
    ...

Disassembly of section .comment:

0000000000000000 <.comment>:
   0:   00 47 43                add    %al,0x43(%rdi)
   3:   43 3a 20                rex.XB cmp (%r8),%spl
   6:   28 44 65 62             sub    %al,0x62(%rbp,%riz,2)
   a:   69 61 6e 20 38 2e 33    imul   $0x332e3820,0x6e(%rcx),%esp
  11:   2e 30 2d 36 29 20 38    xor    %ch,%cs:0x38202936(%rip)        # 3820294e <main+0x3820294e>
  18:   2e 33 2e                xor    %cs:(%rsi),%ebp
  1b:   30 00                   xor    %al,(%rax)

Disassembly of section .eh_frame:

0000000000000000 <.eh_frame>:
   0:   14 00                   adc    $0x0,%al
   2:   00 00                   add    %al,(%rax)
   4:   00 00                   add    %al,(%rax)
   6:   00 00                   add    %al,(%rax)
   8:   01 7a 52                add    %edi,0x52(%rdx)
   b:   00 01                   add    %al,(%rcx)
   d:   78 10                   js     1f <.eh_frame+0x1f>
   f:   01 1b                   add    %ebx,(%rbx)
  11:   0c 07                   or     $0x7,%al
  13:   08 90 01 00 00 1c       or     %dl,0x1c000001(%rax)
  19:   00 00                   add    %al,(%rax)
  1b:   00 1c 00                add    %bl,(%rax,%rax,1)
  1e:   00 00                   add    %al,(%rax)
  20:   00 00                   add    %al,(%rax)
  22:   00 00                   add    %al,(%rax)
  24:   1c 00                   sbb    $0x0,%al
  26:   00 00                   add    %al,(%rax)
  28:   00 41 0e                add    %al,0xe(%rcx)
  2b:   10 86 02 43 0d 06       adc    %al,0x60d4302(%rsi)
  31:   57                      push   %rdi
  32:   0c 07                   or     $0x7,%al
  34:   08 00                   or     %al,(%rax)
    ...


有人可以解释一下我如何从该程序中删除空字节,或者在可能的情况下将输出写入汇编,以便我可以学习更改内容以及如何进行更改。

P.S - I know mov $0x0, $rsp can be done by xor $rsp, $rsp but I don't know about movq, lea, add, sub, etc.


谢谢您的宝贵时间。

最佳答案

仅当使用依赖于尾随\x00的函数(例如\x00)时,才需要从shellcode中删除nullbytes(strcpy):

char * strcpy ( char * destination, const char * source );


它将源指向的C字符串复制到目标指向的数组中,包括终止的空字符(并在该点停止)。

但是,strncpy将源的前num个字符复制到目标,并用零填充,直到将num个字符写入目标为止。

char * strncpy ( char * destination, const char * source, size_t num );


这意味着,如果将shellcode的大小/长度传递给参数num,它将把所有字符复制到缓冲区中,而无需删除空字节,因为它们不会终止从源到目标的复制。

获取shellcode的长度:

#include <stdio.h>
#include <string.h>

int main()
{
    char* evil="\x90\x83\xc8\xff\xf7\xd0\x50";
    printf("%d",strlen(evil));
}


将返回:

7

关于c - 如何从目标代码中删除空字节?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/57542464/

10-10 14:56