5

在 shellcode 教程中,我看到了以下示例:

 main(){

    exit(0);

 }

这个想法是创建一个 exit()-系统调用。所以,然后他们生产程序集:

  Section .text

      global _start

 _start:
      mov ebx, 0
      mov eax, 1
      int 0x80

我明白这一点。0 是我们存储在 ebx 中的 exit() 的参数,1 是退出系统调用的编号,使用 0x80 我们将 CPU 更改为内核模式并执行系统调用。

之后,他们让生成的操作码是:

    bb 00 00 00 00
    b8 01 00 00 00
    cd 80

然后,他们将其翻译成 C 语言,如下所示:

 char example[] = "\xbb\x00\x00\x00\x00"
                  "\xb8\x01\x00\x00\x00"
                  "\xcd\x80"

  int main(){

  int *pointer; 
  pointer = (int *)&pointer+2;
  (*pointer) = (int)example;
  }

所以,我的理解是他们将操作码放在一个 char 数组中,但我不明白他们在 main() 方法中做了什么。第一行没问题。但是他们想用第 2 行和第 3 行来表达什么?

此致,

4

1 回答 1

1

该代码获取堆栈变量的地址,然后是其上方两个指针大小的地址。然后,该位置的任何内容都会被 shellcode 的地址覆盖。

如果覆盖的位置是函数的返回地址,那么当函数退出时,shellcode 将被执行。实验和反汇编可以帮助计算从局部变量到返回地址的正确偏移量。

通常,实际的利用会涉及堆栈缓冲区溢出(即,一个函数不检查其放入堆栈缓冲区的长度,允许它“溢出”到返回地址):缓冲区可能被填充shellcode 和“溢出”部分将包含缓冲区的地址;这样,当函数退出时,它将在缓冲区内执行 shellcode。

于 2014-09-27T15:35:04.627 回答