在揭秘Execve Shellcode中,解释了编写execve shellcode的方法:
#include<stdio.h>
#include<string.h>
unsigned char code[] =
"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
main()
{
printf("Shellcode Length: %d\n", strlen(code));
int (*ret)() = (int(*)())code;
ret();
}
int (*ret)() = (int(*)())code;这行代码是做什么的?
int (*ret)() = (int(*)())code;
~~~~~~~~~~~~ ~~~~~~~~~~~~~~
1 2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3
它将ret定义为一个指向无参数()且返回int的函数指针。因此,这些()表示函数参数的定义。
它用于将code强制转换为一个指向无参数()且返回int的函数指针。
将code强制转换为函数并将其赋值给ret。之后可以调用ret();。
unsigned char code[] = "\x31\xc0\x50\x68\x6e\x2f\...
它是以十六进制值表示的机器指令序列。它将被作为函数注入到代码中。
ret()中调用了“load”,请搜索“函数指针”。 - David Ranieri (*(void(*)())shellcode)()
==
p = (void(*)()) shellcode;
(*p)();
这个函数指针部分能不能以更简单的形式重写?
我不知道你是否认为这更简单,但也许可以这样:
#include <stdio.h>
#include <string.h>
unsigned char code[] =
"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
typedef int(*shellcode_t)();
int main(int argc, char ** argv) {
printf("Shellcode Length: %ld\n", strlen(code));
shellcode_t ret = (shellcode_t)code;
ret();
}
int行声明了ret()函数,通过指向code[]数组来实现;换句话说,该函数被映射到code[]二进制指令。
\x结构是在字符串中嵌入十六进制字符的安全方式。例如,您可以将“\x31”替换为“1”,因为“1”的字符代码为49,或十六进制31。
ret是一个函数指针(https://en.wikipedia.org/wiki/Function_pointer),指向一个具有未定义数量参数(`()`)并返回`int`的函数。`(int(*) () )它将code函数地址转换为函数指针地址,该函数指针接受未定义数量的参数,这就是ret`声明的方式。 - Jack
nop(0x90)会导致EXC_BAD_ACCESS,因为内核不会运行来自.bss、.text或堆的任何代码,因为这些区域引用了带有第63位设置(NX)的PAE/长模式页表条目。在没有像PAX/ExecShield这样的东西的非PAE/非长模式操作系统上可能会起作用,比如DOS。写入代码区域也不起作用(通过一堆C内联asmnop进行自变异)。最好制作一个程序,为给定的平台生成最小的可执行文件并运行它。 - user246672