當我們在撰寫匯編時,可能有的時候你需要看看編譯器中到底發生了什么,如果你正在排除shellcode出現的問題,你那么更需要耐心地、慎重地運行指令,
本文將探討如何在x86_64的Ubuntu系統上模擬32位ARM shellcode,由于大多數筆記本電腦和作業站還沒有運行ARM,我們這里需要一種其他方法在系統上執行非原生的指令,另外,原始的shellcode二進制檔案并不是可執行檔案格式,并不能被大多數工具所運行,所以我們需要一種其他的方法來執行這些檔案,
在這里我們使用的是Radare2, Radare2是一個控制臺驅動的框架,集成了一套簡便易用的二進制分析工具,你可以把這些工具撰寫成腳本,或者使用互動式的命令列界面,要在Ubuntu上設定這個,我們只需要幾個簡單的命令,
mkdir ~/github
cd ~/github
git clone https://github.com/radareorg/radare2.git
cd radare2
sys/install.sh如果你已經安裝了radare2,請確保你目前運行的是最新版本,這個工具一直在積極維護并定期進行更新,另外,在2022年6月的版本之前有一些錯誤,使得此次試驗可能無法更好的完成,
cd ~/github/radare2
git pull
sys/install.sh
r2 -V為了復制我們將在本文中使用的shellcode二進制檔案,你可以在bash提示符下運行以下內容:
nemo@hammerhead:~$ echo -n -e '\x01\x30\x8f\xe2\x13\xff\x2f\xe1\x78\x46\x0c\x30\xc0\x46\x01\x90\x49\x1a\x92\x1a\x0b\x27\x01\xdf\x2f\x62\x69\x6e\x2f\x73\x68\x00' > shellcode-696.bin
?
nemo@hammerhead:~$ md5sum shellcode-696.bin
42ba1c77446594cac3508b940926575d shellcode-696.binESIL簡介
可評估字串中間語言(ESIL)是radare2使用的一種從硬體中抽象出來的指令,可以在不考慮底層硬體的情況下,來 "執行" 機器指令,這對于在仿真環境中執行非本地的匯編指令是非常理想的,
為了使用ESIL來執行我們的shellcode,我們需要做以下作業:
-
加載我們的shellcode二進制檔案
-
配置radare2,使其知道如何正確解釋我們的shellcode二進制檔案
-
初始化ESIL
-
根據需要設定暫存器
-
通過我們的匯編指令來驗證其功能
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
用 ESIL 執行ARM shellcode
-
加載我們的shellcode二進制檔案
當我們對shellcode二進制檔案運行 "file"命令時,我們看到Linux不能確定其檔案格式,同樣地,radare2也不能確定它是什么,
nemo@hammerhead:~/labs/shellcode/asm$ file shellcode-696.bin
shellcode-696.bin: data由于它只是一個二進制的檔案,我們需要把它加載到radare2中后指定我們要看的是什么,在這里,我們修改了一些軟體的分析設定,以便我們能夠正確地分析我們的ARM檔案:
nemo@hammerhead:~/labs/shellcode/asm$ r2 shellcode-696.bin
[0x00000000]> e anal.arch = arm
[0x00000000]> e asm.arch = arm
[0x00000000]> e asm.bits = 32
[0x00000000]> e anal.armthumb=true-
配置radare2,使其知道如何正確運行我們的shellcode二進制檔案
接下來我們要指定哪些指令是ARM,哪些是THUMB,我發現要做到這一點,就需要定義指令型別改變的函式,在這個特定的shellcode中,它會在ARM和THUMB指令之間進行切換,
[0x00000000]> af
[0x00000000]> pdf
┌ 8: fcn.00000000 ();
│ rg: 0 (vars 0, args 0)
│ bp: 0 (vars 0, args 0)
│ sp: 0 (vars 0, args 0)
│ 0x00000000 01308fe2 add r3, pc, 1
└ 0x00000004 13ff2fe1 bx r3在這個radare2命令的片段中,我正在分析一個地址為0的函式,在這里并不存在一個真正的函式,但是我們這樣做是為了讓我們的"函式"可以指定為ARM或者THUMB,"pdf "命令只是列印了函式的反匯編指令,這其中包含了add和bx指令,
<p>[0x00000000]> s 8
[0x00000008]> af
[0x00000008]> pdf
┌ 24: fcn.00000008 (int32_t arg1, int32_t arg2);
│ ; arg int32_t arg1 @ r0
│ ; arg int32_t arg2 @ r1
│ 0x00000008 78460c30 andlo r4, ip, r8, ror r6
│ 0x0000000c c0460190 andls r4, r1, r0, asr 13 ; arg2
│ ┌─< 0x00000010 491a921a bne 0xfe48693c
│ │ 0x00000014 0b2701df svcle 0x1270b
│ │ 0x00000018 2f62696e cdpvs p2, 6, c6, c9, c15, 1
└ │ 0x0000001c 2f736800 rsbeq r7, r8, pc, lsr 6
[0x00000008]> afB 16</p>從地址8開始的下一組指令是THUMB指令,"s 8 " 指令會在檔案中尋找8個位元組,并跳轉到一個我們希望到達的地方,然后定義下一個 "函式",用 "af "創建函式后,當我們試圖用 "pdf "顯示它時,它看起來有點古怪,這是因為工具仍然會將這些指令解釋為ARM,
我們可以通過設定位元數為16來指定這個 "函式 " 是THUMB,也就是將asm.bits設定為16,不過只針對這個函式生效,在一個正常的ARM二進制檔案中,radare2會嘗試自動進行這種區分,但是由于我們只有這一串shellcode指令,我們仍然需要進行手動區分,
注意我們可以刪掉前兩條指令并使用全THUMB的shellcode,如果我們這樣做,我們就可以在打開檔案時設定 "e asm.bits=16",而不必再重新定義函式,只不過,如果需要的話,你可以區分這兩種指令型別,
Radare2還有一個更方便的方法,就是用 "izz "命令顯示二進制檔案中的所有字串,
> izz
[Strings]
nth paddr vaddr len size section type string
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
0 0x00000008 0x00000008 4 5 ascii xF\f0
1 0x00000018 0x00000018 7 8 ascii /bin/sh</p>現在我們已經能夠正確的加載我們的shellcode二進制檔案了,
-
初始化ESIL
如前所述,radare2內置了很多命令,在命令前綴中加入"?" 可以列出所有相關的命令,"ae? " 命令將列出與ESIL和仿真相關的命令,
[0x00000000]> ae?
Usage: ae[idesr?] [arg] ESIL code emulation
| ae [expr] evaluate ESIL expression
| ae? show this help
| ae?? show ESIL help
| aea[f] [count] analyse n esil instructions accesses (regs, mem..)
| aeA[f] [count] analyse n bytes for their esil accesses (regs, mem..)
| aeb ([addr]) emulate block in current or given address
| aeC[arg0 arg1..] @ addr appcall in esil
| aec[?] continue until ^C
| aef [addr] emulate function
| aefa [addr] emulate function to find out args in given or current offset
| aeg [expr] esil data flow graph
| aegf [expr] [register] esil data flow graph filter
| aei[?] initialize ESIL VM state (aei- to deinitialize)
| aek[?] [query] perform sdb query on ESIL.info
| aeL list ESIL plugins
| aep[?] [addr] manage esil pin hooks (see “e cmd.esil.pin”)
| aepc [addr] change esil PC to this address
| aer[?] [..] handle ESIL registers like “ar” or “dr” does
| aes[?] perform emulated debugger step
| aets[?] esil Trace session
| aev [esil] visual esil debugger for the given expression or current instruction
| aex [hex] evaluate opcode expression在這里,我們首先需要用 "aei "命令來初始化ESIL,之后,我們需要初始化一個堆疊,Radare2會自動選擇一個堆疊的位置,不過這也可以使用"aeim "命令引數來指定地址 ,
[0x00000008]> aei
[0x00000008]> aeim-
根據需要設定暫存器
由于我們的shellcode指令是從0開始的,我們需要用 "aepc 0 "命令將我們的程式計數器(PC)設定為0,如果我們想在偏移量0以外的位置開始執行,我們可以用 "aepc <address>"來設定起始地址,
[0x00000008]> aepc 0我們的shellcode中的一條指令("subs r1, r1, r1")會將r1設定為0.由于這個暫存器默認已經為0,讓我們將它設定為0xffff,這樣我們就可以看到當我們在shellcode中步進時所發生的變化,要做到這一點,我們需要使用 "aer "命令,
[0x00000008]> aer r1 = 0xffff-
通過我們的設定來驗證其功能
好了,現在我們已經設定好了,我們可以切換到可視化模式,進入到除錯器面板,在可視模式下有多個選項(面板),所以我們需要敲兩次 "p "來進入正確的面板,如果你想在任何時候退出可視化模式,只需按下escape鍵,你也可以按"?"來查看可用的命令串列,
[0x00000008]> V
(hit “p” twice to get to the debugger panel)然后你會注意到靠近頂部有一組暫存器,它看起來會像這樣:
通常在控制臺輸入的任何r2命令也可以在視覺模式下輸入,例如,如果我們想列印偏移量為0x18的字串,我們需要執行以下命令:
# Hit “:” while in visual mode.
?
> ps @0x18
/bin/sh
> # Hit enter on a blank line to return to visual mode.現在,我們可以通過使用"s "鍵來執行匯編指令,當你在瀏覽時,你會注意到頂部的暫存器與堆疊資料會一起被更新(在第一張圖片中從0x00178000開始),你還會注意到,下一條要執行的指令(又稱PC)的地址在匯編指令中被突出顯示(第一幅圖中的0x00000010),
注意,上面的圖片顯示r1暫存器持有0x0000ffff,還注意到下一條指令將會被執行,即 "subs r1, r1, r1",這條指令將會從自身減去r1,并將其存回r1,本質上是使其變為0,
再次按 "s "鍵,進入下一條指令,
現在一切都準備好了,可以通過 "svc 1 "指令通過守護行程呼叫了,我們現在正在進行 "execve "呼叫,所以我們應該在r7暫存器中設定0xb,r0中的第一個引數應該是一個指向我們要執行的二進制檔案路徑的指標,我們可以發現r0持有0x18,我們可以通過運行以下命令來驗證它的指向:
# Hit “:” while at the “svc 1” instruction in visual mode.
?
> ps @r0
/bin/sh
>現在我們沒有向"/bin/sh "傳遞任何引數,也沒有設定任何環境變數,因此我們可以發現r1和r2都被設定為0,
由于我們不是在ARM系統上運行,所以我們不能正確地使用守護行程呼叫("svc 1")指令,當你在測驗更復雜的shellcode時,請牢記這一點,
總結
無論您是對自定義的shellcode進行故障排除,還是驗證您所看到的靜態內容,有時您只需要看看指令到底在做什么,Radare2允許您從一個未知的檔案格式(如shellcode二進制檔案或韌體鏡像)加載非本地匯編檔案,并一步一步地執行指令,
更多網安技能的在線實操練習,請點擊這里>>
合天智匯:合天網路靶場、網安實戰虛擬環境
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/551795.html
標籤:其他
下一篇:返回列表