MIPS下shellcode编写

Posted Neil-Yale

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MIPS下shellcode编写相关的知识,希望对你有一定的参考价值。

这次实验我们来学习mips下shellcode的编写。
我们知道linux下实现系统调用时利用了x86体系结构下的软件中断,也就是调用int 0 x 80 这 条 指 令 , 这 是 在 x 86 下 编 写 s h e l l c o d e 的 办 法 。 前 面 的 知 识 中 我 们 学 习 到 m i p s 中 没 有 这 个 中 断 , 我 们 用 以 代 替 的 是 使 用 s y s c a l l 指 令 进 行 系 统 调 用 。 S y s c a l l 的 调 用 方 法 为 : 在 调 用 之 前 , 0x80这条指令,这是在x86下编写shellcode的办法。前面的知识中我们学习到mips中没有这个中断,我们用以代替的是使用syscall指令进行系统调用。 Syscall的调用方法为:在调用之前, 0x80x86shellcodemips使syscallSyscallv0保存调用号,然后按照约定构造系统调用参数。Syscall调用的伪代码为syscall( v 0 , v0, v0,a0, a 1 , a1, a1,a2…)
那么问题来了,有各种各样的系统调用,那它们的系统调用号怎么确定呢?
可以看这里
https://github.com/spotify/linux/blob/master/arch/mips/include/asm/unistd.h
在这里可以看到
在这里插入图片描述

这里定义的是32位环境系统调用吗,4000-4999共999个可用。可以看到exit的系统调用号为4000+1,即4001,同理fork的系统调用号为4002.write为4004等等。后面我们编写shellcode时所需的系统调用号都可以在这里找到。
简单写一个打印出ABC的c程序
在这里插入图片描述

编译
在这里插入图片描述

然后执行
在这里插入图片描述

没问题。

接下来看看如何通过汇编实现相同的功能呢。代码在write.s
在这里插入图片描述

接着是将(ABC\\n)即0x4142430a写入$t6
sw t 0 , 0 ( t0,0( t0,0(sp)是将(ABC\\n)写入堆栈
li $a0,1 write的第一个参数为stdout,文件描述符为1,需要用$0传递
addiu a 1 , a1, a1,sp,0 是作用write的第二个参数,将字符串的首地址写入$a1
li a 2 , 5 是 向 a2,5是向 a2,5a2写输出字符串长度5
由前面的unistd.h知,write的系统调用号为4004
最后执行系统调用
然后编译、链接
在这里插入图片描述

尝试执行
在这里插入图片描述

有异常,不过关系不大,这次由于执行write后程序没有退出继续执行下面的非法指令造成的。
由于我们接下来写的汇编文件都需要经过编译、链接两步,我们可以将其写成一个脚本,方便后续的实验。文件内容如下:
在这里插入图片描述

shellcode已经用汇编语言写好了,而且经过测试时可以执行的,然后怎么把它提取成机器码呢?
可以使用readelf
在这里插入图片描述

可以看到程序偏移、大小等,需要注意,这里的off,size都是16进制,比如30,表示的是48(十进制)字节大小
我们可以使用ida手工提取出来
在这里插入图片描述

切换到hex view即可看到上图所示
上图圈起来的就是48字节的机器码
4字节一组进行提取
“\\x27\\xbd\\xff\\xe0”
“\\x3c\\x0e\\x41\\x42”
“\\x35\\xce\\x43\\x0a”
“\\xaf\\xae\\x00\\x00”
“\\x24\\x04\\x00\\x01”
“\\x27\\xa5\\x00\\x00”
“\\x24\\x06\\x00\\x05”
“\\x24\\x02\\x0f\\xa4”
“\\x00\\x00\\x00\\x0c”
“\\x00\\x00\\x00\\x00”
“\\x00\\x00\\x00\\x00”
“\\x00\\x00\\x00\\x00”
最后三行的\\x00其实是无意义的,有没有都可以,从第一行\\x27\\xbd\\xff\\xe0开始分别对应着相应的汇编
addiu s p , sp, sp,sp,-32
lui $t6,0x4142
ori t 6 , t6, t6,t6,0x430a
sw t 6 , 0 ( t6,0( t6,0(sp)
li $a0,1
addiu a 1 , a1, a1,sp,0
li $a2,5
li $v0,4004
syscall

然后使用下面的框架template.c来测试提取出的shellcode是否有效
在这里插入图片描述

把我们提取出的shellcode放在上图箭头指向的地方
完成后如下所示
在这里插入图片描述

编译后执行的效果如下
在这里插入图片描述

这就说明提取出的shellcode是可用的
不过每次都手工从ida中提取太慢了,这里提供一个脚本extract.py
可以很快的提取出shellcode
用法如下所示,还是以从write1提取为例
在这里插入图片描述

这就是本次实验的全部内容

参考:
官方mips系统调用的文档https://www.linux-mips.org/wiki/Syscall
2.《揭秘家用路由器0day漏洞挖掘技术》

以上是关于MIPS下shellcode编写的主要内容,如果未能解决你的问题,请参考以下文章

Windows 下 ShellCode 编写初步

Shellcode的编写

Window中的shellcode编写框架(入门篇)

《黑客攻防-系统实战》--shellcode

《黑客攻防-系统实战》--shellcode

shellcode在C环境下的调用