MIPS下shellcode编写

Posted 2021-06-12 Neil-Yale

这次实验我们来学习mips下shellcode的编写。
我们知道linux下实现系统调用时利用了x86体系结构下的软件中断，也就是调用int $0x80这条指令，这是在x86下编写shellcode的办法。前面的知识中我们学习到mips中没有这个中断，我们用以代替的是使用syscall指令进行系统调用。Syscall的调用方法为：在调用之前，$v0保存调用号，然后按照约定构造系统调用参数。Syscall调用的伪代码为syscall($v0,$a0,$a1,$a2…)
那么问题来了，有各种各样的系统调用，那它们的系统调用号怎么确定呢？
可以看这里
https://github.com/spotify/linux/blob/master/arch/mips/include/asm/unistd.h
在这里可以看到

这里定义的是32位环境系统调用吗，4000-4999共999个可用。可以看到exit的系统调用号为4000+1,即4001，同理fork的系统调用号为4002.write为4004等等。后面我们编写shellcode时所需的系统调用号都可以在这里找到。
简单写一个打印出ABC的c程序

编译

然后执行

没问题。
。

接下来看看如何通过汇编实现相同的功能呢。代码在write.s

接着是将（ABC\\n）即0x4142430a写入$t6
sw $t0,0($sp)是将（ABC\\n）写入堆栈
li $a0,1 write的第一个参数为stdout，文件描述符为1，需要用$0传递
addiu $a1,$sp,0 是作用write的第二个参数，将字符串的首地址写入$a1
li $a2,5是向$a2写输出字符串长度5
由前面的unistd.h知，write的系统调用号为4004
最后执行系统调用
然后编译、链接

尝试执行

有异常，不过关系不大，这次由于执行write后程序没有退出继续执行下面的非法指令造成的。
由于我们接下来写的汇编文件都需要经过编译、链接两步，我们可以将其写成一个脚本，方便后续的实验。文件内容如下：

shellcode已经用汇编语言写好了，而且经过测试时可以执行的，然后怎么把它提取成机器码呢？
可以使用readelf

可以看到程序偏移、大小等，需要注意，这里的off,size都是16进制，比如30，表示的是48（十进制）字节大小
我们可以使用ida手工提取出来

切换到hex view即可看到上图所示
上图圈起来的就是48字节的机器码
4字节一组进行提取
“\\x27\\xbd\\xff\\xe0”
“\\x3c\\x0e\\x41\\x42”
“\\x35\\xce\\x43\\x0a”
“\\xaf\\xae\\x00\\x00”
“\\x24\\x04\\x00\\x01”
“\\x27\\xa5\\x00\\x00”
“\\x24\\x06\\x00\\x05”
“\\x24\\x02\\x0f\\xa4”
“\\x00\\x00\\x00\\x0c”
“\\x00\\x00\\x00\\x00”
“\\x00\\x00\\x00\\x00”
“\\x00\\x00\\x00\\x00”
最后三行的\\x00其实是无意义的，有没有都可以，从第一行\\x27\\xbd\\xff\\xe0开始分别对应着相应的汇编
addiu $sp,$sp,-32
lui $t6,0x4142
ori $t6,$t6,0x430a
sw $t6,0($sp)
li $a0,1
addiu $a1,$sp,0
li $a2,5
li $v0,4004
syscall

然后使用下面的框架template.c来测试提取出的shellcode是否有效

把我们提取出的shellcode放在上图箭头指向的地方
完成后如下所示

编译后执行的效果如下

这就说明提取出的shellcode是可用的
不过每次都手工从ida中提取太慢了，这里提供一个脚本extract.py
可以很快的提取出shellcode
用法如下所示，还是以从write1提取为例

这就是本次实验的全部内容

参考：
官方mips系统调用的文档https://www.linux-mips.org/wiki/Syscall
2.《揭秘家用路由器0day漏洞挖掘技术》