合天網安實驗室
當我們在編寫匯編時,可能有的時候你需要看看編譯器中到底發生了什么。如果你正在排除shellcode出現的問題,你那么更需要耐心地、慎重地運行指令。
本文將探討如何在x86_64的Ubuntu系統上模擬32位ARM shellcode。由于大多數筆記本電腦和工作站還沒有運行ARM,我們這里需要一種其他方法在系統上執行非原生的指令。另外,原始的shellcode二進制文件并不是可執行文件格式,并不能被大多數工具所運行,所以我們需要一種其他的方法來執行這些文件。
在這里我們使用的是Radare2, Radare2是一個控制臺驅動的框架,集成了一套簡便易用的二進制分析工具。你可以把這些工具編寫成腳本,或者使用交互式的命令行界面。要在Ubuntu上設置這個,我們只需要幾個簡單的命令。
mkdir ~/github cd ~/github git clone https://github.com/radareorg/radare2.git cd radare2 sys/install.sh
如果你已經安裝了radare2,請確保你目前運行的是最新版本。這個工具一直在積極維護并定期進行更新。另外,在2022年6月的版本之前有一些錯誤,使得此次試驗可能無法更好的完成。
cd ~/github/radare2 git pull sys/install.sh r2 -V
為了復制我們將在本文中使用的shellcode二進制文件,你可以在bash提示符下運行以下內容:
nemo@hammerhead:~$ echo -n -e '\x01\x30\x8f\xe2\x13\xff\x2f\xe1\x78\x46\x0c\x30\xc0\x46\x01\x90\x49\x1a\x92\x1a\x0b\x27\x01\xdf\x2f\x62\x69\x6e\x2f\x73\x68\x00' > shellcode-696.bin nemo@hammerhead:~$ md5sum shellcode-696.bin 42ba1c77446594cac3508b940926575d shellcode-696.bin
ESIL簡介
可評估字符串中間語言(ESIL)是radare2使用的一種從硬件中抽象出來的指令,可以在不考慮底層硬件的情況下,來 "執行" 機器指令。這對于在仿真環境中執行非本地的匯編指令是非常理想的。
為了使用ESIL來執行我們的shellcode,我們需要做以下工作:
- 1. 加載我們的shellcode二進制文件
- 2. 配置radare2,使其知道如何正確解釋我們的shellcode二進制文件
- 3. 初始化ESIL
- 4. 根據需要設置寄存器
- 5. 通過我們的匯編指令來驗證其功能
用 ESIL 執行ARM shellcode
- 1. 加載我們的shellcode二進制文件
當我們對shellcode二進制文件運行 "file"命令時,我們看到Linux不能確定其文件格式。同樣地,radare2也不能確定它是什么。
nemo@hammerhead:~/labs/shellcode/asm$ file shellcode-696.bin shellcode-696.bin: data
由于它只是一個二進制的文件,我們需要把它加載到radare2中后指定我們要看的是什么。在這里,我們修改了一些軟件的分析設置,以便我們能夠正確地分析我們的ARM文件:
nemo@hammerhead:~/labs/shellcode/asm$ r2 shellcode-696.bin [0x00000000]> e anal.arch = arm [0x00000000]> e asm.arch = arm [0x00000000]> e asm.bits = 32 [0x00000000]> e anal.armthumb=true
- 1. 配置radare2,使其知道如何正確運行我們的shellcode二進制文件
接下來我們要指定哪些指令是ARM,哪些是THUMB。我發現要做到這一點,就需要定義指令類型改變的函數。在這個特定的shellcode中,它會在ARM和THUMB指令之間進行切換。
[0x00000000]> af [0x00000000]> pdf ┌ 8: fcn.00000000 (); │ rg: 0 (vars 0, args 0) │ bp: 0 (vars 0, args 0) │ sp: 0 (vars 0, args 0) │ 0x00000000 01308fe2 add r3, pc, 1 └ 0x00000004 13ff2fe1 bx r3
在這個radare2命令的片段中,我正在分析一個地址為0的函數。在這里并不存在一個真正的函數,但是我們這樣做是為了讓我們的"函數"可以指定為ARM或者THUMB。"pdf "命令只是打印了函數的反匯編指令,這其中包含了add和bx指令。
<p>[0x00000000]> s 8 [0x00000008]> af [0x00000008]> pdf ┌ 24: fcn.00000008 (int32_t arg1, int32_t arg2); │ ; arg int32_t arg1 @ r0 │ ; arg int32_t arg2 @ r1 │ 0x00000008 78460c30 andlo r4, ip, r8, ror r6 │ 0x0000000c c0460190 andls r4, r1, r0, asr 13 ; arg2 │ ┌─< 0x00000010 491a921a bne 0xfe48693c │ │ 0x00000014 0b2701df svcle 0x1270b │ │ 0x00000018 2f62696e cdpvs p2, 6, c6, c9, c15, 1 └ │ 0x0000001c 2f736800 rsbeq r7, r8, pc, lsr 6 [0x00000008]> afB 16p>
從地址8開始的下一組指令是THUMB指令。"s 8 " 指令會在文件中尋找8個字節,并跳轉到一個我們希望到達的地方,然后定義下一個 "函數"。用 "af "創建函數后,當我們試圖用 "pdf "顯示它時,它看起來有點古怪。這是因為工具仍然會將這些指令解釋為ARM。
我們可以通過設置比特數為16來指定這個 "函數 " 是THUMB。也就是將asm.bits設置為16,不過只針對這個函數生效。在一個正常的ARM二進制文件中,radare2會嘗試自動進行這種區分,但是由于我們只有這一串shellcode指令,我們仍然需要進行手動區分。
注意 我們可以刪掉前兩條指令并使用全THUMB的shellcode。如果我們這樣做,我們就可以在打開文件時設置 "e asm.bits=16",而不必再重新定義函數。只不過,如果需要的話,你可以區分這兩種指令類型。
Radare2還有一個更方便的方法,就是用 "izz "命令顯示二進制文件中的所有字符串。
> izz [Strings] nth paddr vaddr len size section type string ――――――――――――――――――――――――――――――――――――――――――――――――――――――― 0 0x00000008 0x00000008 4 5 ascii xF\f0 1 0x00000018 0x00000018 7 8 ascii /bin/shp>
現在我們已經能夠正確的加載我們的shellcode二進制文件了。
- 1. 初始化ESIL
如前所述,radare2內置了很多命令,在命令前綴中加入"?" 可以列出所有相關的命令。"ae? " 命令將列出與ESIL和仿真相關的命令。
[0x00000000]> ae? Usage: ae[idesr?] [arg] ESIL code emulation | ae [expr] evaluate ESIL expression | ae? show this help | ae?? show ESIL help | aea[f] [count] analyse n esil instructions accesses (regs, mem..) | aeA[f] [count] analyse n bytes for their esil accesses (regs, mem..) | aeb ([addr]) emulate block in current or given address | aeC[arg0 arg1..] @ addr appcall in esil | aec[?] continue until ^C | aef [addr] emulate function | aefa [addr] emulate function to find out args in given or current offset | aeg [expr] esil data flow graph | aegf [expr] [register] esil data flow graph filter | aei[?] initialize ESIL VM state (aei- to deinitialize) | aek[?] [query] perform sdb query on ESIL.info | aeL list ESIL plugins | aep[?] [addr] manage esil pin hooks (see “e cmd.esil.pin”) | aepc [addr] change esil PC to this address | aer[?] [..] handle ESIL registers like “ar” or “dr” does | aes[?] perform emulated debugger step | aets[?] esil Trace session | aev [esil] visual esil debugger for the given expression or current instruction | aex [hex] evaluate opcode expression
在這里,我們首先需要用 "aei "命令來初始化ESIL。之后,我們需要初始化一個堆棧。Radare2會自動選擇一個堆棧的位置,不過這也可以使用"aeim "命令參數來指定地址 。
[0x00000008]> aei [0x00000008]> aeim
- 1. 根據需要設置寄存器
由于我們的shellcode指令是從0開始的,我們需要用 "aepc 0 "命令將我們的程序計數器(PC)設置為0。如果我們想在偏移量0以外的位置開始執行,我們可以用 "aepc
"來設置起始地址。
[0x00000008]> aepc 0
我們的shellcode中的一條指令("subs r1, r1, r1")會將r1設置為0.由于這個寄存器默認已經為0,讓我們將它設置為0xffff,這樣我們就可以看到當我們在shellcode中步進時所發生的變化。要做到這一點,我們需要使用 "aer "命令。
[0x00000008]> aer r1 = 0xffff
- 1. 通過我們的設置來驗證其功能
好了,現在我們已經設置好了。我們可以切換到可視化模式,進入到調試器面板。在可視模式下有多個選項(面板),所以我們需要敲兩次 "p "來進入正確的面板。如果你想在任何時候退出可視化模式,只需按下escape鍵。你也可以按"?"來查看可用的命令列表。
[0x00000008]> V (hit “p” twice to get to the debugger panel)
然后你會注意到靠近頂部有一組寄存器。它看起來會像這樣:
通常在控制臺輸入的任何r2命令也可以在視覺模式下輸入。例如,如果我們想打印偏移量為0x18的字符串,我們需要執行以下命令:
# Hit “:” while in visual mode. > ps @0x18 /bin/sh > # Hit enter on a blank line to return to visual mode.
現在,我們可以通過使用"s "鍵來執行匯編指令。當你在瀏覽時,你會注意到頂部的寄存器與堆棧數據會一起被更新(在第一張圖片中從0x00178000開始)。你還會注意到,下一條要執行的指令(又稱PC)的地址在匯編指令中被突出顯示(第一幅圖中的0x00000010)。
注意,上面的圖片顯示r1寄存器持有0x0000ffff。還注意到下一條指令將會被執行,即 "subs r1, r1, r1"。這條指令將會從自身減去r1,并將其存回r1,本質上是使其變為0。
再次按 "s "鍵,進入下一條指令。
現在一切都準備好了,可以通過 "svc 1 "指令通過守護進程調用了。我們現在正在進行 "execve "調用,所以我們應該在r7寄存器中設置0xb。r0中的第一個參數應該是一個指向我們要執行的二進制文件路徑的指針。我們可以發現r0持有0x18。我們可以通過運行以下命令來驗證它的指向:
# Hit “:” while at the “svc 1” instruction in visual mode. > ps @r0 /bin/sh >
現在我們沒有向"/bin/sh "傳遞任何參數,也沒有設置任何環境變量,因此我們可以發現r1和r2都被設置為0。
由于我們不是在ARM系統上運行,所以我們不能正確地使用守護進程調用("svc 1")指令。當你在測試更復雜的shellcode時,請牢記這一點。
總結
無論您是對自定義的shellcode進行故障排除,還是驗證您所看到的靜態內容,有時您只需要看看指令到底在做什么。Radare2允許您從一個未知的文件格式(如shellcode二進制文件或固件鏡像)加載非本地匯編文件,并一步一步地執行指令。
安全牛
LemonSec
看雪學苑
看雪學苑
ChaMd5安全團隊
一顆小胡椒
安全圈
關鍵基礎設施安全應急響應中心
E安全
LemonSec
看雪學苑
看雪學苑
