Linux ShellCode远程攻击原理

这里就以exit 系统调用为例

首先编写C代码，在GDB中使用 disass _exit 反汇编exit 函数，之后迁移为汇编代码。

section .text
global _start
_start:
xor eax, eax
xor ebx, ebx
mov al, 0x01
int 0x80

之后只用如下nasm 进行汇编， ld 进行连接，生成可执行文件

nasm -f elf exit.asm
ld exit.o -o exit
exit

中间可能由于系统问题导致如下问题：

[root@localhost home]# ld exit.o -o exit.
ld: i386 architecture of input file `exit.o' is incompatible with i386:x86-64 output

这里详见nasm 参数列表 nasm -hf

    elf32     ELF32 (i386) object files (e.g. Linux)
    elf       ELF (short name for ELF32)
    elf64     ELF64 (x86_64) object files (e.g. Linux)

然后用elf64即可，这里需要和你的系统相匹配，具体可以用uname -a 查看

[root@localhost home]# nasm -f elf64 exit.asm
[root@localhost home]# ld exit.o -o exit
[root@localhost home]# ./exit

然后使用 strace 命令

[root@localhost home]# strace ./exit
execve("./exit", ["./exit"], [/* 31 vars */]) = 0
write(0, NULL, 0 <unfinished ... exit status 0>

可以看到系统调用成功。

如果需要建立新的shell的话，则需要用到 execve 系统调用，与之前一样，并设置 SUID （sc为文件名）

sudo chown root sc
sudo chmod +s sc

接下来使用 objdump -d 进行反汇编生产16进制代码存在数组里，之所以用汇编，是因为远程机器一般不会给 unistd.h 这种系统头文件，所以这时需要从最底层去编写代码。

最后的工作就是绑定socket然后发送了

当然如果服务器端是可以用ptrace进行跟踪的，从而防御这种系统调用的攻击