如果不将0作为execve的环境指针传递，为什么这个外壳代码会起作用？ [英] Why would this shellcode work if it does NOT pass 0 as the environment pointer for execve?

问题描述

https://www.exploit-db.com/exploits/46907

我的理解是，由于x64调用约定，execve的第三个参数envp应该存储在RDX中。但是这个外壳代码不会将该寄存器置零，它只会将RSI寄存器(存储ARV)置零。因此，如果RDX的当前值未指向有效位置，则会导致段错误，不是吗？

我是否遗漏了什么？

推荐答案

写rdx(带0)：注意syscall前面的cdq。EAX=59的符号位为0，因此edX=0，并将edX零扩展写入RDX。

在已知非负EAX的情况下，这是使用1字节指令将edX/rdx置零的standard code-golf trick，而不是xor edx,edx。

---

Linux特殊情况下的NULLargv或envp指针的工作方式类似于空列表(指向内存中的NULL的指针)。请参阅手册页：https://man7.org/linux/man-pages/man2/execve.2.html#NOTES

手册页不鼓励将用于C程序，因为它不能移植到其他操作系统，但外壳代码已经不能移植，并且它节省了机器代码大小的字节。

在Linux下的静态可执行文件的_start中，除RSP以外的所有regs都将是0。(这并不是x86-64 SysV ABI的保证，它只是内核在进入用户空间之前为避免信息泄漏而选择的便利值。)因此，即使它确实有您认为的错误，它也会以这种方式工作。

但它们也通过将机器代码字节放入C程序中.data中的数组中并从main()中调用来进行测试。这也适用于有错误的外壳代码，使RDX保持不变：编译器生成的用于通过函数指针调用的代码很可能不会修改RDX。
在进入Main时，EDI=argc，rsi=argv，rdx=envp。因此，该机器代码块将以RDX已经是指向char **envp的有效指针开始！也许比他们预期的测试要少一点。：p

main的第三个参数envp未由POSIX指定，但受到广泛支持：Is char *envp[] as a third argument to main() portable
X86-64 Linux的系统调用约定与其函数调用约定非常相似，有意使系统调用包装函数只需要mov r10, rcx/mov eax, __NR_.../syscall。

---

和btw，系统调用的错误参数绝不会导致分段故障(将SIGSEGV信号传递到您的进程)。相反，当您传递指向未映射内存的指针时，Linux系统调用会返回-EFAULT错误代码，在这种情况下这是不正常的。

(Fun Fact：write(1, buf, way_past_end)将成功写入到从buf地址开始实际映射的页面的末尾，并返回该长度。只有在遇到无法读取的页面之前向FD写入0个字节时，才会得到-EFAULT。)

这篇关于如果不将0作为execve的环境指针传递，为什么这个外壳代码会起作用？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！