如果不将0作为execve的环境指针传递,为什么这个外壳代码会起作用? [英] Why would this shellcode work if it does NOT pass 0 as the environment pointer for execve?
问题描述
https://www.exploit-db.com/exploits/46907
我的理解是,由于x64调用约定,execve的第三个参数envp应该存储在RDX中。但是这个外壳代码不会将该寄存器置零,它只会将RSI寄存器(存储ARV)置零。因此,如果RDX的当前值未指向有效位置,则会导致段错误,不是吗?
我是否遗漏了什么?
推荐答案
写rdx(带0):注意syscall
前面的cdq
。EAX=59
的符号位为0,因此edX=0,并将edX零扩展写入RDX。
在已知非负EAX的情况下,这是使用1字节指令将edX/rdx置零的standard code-golf trick,而不是xor edx,edx
。
Linux特殊情况下的NULLargv
或envp
指针的工作方式类似于空列表(指向内存中的NULL的指针)。请参阅手册页:https://man7.org/linux/man-pages/man2/execve.2.html#NOTES
手册页不鼓励将用于C程序,因为它不能移植到其他操作系统,但外壳代码已经不能移植,并且它节省了机器代码大小的字节。
在Linux下的静态可执行文件的_start
中,除RSP以外的所有regs都将是0
。(这并不是x86-64 SysV ABI的保证,它只是内核在进入用户空间之前为避免信息泄漏而选择的便利值。)因此,即使它确实有您认为的错误,它也会以这种方式工作。
但它们也通过将机器代码字节放入C程序中.data
中的数组中并从main()
中调用来进行测试。这也适用于有错误的外壳代码,使RDX保持不变:编译器生成的用于通过函数指针调用的代码很可能不会修改RDX。在进入Main时,EDI=argc,rsi=argv,rdx=envp。因此,该机器代码块将以RDX已经是指向
char **envp
的有效指针开始!也许比他们预期的测试要少一点。:pmain
的第三个参数envp
未由POSIX指定,但受到广泛支持:Is char *envp[] as a third argument to main() portableX86-64 Linux的系统调用约定与其函数调用约定非常相似,有意使系统调用包装函数只需要
mov r10, rcx
/mov eax, __NR_...
/syscall
。
和btw,系统调用的错误参数绝不会导致分段故障(将SIGSEGV信号传递到您的进程)。相反,当您传递指向未映射内存的指针时,Linux系统调用会返回-EFAULT
错误代码,在这种情况下这是不正常的。
(Fun Fact:write(1, buf, way_past_end)
将成功写入到从buf
地址开始实际映射的页面的末尾,并返回该长度。只有在遇到无法读取的页面之前向FD写入0个字节时,才会得到-EFAULT
。)
这篇关于如果不将0作为execve的环境指针传递,为什么这个外壳代码会起作用?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!