避免使用 CALL 读取 RIP 的 shellcode 中的 0xFF 字节？

Question

我正在尝试编写解码器存根，但遇到了0xFF作为坏字符的限制。我正在使用该jmp-call-pop方法将我编码的 shellcode 的地址放入一个寄存器中。这是相关的片段：

401012: e8 eb ff ff ff          call   0x401002

似乎call总是0xFF以字节为单位使用。是否有另一条指令在执行时会压入rip堆栈并跳转到另一段代码？我试过手动将地址推送到堆栈上，但这会导致空字节，因为我的地址有 3 个字节长并且需要填充。

---

我的机器代码中不允许的字节是：

• 00
• FF

Answer 1

call rel32是唯一的相对编码（间接或远 jmp 很少有用），所以是的，当然高字节总是 00 或 FF，除非你跳得很厉害远，因为这就是 2 的补码的工作原理。

自修改代码将是一种选择（但是您会遇到获取代码指针的鸡/蛋问题）。 根据漏洞利用机制，您可能有一个指向（靠近）您在 RSP 中的代码的指针。 所以你可能只是lea rax, [rsp+44]/ push rax/jmp ...

但是 x86-64 不需要 jmp/call/pop 习语。通常，您可以仅jmp覆盖您的数据，然后使用带有负数的 RIP 相对 LEA rel32，但这当然也会有0xFF字节。

您可以将 RIP 相对 LEA 与安全的 rel32 一起使用，然后更正它：

    lea    rsi, [rel anchor + 0x66666666]      ; or  [RIP + 0x66666666]
    sub    rsi, 0x66666666
    ;...
    xor    eax,eax
    mov    al,1        ; __NR_write = 1  x86-64 Linux
    mov    edi, eax
    lea    edx, [rax-1 + msglen]
    syscall            ; write(1, msg, msglen)

    lea    eax, [rdi-1 + 60]       ; __NR_exit
    syscall            ; sys_exit(1)

anchor:
    msg: db     "Hello World", 0xa
    msglen equ $-msg

用 NASM 组装和反汇编的机器代码objdump -drwC -Mintel：

$ asm-link -dn rel.asm                   # a helper script to assmble+link and disassemble
+ nasm -felf64 -Worphan-labels rel.asm
+ ld -o rel rel.o
ld: warning: cannot find entry symbol _start; defaulting to 0000000000401000

rel:     file format elf64-x86-64


Disassembly of section .text:

0000000000401000 <anchor-0x1e>:
  401000:       48 8d 35 7d 66 66 66    lea    rsi,[rip+0x6666667d]        # 66a67684 <__bss_start+0x66665684>
  401007:       48 81 ee 66 66 66 66    sub    rsi,0x66666666
  40100e:       31 c0                   xor    eax,eax
  401010:       b0 01                   mov    al,0x1
  401012:       89 c7                   mov    edi,eax
  401014:       8d 50 0b                lea    edx,[rax+0xb]
  401017:       0f 05                   syscall 
  401019:       8d 47 3b                lea    eax,[rdi+0x3b]
  40101c:       0f 05                   syscall 

000000000040101e <anchor>:
  40101e:       48                      rex.W
   ... ASCII data that isn't real machine code
  401029:       0a                      .byte 0xa

peter@volta:/tmp$ ./rel 
Hello World

$ strace ./rel 
execve("./rel", ["./rel"], 0x7ffd09467720 /* 55 vars */) = 0
write(1, "Hello World\n", 12Hello World
)           = 12
exit(1)                                 = ?
+++ exited with 1 +++

有趣的0x66是，是字母 的 ASCII 码'f'。我'f'在试图避免时并没有故意选择0xFF:P 但是无论如何，选择您喜欢的任何 4 字节字符串。

的低字节rel32会更高，这取决于它必须到达多远，所以要明智地选择。

实际上做一个 call附近的某个地方：

您可以使用上述与 RIP 相关的 LEA + fixup 技巧来创建自修改代码，例如inc byte [rax]转换0xFE为0xFF. 或者一个 dword sub-immediate with0x11111111或一些可能对修复一个有用的东西rel32

call r/m64和jmp r/m64都不能直接使用，因为操作码本身是FF /2和FF /4

如果你想返回，修复 acall rel32或可能是最简单的call rax。但是，如果有可能也使用RIP相对LEA在寄存器来计算返回地址，并将它推，然后jmp rel8或jmp rax或什么的。