Comments on: Smallest “setuid” & “execve” GNU/Linux x86 shellcode without nulls that spawns a shell http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/ Development & Security Research Thu, 01 Sep 2011 23:30:12 +0000 hourly 1 http://wordpress.org/?v=3.3 By: wow gold http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/comment-page-1/#comment-9001 wow gold Fri, 06 Nov 2009 09:00:41 +0000 http://opensec.es/?p=95#comment-9001 Good post,This was exactly what I needed to read today! I am sure this has relevance to many of us out there. Good post,This was exactly what I needed to read today! I am sure this has relevance to many of us out there.

]]> By: vlan7 http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/comment-page-1/#comment-1075 vlan7 Tue, 25 Nov 2008 13:03:33 +0000 http://opensec.es/?p=95#comment-1075 Con "leete esto" me referia al hilo de wadalbertia... No se si tienes un filtro antispam o era ya tarde ayer, pero basicamente lo que puse en el hilo es que el UID va en EBX no en ECX como tienes en tus shellcodes. Bueno, sigo con mis obligaciones. Suerte! Con “leete esto” me referia al hilo de wadalbertia…
No se si tienes un filtro antispam o era ya tarde ayer, pero basicamente lo que puse en el hilo es que el UID va en EBX no en ECX como tienes en tus shellcodes.
Bueno, sigo con mis obligaciones.
Suerte!

]]> By: vlan7 http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/comment-page-1/#comment-1018 vlan7 Tue, 25 Nov 2008 03:28:48 +0000 http://opensec.es/?p=95#comment-1018 Cierto es eso de que 2 mentes pensantes piensan mas que una. Leete esto y me cuentas. ;) No se como se lo tomaran en milw0rm... Ay la hora que es, mañana no voy a rendir... :( Nos vemos tio. Cierto es eso de que 2 mentes pensantes piensan mas que una.

Leete esto y me cuentas. ;)

No se como se lo tomaran en milw0rm…

Ay la hora que es, mañana no voy a rendir… :(

Nos vemos tio.

]]> By: sch3m4 http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/comment-page-1/#comment-992 sch3m4 Mon, 24 Nov 2008 22:44:21 +0000 http://opensec.es/?p=95#comment-992 Realmente, (a groso modo) estarías reemplazando por ejemplo: lea eax,[ecx+17h] Por: push byte 17h pop eax No tienes por qué usar \"cdq\" ya que no necesitas usar el registro edx, y cualquier operación que hagas para poner ecx a cero usando edx va a ocupar más que si pones ecx a cero directamente. http://www.wadalbertia.org/phpBB2/viewtopic.php?p=52698#52698 PD: De nada ;) Realmente, (a groso modo) estarías reemplazando por ejemplo:

lea eax,[ecx+17h]

Por:

push byte 17h
pop eax

No tienes por qué usar \"cdq\" ya que no necesitas usar el registro edx, y cualquier operación que hagas para poner ecx a cero usando edx va a ocupar más que si pones ecx a cero directamente.

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=52698#52698

PD: De nada ;)

]]> By: vlan7 http://opensec.es/2008/11/23/smallest-setuid-execve-gnulinux-x86-shellcode-without-nulls-that-spawns-a-shell/comment-page-1/#comment-696 vlan7 Mon, 24 Nov 2008 09:15:58 +0000 http://opensec.es/?p=95#comment-696 Tienes razon Chema. A riesgo de parecer pesado, creo que hice una de 24 bytes. El truco esta en que un push de un inmediato, rellena en la pila el espacio sobrante de los 4 bytes con ceros. Asi al hacer un pop de algo que has metido que ocupaba 1 byte, te pone AL al valor del byte, y todos los bytes superiores de EAX a 0. Hice pruebas metiendo previamente algo que ocupara todo EAX y parecieron salir bien los tests. Luego con un CQD se consiguen 2 registros a 0, pues EAX < 80000000h Cuando alguien me da un buen problema, no, no duermo. Asi que deja que sea yo el que te de las gracias ;) Sigo con mis obligaciones. Ya me diras que te parece. Suerte. Tienes razon Chema.

A riesgo de parecer pesado, creo que hice una de 24 bytes.

El truco esta en que un push de un inmediato, rellena en la pila el espacio sobrante de los 4 bytes con ceros. Asi al hacer un pop de algo que has metido que ocupaba 1 byte, te pone AL al valor del byte, y todos los bytes superiores de EAX a 0.

Hice pruebas metiendo previamente algo que ocupara todo EAX y parecieron salir bien los tests.

Luego con un CQD se consiguen 2 registros a 0, pues EAX < 80000000h

Cuando alguien me da un buen problema, no, no duermo. Asi que deja que sea yo el que te de las gracias ;)

Sigo con mis obligaciones. Ya me diras que te parece.

Suerte.

]]>