Уязвимыми функциями часто являются операции работы со строками, такие как
strcpy(). Чтобы вставить код в середину приложения, шеллкод должен
быть скопирован как строка. Однако операции копирования останавливаются, как
только находят нулевой символ. Поэтому наш код не должен иметь таковых.
Использование маленьких хитростей избавит нас от написания нулевых байтов.
Например инструкция
movl $0x00, 0x0c(%esi)
будет заменена на
xorl %eax, %eax
movl %eax, %0x0c(%esi)
Этот пример показывает использование нулевого байта. Однако перевод
некоторых инструкций в шеснадцатиричное представление может открыть еще случаи
появления нулевых байтов. Например, чтобы отличить системный вызов
_exit(0) от других, значение регистра %eax
устанавливается в 1, что видно в 0x804d996 <_exit+6>: mov
$0x1,%eax В переводе в шеснадцатиричное представление, эта строка
принимает вид:
b8 01 00 00 00 mov $0x1,%eax
Поэтому вы должны избежать ее использования. Хитрость заключается в
инициализации %eax нулем и увеличении его на 1.
С другой стороны, строка "/bin/sh" должна заканчиватся нулевым
байтом. Мы можем вписать его при создании шеллкода, однако, в соответствии с
механизмом вставки его в программу, этот байт не может присутствовать в конечном
приложении. Лучше добавить его следующим способом:
/* movb работает только с одним байтом */
/* эта инструкция эквивалентна */
/* movb %al, 0x07(%esi) */
movb %eax, 0x07(%esi)