Rust によるシェルコード開発 (no_std)

攻撃ペイロードとして実行する位置独立な機械語列(シェルコード)を Rust で書く手法。no_std で標準ライブラリを切り離し、極小バイナリを生成して実行する。Black Hat Rust Ch.12 の内容。_moc-security

コンパイルパイプライン

Rust のコンパイルは AST → HIR (High-level IR) → MIR (Mid-level IR) → 型情報付き MIR →(最適化・codegen)→ オブジェクトファイル →(リンク)→ バイナリ。最終的に ELF 実行ファイルになる(.text=コード, .rodata=定数, .data=データ)。

極小バイナリ (#![no_std])

標準ライブラリ(OS 依存)を外し、core だけで書く。nightly 機能が要る。

#![no_std]
#![no_main]
#![feature(start)]
 
#[start]
fn start(_argc: isize, _argv: *const *const u8) -> isize { 0 }
 
#[panic_handler]
fn panic(_: &core::panic::PanicInfo) -> ! { loop {} }

• never 型 !: 到達しない型(exit() の戻り値等)。panic_handler の -> ! に使う。
• サイズ最適化: [profile.release] opt-level = "z" + LTO(オブジェクトを跨いだリンク時最適化)。
• インライン asm (#![feature(asm)]) で直接 syscall を書ける(write = syscall 1/4, connect, dup2 等)。

アセンブリ確認のツールチェーン

• cargo +nightly rustc --release -- --emit asm で生成 asm を確認。
• objdump -D -b binary -mi386 -Mx86-64 -Mintel hoge.bin で生バイナリを逆アセンブル。
• objcopy -O binary でセクションを抜き出し shellcode.bin 化、strip でシンボル除去、nm でシンボル確認、hexyl でバイト列確認。
• lea(実効アドレス計算、位置独立に必須)、push/syscall 等を組む。文字列(/bin/sh)は .rodata ではなくコード中に埋める。

シェルコードの実行方法

メモリ上の命令を実行する 3 つの方法:

1. .text セクションに埋め込む — include_bytes! で取り込むが普通だと .rodata に入るのでトリックが要る。#[link_section = ".text"] で静的配列を配置し、mem::transmute(C++ の reinterpret_cast 相当)で関数ポインタに再解釈して呼ぶ。配列長は const fn であるバイト列の .len() で取る。
2. mmap で実行可能領域を確保して書き込む。
3. mprotect で既存領域を実行可能に変える。

Reverse TCP シェルコード

被害側から攻撃側へシェルを差し出す Reverse Shell。攻撃側は nc -vnlp 1234 で listen、被害側は socket→connect→dup2(fd を 0/1/2 に複製)→execve("/bin/sh") を syscall で組む。ファイアウォール越えに有利なため実戦で多用される。

関連

• black-hat-rust — 出典
• elf-format / binary-exploitation / cpu-architecture-isa
• rat-c2-architecture — シェルコードを運ぶ上位の攻撃基盤