Корректный ли ассемблерный код?

Question

[Narts]

Имеется файл с ассемблерными инструкциями:

[SECTION .text]
BITS 32
global_start:
_start:
jmp GetCommand
Command_Return:
pop ebx
xor eax, eax
push eax
push ebx
mov ebx, 0x77755210
call ebx
xor eax, eax
push eax
mov ebx, 0x77739fe0
call ebx
GetCommand:
call Command_Return
db "REG DELETE HKCU\keys /v key"
db 0x00

, где 0x77755210 - адрес WinExec в Kernel32.dll, 0x77739fe0 - адрес ExitProcess в том же Kernel32.dll.

Так вот, суть кода (в теории) заключается в удалении флага из реестра.

Чтобы получить .exe файл, я использую nasm и линкер (это так называется?) GoLink.
Компилю следующими командами:

nasm -f win64 test.asm
golink test.obj kernel32.dll user32.dll test.exe

Получаю на выходе exeшник, и при его запуске, как я понял, из реестра должен удаляться заданный флаг, но этого не происходит. Подскажите пж, в чем может быть проблема?

Answer 1

[jcmvbkbc]

Подскажите пж, в чем может быть проблема?

Скорее всего в том, что ты не умеешь пользоваться отладчиком.

Вообще код выглядит нормально. Предлагаю написать в консоли REG DELETE HKCU\keys /v key и убедиться, что желаемое действие происходит (я так понимаю, что keys и key -- это затычки, в реальном коде указаны конкретный путь в реестре и конкретное имя значения).

Для разнообразия можно убрать xor eax, eax после возврата из WinExec, чтобы результат пришёл в ExitProcess -- и посмотреть на код завершения процесса.

Comments

[Narts]

Дело в том, что это нужно для лабораторной в вузе. Лаба на тему переполнения буффера. Т.к. с ассемблером еще не знакомы, сказали взять готовый шелл код

REG DELETE HKCU\keys /v key работает корректно, проверял keys это название раздела, а key это параметр в реестре, который удаляем

[jcmvbkbc]

Если твоей целью не было извернуться с вызовом WinExec и ExitProcess, то вместо хардкоженных адресов лучше использовать имена этих функций.

Answer 2

[dollar]

В коде не хватает комментариев. Добавьте комментарии с пояснениями, где что означает и где что происходит. Тогда вам же будет проще понять. Даже в языках высокого уровня очень желательно комментировать не очевидный код, а уж ассемблер сам бог велел.

Comments

[Narts]

Дело в том, что это нужно для лабораторной в вузе. Лаба на тему переполнения буффера. Т.к. с ассемблером еще не знакомы, сказали взять готовый шелл код

Answer 3

[freeExec]

где 0x77755210 - адрес WinExec в Kernel32.dll, 0x77739fe0 - адрес ExitProcess в том же Kernel32.dll.

Это так не работает, адреса всегда разные.

Comments

[jcmvbkbc]

Это так не работает, адреса всегда разные.

В старых вендах -- всегда одинаковые, если нет конфликтов. В современных -- ASLR, см.

[freeExec]

jcmvbkbc, В какой, в Win95, ну может быть. А в современных реалиях через одно обновление выходит новый образ kernel32, потому даже если отключить принудительную рандомизацию, адреса смещения на начало функции будут другие.

[jcmvbkbc]

в современных реалиях через одно обновление выходит новый образ kernel32

freeExec, ну, разумеется, всегда одинаковые с одними и теми же DLL. Я подозреваю, что автор посмотрел адреса в своей системе.

[freeExec]

jcmvbkbc, В этот то у него и косяк. В другом клоне этого вопроса он писал, что нашёл этот "шел код" где-то на просторах интернета, а теперь удивляется, почему он не работает.

[Narts]

freeExec, в том же вопросе я написал, что через утилиту arwin получил адреса

[freeExec]

Narts, Ну отлично, но дебажить ваш код мы за вас не будем.