PWN-shellcode

最新推荐文章于 2025-11-04 23:59:15 发布

原创

最新推荐文章于 2025-11-04 23:59:15 发布 · 2k 阅读

10 ·

CC 4.0 BY-SA版权

本文介绍了缓冲区溢出中shellcode的基本概念，详细讲解了函数返回步骤，如何利用"jmp esp"作为跳板动态定位shellcode，并探讨了如何在实践中构造shellcode。还提到了ASLR、ROP和系统调用在安全中的作用。

构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。

题目:

依旧是栈溢出
1Ch=16+12=28，+esp=32：偏移量是32
能溢出：100-0x1c-4=68字节

C伪代码：

汇编代码

理论基础

函数返回步骤：

保存返回值：函数返回值保存在EAX寄存器
弹出当前栈帧，恢复上一个栈帧
a) ESP + 当前栈帧大小：堆栈平衡基础上，降低栈顶，回收当前栈帧空间
b) POP EBP：前栈帧EBP弹给EBP，恢复上一个栈帧
c) POP EIP：函数返回地址弹给EIP
跳转：按EIP的值返回母函数继续执行

由函数调用过程可知，一般情况下，ESP中地址总是指向系统栈且不会被溢出的数据破坏。函数返回时，ESP所指的位置是淹没的返回地址的下一位（子函数平衡栈ret n时，ESP将指向下n位）。
可用”jmp esp”作为跳板动态定位shellcode

用内存中任意一个”jmp esp”的地址覆盖返回地址
函数返回后被重定向去执行内存中jmp esp指令
由于函数返回后ESP指向返回地址后，jmp esp执行后，CPU将到栈区函数返回地址之后的地方取指令执行
shellcode的布置。缓冲区前面一段用任意数据填充，把shellco

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

MuMuLee_

关注关注

3
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【pwn学习】pwn中的简单shellcode

Morphy_Amo的博客

12-20

1527

编写简单的shellcode 在linux32位系统中，最简单的获取shell的方式是通过系统调用execve获得 execve('/bin/sh',0,0); 写成汇编的话如下： global _start _start: xor edx, edx xor ecx, ecx push '/sh' push '/bin' mov ebx, esp mov eax, 0xb int 80h 编译

PWN-shellcode-WP- (一)

qq_43390703的博客

03-29

1449

BITSCTF 2017-Command_Line、CSAW Quals CTF 2017-pilot、BSides San Francisco CTF 2017-b_64_b_tuff、 Openctf 2016-tyro_shellcode1比赛WP，从栈的结构、排列，汇编底层去分析理解，一步一步的解题过程，通俗易懂且详细

1 条评论您还未登录，请先登录后发表或查看评论

PWN-shellcode-WP- (一)题目文件.rar

03-29

为几道搜集的真题，https://blog.youkuaiyun.com/qq_43390703/article/details/105181147中有对他们的详细解答，是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。

二进制学习（pwn）-shellcode

liulanghouzi的博客

09-21

2060

帮助二进制安全爱好者入门~

【pwn】shellcode构造

最新发布

m0_74343871的博客

11-04

361

二进制安全：shellcode构造

PWN的Shellcode

m0_57836225的博客

11-18

1018

Shellcode 的原理是利用程序中的漏洞（如缓冲区溢出等），将精心构造的机器码注入到程序的内存空间中。栈溢出是一种常见的软件漏洞类型，当程序向栈中写入的数据超过了栈的缓冲区边界时就可能发生。它是后续深入学习 PWN 技术、理解和利用多种安全漏洞的重要基础，在漏洞利用领域有广泛的研究和应用。Shellcode 是一段用于利用软件漏洞的机器码，通常被注入到存在漏洞的程序中，以获取目标系统的控制权或执行特定的恶意操作，是 PWN 攻击中关键的技术元素之一。的系统调用号），然后通过。寄存器为相应的参数，

PWN入门（6）写入shellcode

Ba1_Ma0的博客

09-20

2458

pwn"这个词的源起以及它被广泛地普遍使用的原因，源自于魔兽争霸某段讯息上设计师打字时拼错而造成的，原先的字词应该是"own"这个字，因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的，PWN 也是一个黑客语法的俚语词，是指攻破设备或者系统。发音类似"砰”，对黑客而言，这就是成功实施黑客攻击的声音，而在ctf比赛里，pwn是对二进制漏洞的利用下载这个github库，进入05文件夹。

CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode

12-10

CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目，该题目主要是利用三个节点来注入shellcode，考验解题人对shellcode的熟悉程度。题解：https://blog.youkuaiyun.com/A951860555/article/details/110350773

20.03.25(还有sniperoj-pwn100-shellcode-x86-64的wp)

eeeeeight的博客

03-26

781

Pwn的做题记录: 来自两届BJD都被暴打的彩笔总结(第一届还没学导致pwn爆零,第二届才学两天导致只做出一道pwnQAQ) 计算偏移量若是出现相对sp的偏移的话不是直接在执行完输入后看bp-sp,而是在相关函数设置断点,然后通过r...

pwn-shellcode执行

GalaxySpaceX的博客

08-23

1670

pwn-shellcode执行

一个简单的 shellcode pwn题广西首届网络安全选拔赛

qq_41071646的博客

06-05

995

这个题唯一的难点就是 shellcode 的只是给了 0x14的大小本来这个题不打算发博客但是有小姐姐看 ~~~ 就写一篇发上来把然后我们看一下程序的大概内容 {说一个很沙雕的事情由于这个程序的特殊性 f5没有办法看出来然后负责人这个b心情又不好然后我把这个程序的 call eax 搞成nop f5 一把梭 } 23333 所以 ...

简单的PWN学习-ret2shellcode

weixin_48421613的博客

07-05

1105

最近在学习pwn，这是一道2016年的pwn题目，主要学习关于栈溢出以及劫持栈指针达到命令执行的效果，笔者水平较差，请轻喷

PWN知识点整理（1）Shellcode

qq_52469954的博客

10-26

434

0day安全：软件漏洞分析技术（第2版）

第二道pwn题：shellcode

小白垃圾笔记2

03-08

833

rbp:保存的是栈中当前执行函数的基本地址。当前执行函数所有存储在。这里使用了视频说这里用了 call rax所以不能用F5。查看文件类型和保护，虽然现在的我·还没有明白太多的保护。那么如果我们输入shellcode不久获取到了权限了吗。最重要的是最后，call rax,[rbp+buf]栈上的数据都要靠rbp指针加上偏移量来读取。rsp:栈指针，永远指向栈顶。他的意思就是执行输入的内容。64位，放到ida里边。

pwn题shellcode收集

lifanxin的博客

02-25

5761

Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总，方便大家参考和使用。 # 32位短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0

shellcode基本知识（PWN）

weixin_51758733的博客

07-15

1191

shellcode基本知识（PWN）

【pwn】shellcode revenge --0~9，A~Z字符的shellcode

question55的博客

12-02

209

payload += b'\x31\x42\x38' #31 42 38 xor DWORD PTR [rdx+0x38], eax 减syscall后面代码变成nop,为后面执行shellcode做准备。payload += b'\x31\x42\x30' #31 42 30 xor DWORD PTR [rdx+0x30], eax 将\x4e\x44异或成syscall的十六进制数。

PWN --- ret2shellcode

qq_41696518的博客

06-28

1090

PWN ret2shellcode

pwn ret2shellcode

young‘s blog

02-08

1790

写在前面，记录一些小知识和一些文章对于checksec后几个参数的具体研究： checksec及其包含的保护机制（原博客图已经挂了，只能用简书的了） pwntools介绍（刚开始看不懂英文文档可以看这个）： pwntools pwntools使用简介文件执行时权限不够使用命令为： chmod +x start.sh 当堆栈开启了保护的时候，我们不能够直接将shellcode覆盖到堆栈中执行，...

攻防世界pwn pwn-100

01-18

### 关于攻防世界PWN-100题目的解答 #### 解决方案概述对于攻防世界的PWN-100题目，通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程（Return-Oriented Programming, ROP）、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时，可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode，并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE)，那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置，比如system()函数，从而间接地触发所需的恶意操作而无需注入新的机器码片段。针对具体环境下的不同情况，还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作；同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```