pwn的最基本的ret2shellcode原理

最新推荐文章于 2024-12-04 23:18:02 发布
最新推荐文章于 2024-12-04 23:18:02 发布
阅读量1.1k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120597706
本文详细介绍了如何利用ret2shellcode漏洞获取shell。首先通过checksec检查程序保护,发现存在RWX段,适合shellcode执行。接着反编译代码,发现gets函数引发溢出,但缺乏直接可用的system函数。通过动态调试,计算出覆盖栈中ESP地址的偏移量,并找到了合适的shellcode。最后,介绍了一个在线shellcode数据库用于查找匹配的shellcode。

题源:ctf-wiki的基础ROP的ret2shellcode

基本 ROP - CTF Wiki (ctf-wiki.org)

 ①:先checksec检查

可以看出基本上没什么保护开启,而且含有RWX段(这个段的意思就是可读可写可执行),很明显是一个shellcode的题目。

②:先反编译看看

有gets函数,绝对考溢出。而且没有system函数和bin/sh,也没有后门函数可以直接使用。再结合他有RWX段就可以很明显的判断这是一个ret2shellcode的题目。 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
PWN --- ret2shellcode
qq_41696518的博客
06-28 1073
PWN ret2shellcode
pwn ret2shellcode
young‘s blog
02-08 1787
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
PWN ret2shellcode
prettyX的博客
11-22 2109
今天天气阴,来做一下ret2shellcode。 记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode,就是,return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcodeshellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 ret2shellcode...
Ret2ShellCode
钞sir的博客
01-24 8735
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 6198
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
PWN · ret2shellcode | “jmp esp“】[i春秋]ret2shellcode
Mr_Fmnwon的博客
10-04 1520
回顾ret2shellcode发现还有很多基础的技巧没有掌握。本题算是一个经典地、通过jmp esp将栈上的shellcode进行执行的题目。一、题目重述通过本例,掌握一个基础而常见的技巧:控制执行流到栈上指定位置开始执行。核心是利用了jmp esp 指令。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2347
pwn 入门
PWN-ret2shellcode原理
m0_64180167的博客
04-17 679
我们之前做过很简单的pwn题目buuctf-rip这种 是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可但是如果程序里面没有呢这种类型就是ret2shellcode
Ret2ShellCode详解
Sakura给爷pwn全场
10-24 571
StackOverFlow之Ret2ShellCode详解: https://www.freebuf.com/vuls/179724.html https://www.jianshu.com/p/7dad572adae9
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2202
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
[二进制安全学习]ret2shellcode
Y4tacker的博客
07-15 1536
文章目录写在前面ret2shellcode利用原理利用关键例题参考文章 写在前面 懒狗的第二篇学习,开冲 ret2shellcode 利用原理 ret2shellcode,即控制程序执行 shellcode 代码。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。 在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。 利用关键 1、程序存在溢出,并且还要能够控
pwn栈溢出学习 基本ROP——ret2shellcode
MrTreebook的博客
11-22 1163
ret2shellcode 目录ret2shellcode1.checksec看一下2.IDA pro看一下 1.checksec看一下 32位的文件 什么保护都没开,并且有可读,可写,可执行段 2.IDA pro看一下 gets函数读入一个 s 然后把 s 复制到 buf2
[ret2shellcode]
GUANGUANMAO1的博客
11-01 393
ret2shellcode,即控制程序执行shellcode代码。shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode需要我们自已填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的。
从ctfwiki开始的pwn之旅 2.ret2shellcode
2301_80361487的博客
12-04 1191
这里我们以 bamboofox 中的 ret2shellcode 为例,需要注意的是,你应当在内核版本较老的环境中进行实验(如 Ubuntu 18.04 或更老版本)。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。但是,这并不会影响该文件在内存中的权限位,特别是在使用如GDB这样的调试器时通过。在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。命令不会改变这些内存段的权限。
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 1386
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
ret2shellcode
m0_62280492的博客
07-07 1334
简单介绍常见的ret2shellcode
nssctf ret2shellcode
最新发布
02-09
### nssctf ret2shellcode 解题思路和技巧 在处理涉及 `ret2shellcode` 的漏洞利用时,核心概念在于找到可执行内存区域并成功注入 shellcode。对于 nssctf 中的此类挑战,通常需要考虑以下几个方面: #### 寻找合适的地址空间布局随机化(ASLR)绕过方法[^1] 当面对开启了 ASLR 的目标程序时,直接定位到特定位置变得困难重重。此时可以借助信息泄露漏洞来获取堆栈基址或其他重要模块加载地址;也可以寻找未受保护的服务端口或文件映射作为稳定入口。 #### 利用已知偏移量计算返回地址 如果存在某些固定不变的数据结构或者函数指针表,则可以通过静态分析确定其相对于其他部分的位置关系,在此基础上构建可靠的 ROP 链条以调整寄存器状态,并终指向预先准备好的 shellcode 地区[^4]。 ```python from pwn import * # 假设已经找到了一个稳定的泄漏点用于绕过ASLR leak_address = ... # 泄露的具体地址值 # 计算得到 libc base 和 system 函数的实际地址 libc_base = leak_address - offset_to_libc_start_main_ret system_addr = libc_base + offset_of_system_function_in_libc payload = b'A' * buffer_size_until_return_address payload += pack(system_addr, 32) # 将 system() 放置为新的 EIP/RIP ``` #### 注入有效载荷——编写自定义 ShellCode 考虑到现代操作系统普遍启用了多种防护机制如 DEP/NX bit ,因此需特别注意选择具有 execute 权限的目标缓冲区内存页写入 payload 。此外还需确保所编写的机器码能够在不同架构下正常工作,比如 x86 vs ARM 等差异。 ```assembly section .text global _start _start: ; execve("/bin/sh", NULL, NULL); xor eax, eax ; 清零 EAX 寄存器 (对应 syscall number) push eax ; argv[0]=NULL -> stack top mov ebx, esp ; EBX=argv[] array pointer push '/sh' push '//bi' mov ecx, esp ; ECX="/bin/sh" string ptr xor edx, edx ; envp[]=NULL int 0x80 ; 执行系统调用中断请求 ```
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值