[PWN][进阶篇]ROP-Ret2Shellcode-64位实例

最新推荐文章于 2024-08-14 11:41:39 发布
最新推荐文章于 2024-08-14 11:41:39 发布
阅读量4.2k 收藏 5
点赞数 2
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46363249/article/details/115179495
版权

ROP-Ret2Shellcode-64位实例

/usr/include/x86_64-linux-gnu/asm/unisted_64.h
在这里插入图片描述在这里插入图片描述编写64位shellcode,思路和32位是一样的
(1)想办法调用execve("/bin/sh",null,null)
(2)借助栈来传入字符串/bin/sh
(3)系统调用execve
rax = 0x3b(64bit)
rdi = bin_sh_addr
rsi = 0
rdx = 0
在这里插入图片描述
实例代码如下:
在这里插入图片描述
setvbuf函数的作用是优化io流,在服务器上时,或者是比赛时,一般都会有这个函数。
我们还发现了最重要的切入点 get()

我的大刀已经饥渴难耐了
实例开始

step1 检查保护
在这里插入图片描述step2 查看buf2

在这里插入图片描述
在这里插入图片描述
step3 查601080的段是否可执行
在这里插入图片描述我们利用vmmap看看601080
在这里插入图片描述rwxp权限,可以执行

step4 计算偏移
cyclic 300
cyclic -l +异常地址
但是pwndbg只能读四字节的
在这里插入图片描述
所以我们读6161616b
在这里插入图片描述
偏移量是40,起飞

step5 exp搞起
整体思路:
一个全局变量一个main函数一个局部变量
两个get
第一个get把他覆盖到输入,栈的返回值覆盖到全局变量的入口处,第二个get输入我们的shellcode
注意选用全局变量存放shellcode,就要考虑是否有权限

在这里插入图片描述在这里插入图片描述
exp理解:
程序是64位的,os是linux的,所以我们要告诉电脑
offset是40,我们上面cyclic求的
shellcode是自动生成的
grep可以找到buf2,这里我们用其他的方式来找ELF()+symbols[]
一个get的payload使我们指向buf2
第二个get利用shellcode来getshell
因为程序有交互,p.recvuntil(’: '),的意思就是直到程序输出的内容含有:+空格再继续向下发送信息

希望大家可以有所收获!!!

鹏华李
关注
专栏目录
pwn的最基本的ret2shellcode原理
admin的博客
10-03 954
题源:ctf-wiki的基础ROP的ret2shellcode 基本 ROP - CTF Wiki (ctf-wiki.org) ①:先checksec检查 可以看出基本上没什么保护开启,而且含有RWX段(这个段的意思就是可读可写可执行),很明显是一个shellcode的题目。 ②:先反编译看看 有gets函数,绝对考溢出。而且没有system函数和bin/sh,也没有后门函数可以直接使用。再结合他有RWX段就可以很明显的判断这是一个ret2shellcode的题目。 ...
pwn基础ROP-碎片组合
admin的博客
10-03 334
题源:基本 ROP - CTF Wiki (ctf-wiki.org)的ret2syscall ①:老套路,先检查。 没有RXW可执行段。而且NX保护打开了。 ②:拉到IDA反汇编。 没有system,也没有可直接利用的后门函数,但是有bin/sh。什么也没有。而且段都是不可执行段,也不能直接写入整个shellcode段。 但是还有gets函数,天无绝人之路,又是栈溢出的类型。看来得自己拿碎片构造rop了(得存在所有的碎片才行)。 (这个过程起始就类似于堆积木:积木碎片在房...
linux x64 shellcode,栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 529
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
Rop-Ret2Shellcode-64位实例
fanghuapyk的博客
03-19 850
Rop-Ret2Shellcode-64位实例 前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位shellcode来执行execve(“/bin/sh”,null,null); 如何编写shellcode呢? ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_
(shellcode注入攻击)ret2shellcode-栈上的ret2shellcode
最新发布
2401_83500274的博客
08-14 280
用64ida打开发现如下情况,他输出了v4的地址,然后shift+F12没有发现什么后面函数和bin/sh字样,所以我们可以考虑用栈上的ret2shellcode来写。v4_addr = int(r.recvline()[33:-1],16)#这里接受的是printf里的,并且进行了切片操作,使得位v4地址并且转换为10进制。ret2shellcode的题,大致为bss段上的和栈上的shellcode。生成64位shellcode,接收v4的地址,利用ljust覆盖填充,返回v4的地址。
黑客攻防入门(三)shellcode进阶
不断攀登
07-31 4288
1. 概说实际上,编写shellcode面昨很多障碍和限制,很多时候必须忍受没有办法解决问题的痛苦。2. 问题首先,在缓冲区里使用植入shellcode,代码里只能出现一个NULL(0)字符,因为所有的输入函数,只要检测到NULL字符就会返回,因此,NULL只能够出现在shellcode的结尾处,否则,shellcode将会变得不完整。其次,缓冲区的大小,大部分的缓冲区都是一个很小的空间,如8字节,
ret2shellcode
huzai9527的博客
02-02 145
1. buuoj—ciscn_2019_n_5(64位) 查看保护,没有开启NX,RELOAD也没有完全开启 shellcode 的存储地址 首先读入name,这里可以作为shellcode 的地址,其次gets() 函数,在获取gets 时存在栈溢出 name在bss 段的位置 exp from pwn import * p = process('./ciscn_2019_n_5') elf = ELF('./ciscn_2019_n_5') context.log_lev
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1069
0x01 Ret2Text的局限性
PWN ret2shellcode
prettyX的博客
11-22 1971
今天天气阴,来做一下ret2shellcode。 记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode,就是,return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcodeshellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 ret2shellcode...
CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1619
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
PWN入门系列(3)ROP的利用
小心信科理化声
12-04 2283
ret2shellcode 原理 ret2shellcode,即控制程序shellcode代码。shellcode指的是用于完成某个功能的汇编代码,如:call等,常见的功能主要是获取目标系统的shell。如果想执行shellcode,需要对应的binary在运行时,shellcode所在的区域具有可执行权限。 举例 还是以bammboofox的ret2shellcode为例 附:ret2shellcode 第一步还是进行checksec giantbranch@ubuntu:~/Desktop/PWN$
64位shellcode编程(不错) Windows x64 Shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-06 4030
原文链接:http://mcdermottcybersecurity.com/articles/windows-x64-shellcode Windows x64 Shellcode January 11, 2011 Contents Introduction RIP-Relative Addressing API Lookup
PWN --- ret2shellcode
qq_41696518的博客
06-28 906
PWN ret2shellcode
Linux 64位 shellcode
weixin_44442852的博客
10-20 1446
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
Ret2shellcode利用
looiezheng的专栏
07-17 95
1.用ulimit -c命令确定是否允许产生core文件,若为0,则不生成core文件,需要通过ulimit -c unlimited将其设置为允许产生core文件,该设置仅在当前会话中生效,若要长期有效,需要保存在配置文件中:打开文件/etc/profile 然后在最末尾添加一行 ulimit -c unlimited ,然后保存退出,使用命令 source /etc/profile 使其生效。由于程序直接执行时的环境变量与调试时有差异,会导致栈空间地址变化,注入利用代码后会出现core。
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 517
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
ctf pwn题怎么生成64位shellcode
03-25
生成64位shellcode可以使用以下步骤: 1. 编写shellcode,使用64位汇编语言(如nasm)来写。 2. 使用工具将汇编代码转换为机器码。可以使用以下命令: 64位Linux:nasm -f elf64 -o shellcode.o shellcode.asm...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹏华李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值