PWN-ret2shellcode原理

最新推荐文章于 2024-01-24 17:14:26 发布
最新推荐文章于 2024-01-24 17:14:26 发布
阅读量522 收藏 2
点赞数 1
分类专栏: PWN的学习 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130197612
版权

我们之前做过很简单的pwn题目

buuctf-rip这种 是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可

但是如果程序里面没有呢

这种类型就是ret2shellcode

常见的shellcode

shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

这个shellcode只有23字节 是可以在能输入字节有限的地方进行使用

如果输入的字节可以存储特别大的话 我们可以使用pwntools的函数生成

from pwn import *
context.arch='amd64'   #64位需要使用这个  32不用加
shellcode=asm(shellcraft.sh())

这是我理解的retshellcode的栈中的图

1.写入垃圾字符覆盖输入函数的变量和ebp

 2.写入shellcode的地址 把返回地址覆盖掉 实现返回到shellcode的地址中

 3.写入shellcode

 这篇只是最简单的自我认识原理

例题

CTFHUB-PWN-ret2shellcode_双层小牛堡的博客-CSDN博客

双层小牛堡
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn ret2shellcode
young‘s blog
02-08 1663
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1838
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 798
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
Rop-Ret2Shellcode-64位实例
fanghuapyk的博客
03-19 810
Rop-Ret2Shellcode-64位实例 前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位的shellcode来执行execve(“/bin/sh”,null,null); 如何编写shellcode呢? ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_
[PWN][进阶篇]ROP-Ret2Shellcode-64位实例
网络安全知识分享
03-24 4102
ROP-Ret2Shellcode-64位实例 /usr/include/x86_64-linux-gnu/asm/unisted_64.h 编写64位shellcode,思路和32位是一样的 (1)想办法调用execve("/bin/sh",null,null) (2)借助栈来传入字符串/bin/sh (3)系统调用execve rax = 0x3b(64bit) rdi = bin_sh_addr rsi = 0 rdx = 0 实例代码如下: setvbuf函数的作用是优化io流,在服务器上时,或
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
英招杯 pwn2(ret2shellcode
qq_53928256的博客
11-16 283
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
pwn刷题num35----ret2shellcode
tbsqigongzi的博客
04-29 293
BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 未开启NX保护-----堆栈可执行,可注入shellcode 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,先是让我们输入一个name,之后让我们输入一些信息,什么也看不出来 ida一下 注意两个函数 read(0, name, 0x64uLL);
ret2shellcode
weixin_56301399的博客
07-20 448
基本流程是先查看文件信息,然后ida反编译,再去寻找自己所要的变量,最后构建代码。
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 492
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 803
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2037
pwn 入门
ret2shellcode 学习
最新发布
akdelt的博客
01-24 498
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1043
0x01 Ret2Text的局限性
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值