Ret2shellcode
分析原理
控制程序执行shellcode代码。
shellcode代码指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。
是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码
在栈溢出的基础上,要想执行shellcode,需要相应的binary
在运行时shellcode
所在区域具有可执行权限。
利用
运行时shellcode所在区域具有可执行权限
程序存在溢出,可以控制返回地址
操作系统关闭ASLR (地址空间布局随机化) 保护
echo 0 > /proc/sys/kernel/randomize_va_space
一般情况下shellcode都写入bss段
解题思路
算出溢出位(cyclic),构造初始paylaod.
使用GDB的vmmap查看bss段权限
将shellcode数据写入到bss段
将程序溢出到上一步用户提交变量的地址
因为写入到bss段之后,关于read函数
read(int fd,buf,size_t count)
buf就是shellcode写入的bss段地址,也就是我们要溢出到的地址。
例题
ret2sc
查看下源码,发现name变量声明在bss段
按照上面的解题步骤来做,通过cyclic算出溢出位
用vmmap查看bss段权限
可以看到有足够的权限,我们可以将shellcode写入到bss段,使用asm(shellcraft.sh())来生成shellcode,将生成的shellcode写入到name所在的bss段。然后在第二次输入时发送payload将程序溢出到上一个用户变量所在的地址。
exp:
1 | from pwn import * |
ret2shellcode64
和32位没什么不同,就是最后返回的是64位的地址
exp:
1 | from pwn import * |
持续更新
偏有宸机 ret2shellcode在宸机师傅博客学习。宸机师傅—-我pwn生涯的领路人