PWN-ret2shellcode原理

最新推荐文章于 2024-08-14 11:41:39 发布

双层小牛堡

最新推荐文章于 2024-08-14 11:41:39 发布

阅读量565

点赞数 1

分类专栏： PWN的学习文章标签：笔记

本文链接： https://blog.csdn.net/m0_64180167/article/details/130197612

版权

PWN的学习专栏收录该内容

14 篇文章 2 订阅

订阅专栏

我们之前做过很简单的pwn题目

buuctf-rip这种是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可

但是如果程序里面没有呢

这种类型就是ret2shellcode

常见的shellcode

shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

这个shellcode只有23字节是可以在能输入字节有限的地方进行使用

如果输入的字节可以存储特别大的话我们可以使用pwntools的函数生成

from pwn import *
context.arch='amd64'   #64位需要使用这个  32不用加
shellcode=asm(shellcraft.sh())

这是我理解的retshellcode的栈中的图

1.写入垃圾字符覆盖输入函数的变量和ebp

2.写入shellcode的地址把返回地址覆盖掉实现返回到shellcode的地址中

3.写入shellcode

这篇只是最简单的自我认识原理

例题

CTFHUB-PWN-ret2shellcode_双层小牛堡的博客-CSDN博客

立减 ¥

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

pwn小白入门04---ret2shellcode

weixin_45943522的博客

02-21

1976

原理 ret2shellcode，当程序当中没有system函数时，我们需要自己往栈上写入一段shellcode，然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码，常见的功能主要是获取目标系统的 shell。在栈溢出的基础上，要想执行 shellcode，需要对应的程序在运行时，shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。例题（来自ctfwiki）：首先checksec：发现程序没有开启任何保护，并且存在可读可写

pwn ret2shellcode

young‘s blog

02-08

1692

写在前面，记录一些小知识和一些文章对于checksec后几个参数的具体研究： checksec及其包含的保护机制（原博客图已经挂了，只能用简书的了） pwntools介绍（刚开始看不懂英文文档可以看这个）： pwntools pwntools使用简介文件执行时权限不够使用命令为： chmod +x start.sh 当堆栈开启了保护的时候，我们不能够直接将shellcode覆盖到堆栈中执行，...

参与评论您还未登录，请先登录后发表或查看评论

(shellcode注入攻击)ret2shellcode-栈上的ret2shellcode

最新发布

2401_83500274的博客

08-14

314

用64ida打开发现如下情况，他输出了v4的地址，然后shift+F12没有发现什么后面函数和bin/sh字样，所以我们可以考虑用栈上的ret2shellcode来写。v4_addr = int(r.recvline()[33:-1],16)#这里接受的是printf里的，并且进行了切片操作，使得位v4地址并且转换为10进制。ret2shellcode的题，大致为bss段上的和栈上的shellcode。生成64位的shellcode，接收v4的地址，利用ljust覆盖填充，返回v4的地址。

简单的PWN学习-ret2shellcode

weixin_48421613的博客

07-05

900

最近在学习pwn，这是一道2016年的pwn题目，主要学习关于栈溢出以及劫持栈指针达到命令执行的效果，笔者水平较差，请轻喷

Rop-Ret2Shellcode-64位实例

fanghuapyk的博客

03-19

880

Rop-Ret2Shellcode-64位实例前面写过了32位的shellcode，这次继续64位shellcode，当我们的64位程序中没有system函数，并且开启了NX保护时，这时我们需要用到64位的shellcode来执行execve（“/bin/sh”,null,null）; 如何编写shellcode呢？ ①想办法调用execve("/binsh" , null, null); ②借助栈来传入字符串/bin/sh ③系统调用execve rax = 0x3b(64bit) rdi = bin_

[PWN][进阶篇]ROP-Ret2Shellcode-64位实例

网络安全知识分享

03-24

4262

ROP-Ret2Shellcode-64位实例 /usr/include/x86_64-linux-gnu/asm/unisted_64.h 编写64位shellcode，思路和32位是一样的（1）想办法调用execve("/bin/sh",null,null) （2）借助栈来传入字符串/bin/sh （3）系统调用execve rax = 0x3b(64bit) rdi = bin_sh_addr rsi = 0 rdx = 0 实例代码如下： setvbuf函数的作用是优化io流，在服务器上时，或

英招杯 pwn2（ret2shellcode）

qq_53928256的博客

11-16

382

由于程序运行时，即输出了输入值s的存放首地址，我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14，故只需返回s的首地址加上0x14即可；我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离，且程序的NX保护未开启，我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移，我们相对比较容易的出var_30对应的变量为v5，var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节，满足我们所需的要求。

跟着CTF-wiki学pwn——ret2shellcode

qq_42882717的博客

07-01

875

CTF-wiki的注解：ret2shellcode

[调试逆向] Linux内核PWN-ret2dir(附赠基础slub算法!)

ysxx188888的博客

03-13

386

利用的主要是这么个思想以及物理内存的情况，本题也是回忆起了很多内核PWN的基础知识点，算是慢慢抓起来了。

PWN ret2shellcode

prettyX的博客

11-22

1994

今天天气阴，来做一下ret2shellcode。记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode，就是，return to shellcode，即让程序中某个函数执行结束后，返回到shellcode的地址去执行shellcode。shellcode指的是用于完成某个功能的汇编代码，常见的功能主要是获取目标系统的shell。 ret2shellcode...

pwn的最基本的ret2shellcode原理

admin的博客

10-03

974

题源：ctf-wiki的基础ROP的ret2shellcode 基本 ROP - CTF Wiki (ctf-wiki.org) ①：先checksec检查可以看出基本上没什么保护开启，而且含有RWX段（这个段的意思就是可读可写可执行），很明显是一个shellcode的题目。 ②：先反编译看看有gets函数，绝对考溢出。而且没有system函数和bin/sh,也没有后门函数可以直接使用。再结合他有RWX段就可以很明显的判断这是一个ret2shellcode的题目。 ...

pwn刷题num35----ret2shellcode

tbsqigongzi的博客

04-29

330

BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序，小端序开启部分RELRO-----got表可写未开启canary保护-----存在栈溢出未开启NX保护-----堆栈可执行，可注入shellcode 未开启PIE-----程序地址为真实地址动态链接运行程序后，先是让我们输入一个name，之后让我们输入一些信息，什么也看不出来 ida一下注意两个函数 read(0, name, 0x64uLL);

ret2shellcode

qq_45691294的博客

12-18

4826

shellcode的含义：在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码，这是非常危险的。这里学习一下shellcode的利用方式，用ret2shellcode作为例题先用checksec查看一下保护，可以看到，没有开启任何保护机制，且是一个32位的程序使用IDA分析程序，只发现了主函数，并没有发现后门函数 get

Ret2shellcode利用

looiezheng的专栏

07-17

102

1.用ulimit -c命令确定是否允许产生core文件，若为0，则不生成core文件，需要通过ulimit -c unlimited将其设置为允许产生core文件，该设置仅在当前会话中生效，若要长期有效，需要保存在配置文件中：打开文件/etc/profile 然后在最末尾添加一行 ulimit -c unlimited ,然后保存退出，使用命令 source /etc/profile 使其生效。由于程序直接执行时的环境变量与调试时有差异，会导致栈空间地址变化，注入利用代码后会出现core。

栈溢出 shellcode ret2shellcode

wing_7的博客

10-06

541

shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址，在函数运行时不变，用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址，这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址，这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。

CTFHUB-PWN-ret2shellcode

m0_64180167的博客

04-16

980

几个大方向的思路：没有PIE：ret2libcNX关闭：ret2shellcode其他思路：ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数但是没有shell我们现在要确定一些信息。

字符串溢出（pwn溢出）--ret2shellcode

莫慌的博客

09-26

2160

pwn 入门

pwn ret2libc原理

08-22

pwn ret2libc是一种攻击技术，其原理是通过利用程序中的栈溢出漏洞，来控制程序的执行流程，以达到执行libc中的函数的目的。在ret2libc攻击中，程序会调用libc库中的函数，例如system函数，来执行特定的操作。但是在程序中没有自带的/bin/sh字符串，所以需要通过其他方式获取执行shell命令的能力。具体而言，攻击者会利用程序中的栈溢出漏洞，将栈上的返回地址修改为在libc库中的某个函数的地址，例如puts函数。然后通过执行puts函数，将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的，攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作，比如执行shell命令。总结来说，pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址，然后根据已知的函数地址和libc的版本计算出system函数的真实地址，最终实现执行shell命令的目的。123 #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]