[PWN][进阶篇]ROP-Ret2Shellcode-64位实例

ROP-Ret2Shellcode-64位实例

/usr/include/x86_64-linux-gnu/asm/unisted_64.h

编写64位shellcode，思路和32位是一样的

（1）想办法调用execve("/bin/sh",null,null)

（2）借助栈来传入字符串/bin/sh

（3）系统调用execve

rax = 0x3b(64bit)

rdi = bin_sh_addr

rsi = 0

rdx = 0

实例代码如下：

setvbuf函数的作用是优化io流，在服务器上时，或者是比赛时，一般都会有这个函数。

我们还发现了最重要的切入点 get（）

我的大刀已经饥渴难耐了

实例开始

step1 检查保护

step2 查看buf2

step3 查601080的段是否可执行

我们利用vmmap看看601080

rwxp权限，可以执行

step4 计算偏移

cyclic 300

cyclic -l +异常地址

但是pwndbg只能读四字节的

所以我们读6161616b

偏移量是40，起飞

step5 exp搞起

整体思路：

一个全局变量一个main函数一个局部变量

两个get

第一个get把他覆盖到输入，栈的返回值覆盖到全局变量的入口处，第二个get输入我们的shellcode

注意选用全局变量存放shellcode，就要考虑是否有权限

exp理解：

程序是64位的，os是linux的，所以我们要告诉电脑

offset是40，我们上面cyclic求的

shellcode是自动生成的

grep可以找到buf2，这里我们用其他的方式来找ELF（）+symbols[]

一个get的payload使我们指向buf2

第二个get利用shellcode来getshell

因为程序有交互，p.recvuntil(’: ')，的意思就是直到程序输出的内容含有：+空格再继续向下发送信息

希望大家可以有所收获！！！