ROP_Ret2Shellcode-32实例
一、相关知识
之前我们说过ret2text漏洞是依赖于程序中存在执行 system("/bin/sh")的函数,那么如何解决ret2text的局限性
ret2textshellcode
没有执行shell的函数,没有开启NX保护
传入自定义的shellcode
ret2libc
开启NX(可写的不可执行)
使用libc函数,leak libc + ROP
什么是shellcode?
通常是开启一个shell
Linux的系统调用
/usr/include/x86_64-linux-gnu/asm/unistd_32.h
写shellcode就是在eax中放我们的系统调用号,最经常用的就是红框中的11
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_pwn](https://s2.51cto.com/images/blog/202203/09144520_62284d00cdf9761052.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_自动生成_02](https://s2.51cto.com/images/blog/202203/09144521_62284d013192865800.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_03](https://s2.51cto.com/images/blog/202203/09144521_62284d0172ae21171.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
上图是32位的
如何写shellcode(两种方式)
1、手写
(1)调用execve(“/bin/sh”,null,null);
(2)传入字符串/bin///sh(三个’/’)
(3)系统调用execve
eax = 11
ebx = bin_sh_addr(第一个参数)
ecx = 0
edx = 0
2、pwntools自动生成
(1)先指定context.arch = “i386/amd64” (运行环境)
(2)asm(自定义shellcode)
(3)asm(shellcraft.sh())
(4)自动生成shellcode
NX保护(DEP)数据执行保护:可写的不可执行,可执行的不可写
二、实例教学
实例下载:提取码:8189
step1:checksec 检查保护
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_系统调用_04](https://s2.51cto.com/images/blog/202203/09144521_62284d01b13f992119.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
我们发现没有NX和canary保护
这时我们可以用ret2text护着ret2shellcode
step2:查看是否存在系统函数
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_05](https://s2.51cto.com/images/blog/202203/09144521_62284d01da2a477653.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
-d 显示汇编语句 grep system 查找是否存在system函数,但是这里显然是没有的,所以只能用ret2shellcode(没有NX保护就可以用)
step3:看看主函数
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_系统调用_06](https://s2.51cto.com/images/blog/202203/09144522_62284d024fed719322.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
我们看到了get,这就是我们的切入点
思路:程序先put,然后get,我们要覆盖这里,获取返回值,这个返回值就是0x804a080,就是strcpy函数上方的参数。
step4:查看804a080在哪个段,这个段是否有执行权限
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_系统调用_07](https://s2.51cto.com/images/blog/202203/09144522_62284d02a416279640.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184)
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_自动生成_08](https://s2.51cto.com/images/blog/202203/09144522_62284d02cb56857800.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
rwxp权限ok的,我们是可以把shellcode写到这里的
step5 计算偏移
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_09](https://s2.51cto.com/images/blog/202203/09144523_62284d030d32098859.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_10](https://s2.51cto.com/images/blog/202203/09144523_62284d0330f2642974.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
step6 exp开始
1、自动生成的shellcode 的exp 如下:
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_11](https://s2.51cto.com/images/blog/202203/09144523_62284d036bf4529561.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
告诉电脑我们是什么程序,32位嘛不是,所以是i386,我的操作环境是linux
然后获取进程
利用pwntools自动生成shellcode
payload还是,条用shellcode的ljust方法,两个参数依次是偏移量和用什么填充,再加上覆盖的地址
然后发送和获取交互环境
我们运行一个这个ex
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_可执行_12](https://s2.51cto.com/images/blog/202203/09144523_62284d039baf080861.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
撒花撒花!!!!
2、手写shellcode
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例_系统调用_13](https://s2.51cto.com/images/blog/202203/09144523_62284d03d833c78268.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
给大家来讲解一下这个手写的shellcode
我们都知道最核心的是/bin///sh
所以我们在手写的时候push了3个参
push了68 ,对照ascll码也就是h
之后的两个push也就是h///nib/
系统读取的时候是从右到左的,所以小端读进去之后也就是/bin///sh
再和大家说一下为什么是三个/ 如果主要是避免0的出现,/bin/sh从意思上就已经OK了,但是这样子的话不够8位,会自动补0,如果是0的话系统读到00就自动终止了,所以是///
mov ebx,esp呢就是我们最后读的/bin///sh给到了ebx
两个xor的原因是我们要将exc和edx清空,不能赋值给0
push 11 11是我们execve的系统调用号
pop eax 尽量用push + pop的方式来给寄存器赋值
这样子就ok了
希望大家有所收获!!!!
