参考链接 ：基本 ROP - CTF Wiki (ctf-wiki.org)
参考链接： https://www.freebuf.com/vuls/266711.html
参考链接：PWN入门（1-3-4）-基本ROP-ret2shellcode (yuque.com)

栈溢出漏洞的一种利用方式，通过向可写入可执行内存写入shellcode，并利用栈溢出漏洞将返回地址覆盖为shellcode的首地址加以执行。

在讲原理之前我们先讲一下shellcode是什么？

shellcode 是一种小型程序代码，通常是以机器码的形式存在，被用于在目标系统上执行特定的服务。

一般来说就是一段可以获得shell的机器码

1.自包含性

shellcode通常是自包含的，这意味着它不依赖于外部的库或资源，能够独立运行。

2.编写方式

shellcode 通常是用汇编语言编写的，然后汇编成机器码，这是因为机器码可以直接在目标系统的处理器上执行，并且具有很高的执行效率。

3.常见用途

在CTF中主要用途为获得一个 shell。

这些都是机器码形式

Linux x86 shellcode

Linux x64 shellcode

ret2shellcode 即 通过向可写可执行内存中写入shellcode，并利用栈溢出漏洞将指针寄存器执行shellcode地址执行写入的shellcode代码的利用方式。

为了避免 ret2shellcode 利用漏洞，人们研究出了程序保护来防止利用。

下面介绍两个最常见的防止 ret2shellcode 的利用保护。

ASLR是一个Linux系统保护机制，有效的防止了很多漏洞。

ASLR是操作系统的功能选项，在ELF文件加载到内存的时候发动，会影响到栈、动态链接库、堆的基址。开启后，每次程序加载使栈、动态链接库、堆的基地址都会随机化。

ASLR有三种状态

/proc/sys/kernel/randomize_va_space的值决定着ASLR的状态

1.值为0，地址随机化关闭

2.值为1，随机化stack、mmap映射、vdso

3.值为2，随机化stack、mmap映射、vdso、heap（默认选项）

早期人们将shellcode写入缓冲区执行，但是因为ASLR保护的出现导致这种方法利用难度变高。

倒不是不可以将shellcode写入缓冲区，只不过泄露栈地址难度很高，与其花力气泄露栈地址向栈上写入shellcode还不如直接向数据段写入shellcode。

NX保护机制的全写为 NO-Execute（不可执行），NX的原理是将数据所在内存页标识为不可执行，当程序被劫持到数据页（不可执行内存）时，程序会尝试在数据页面上执行指令，因为数据页被标记为不可执行，此时CPU就会抛出异常，而不是去执行数据。

NX保护的出现导致向数据段写入shellcode并执行的方法也不可行了。

一般ret2shellcode的前提是没有NX保护，但是即便存在NX保护在一定条件下也有办法shellcode。

这里介绍一个可以修改内存权限的函数。

mprotect函数，可以改写内存权限

如果程序中存在这个函数就可以调用这个函数修改内存权限实现ret2shellcode。

checksec查保护，程序为32位，没有栈溢出保护和地址随机化保护。

ida打开分析

分析代码逻辑存在栈溢出。

这题是用来讲shellcode，我就直接讲shellcode的利用了。

搜索函数窗口

发现mprotect函数

可以通过栈溢出调用mprotect函数修改内存权限，写入shellcode获取shell。

gdb查看内存映射，查看数据段地址

可以看到起始地址 0x80ea000 到 0x80ec000 为数据段地址

回顾一下，mprotect的第一个参数的内存区间必须包含整个内存页（4K）。区间开始的地址 start 必须是一个内存页的起始地址，并且区间长度 len 必须是页大小的整数倍。

由于要求的地址空间为4K的整数倍，因此后三位为 000， 即 mem_addr = 0x80ea000 或 0x80eb000、0x80ec000 都可以。

布栈

执行read函数后会将标准输入输入的内容写入到指定地址。

将 payload 发送之后再发送 shellcode 即可。

查找gadget

选中一个三次pop的gadget进行平栈。

根据思路构造exp。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课