pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)

最新推荐文章于 2024-10-28 16:34:35 发布
原创 最新推荐文章于 2024-10-28 16:34:35 发布 · 1.9k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #linux #系统安全

本文详细介绍了如何利用ROP技术进行ret2syscall和ret2libc1攻击,包括环境检测、漏洞利用、系统调用参数设置和gadgets的寻找与利用,展示了获取shell的过程,帮助读者理解ROP攻击的基本原理和步骤。

前两篇博客讲述了解pwn题的环境配置和ROP攻击的原理,以及两道最基本的ROP攻击题目,详情见:

(59条消息) pwn入门(1):kali配置相关环境(pwntools+gdb+peda)_Bossfrank的博客-优快云博客(59条消息) pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)_Bossfrank的博客-优快云博客本节我们再继续介绍ROP攻击的两个基本实例。

ret2syscall    

二进制下载链接为点此处下载ret2syscall 

与ret2text和ret2shellcode一样,我们先检测程序开启的保护,命令(把二进制程序改名为ret2syscall):

checksec ret2syscall

 发现开启了NX防护措施,源程序为 32 位

 查看IDA pro(按F5),同样存在溢出点gets函数:

 然后我们再搜一搜有没有类似syscall函数和'/bin/sh'字符串这样的特征可以利用,发现确实有'/bin/sh'字符串,位于0x080be408

当然,也可以用ROPgadget搜索'/bin/sh',命令如下:

ROPgadget --binary ret2syscall --string '/bin/sh'

 也可找到字符串所在地址,为0x080be408

 然后貌似也没有其他有价值的东西可直接利用了。我们可以尝试利用系统调用,但如何给 syscall 传参呢

最低0.47元/天 解锁文章
ROP链-BUUCTF-inndy_ropret2syscall
Welcome To Myon'Blog !
05-08 627
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 721
(仅作为本人的学习笔记和心得 如有错误请多指教)
17ret2libc1_64 pwn 入门
02-11
pwn 入门
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 6805
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
PWN学习---1、基本漏洞-缓冲区溢出
weixin_42766694的博客
04-19 600
环境:Ubuntu12.04 32位 一、存在漏洞代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc,char * argv []) { /* [1] */ char buf [256]; /* [2] */ strcpy(buf,argv [1]); /* [3] */ printf("input:%s \n",buf);
cpu缓冲区大小怎么设置_pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
weixin_39957068的博客
11-21 297
虚拟机环境:Ubuntu 14.04(x86)本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的堆栈起始地址都不一样...
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1236
ROP基础
ROP缓冲区溢出利用
小龙在线
09-30 581
32位应用 32位ELF的参数直接放到栈中。 先找到一个EFF程序,用IDA打开F5,发现了fgets缓冲区溢出利用点: 溢出长度为:0x28 + 0x4 = 0x2C。 Shift+F12查找可以利用的字符串: 这俩看着能用: .rodata:08048747 00000008 C /bin/ls .data:0804A030 00000012 C /bin/cat flag.txt usefulString db '/bin/cat flag.txt',0地址0x0804A030,没有被其他函数
PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note
Mr_Fmnwon的博客
07-02 1150
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
EternalBurning的博客
04-12 1835
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
PWN入门第一节(缓冲区溢出之栈溢出上篇)
xiaobai的博客
06-23 910
0x10 本期简介 在计算机安全领域,缓冲区溢出是个古老而经典的话题。众所周知,计算机程序的运行依赖于函数调用栈。栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。 为了实现栈溢出,要满足两个条件。第一,程序要有向栈内写入数据的行为;第二,程序并不限制写入数据的长度。历史上第一例被广泛注意的“莫里斯蠕虫”病毒就是利用C语言标准库的 gets() 函数并未限制输入数据长度的漏洞,从而实现了栈溢出。 Fig 1. 波士
PWN入门第二节(缓冲区溢出之栈溢出下)
xiaobai的博客
06-23 333
0x10 上期回顾 上篇文章介绍了栈溢出的原理和两种执行方法,两种方法都是通过覆盖返回地址来执行输入的指令片段(shellcode)或者动态库中的函数(return2libc)。本篇会继续介绍另外两种实现方法。一种是覆盖返回地址来执行内存内已有的代码片段(ROP),另一种是将某个函数的地址替换成另一个函数的地址(hijack GOT)。 0x20 相关知识 0x21 寄存器 在上篇的背景知识中,我们提到了函数状态相关的三个寄存器--esp,ebp,eip。下面的内容会涉及更多的寄存器,所以我们大致介绍下寄存
rop攻击实例
dszfzzm的博客
12-13 1365
rop32和rop64的个人解题思路,以及一点思考。
缓冲区溢出攻击实践
海枫的专栏
01-30 2万+
缓冲区溢出攻击方法是黑客入门的基础,本文以一个具体的实例一步步介绍如何进行最初级的缓冲区溢出攻击
PWN-栈溢出
GalaxySpaceX的博客
08-26 1488
PWN-栈溢出
ropret2libc
温和的跳跃
02-04 474
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
针对Android上的ROP攻击剖析
简行之旅
11-01 1万+
引言        ROP(Return-oriented programming),即“返回导向编程技术”。其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回堆栈把各个gadget拼接起来,从而达到恶意攻击的目的。构造ROP攻击的难点在于,我们需要在整个进程空间中搜索我们需要的gadgets,这需要花费相当长的时间。但一旦完成了“搜索”和“拼接”,这样
缓冲区溢出基础实践()——ROP 与 hijack GOT
weixin_34015336的博客
06-11 858
3.ROP    ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击所需要的 shellcode 来实现攻击效果。这种方式不需要注入新的指令到漏洞程序就可以改变某些寄存器或者变量的值,从而改变程序的执行流程。   攻击者可以通过工具对目标程序搜索,寻找所需要...
nssctf ret2shellcode
最新发布
02-09
### nssctf ret2shellcode 解题思路和技巧 在处理涉及 `ret2shellcode` 的漏洞利用时,核心概念在于找到可执行内存区域并成功注入 shellcode。对于 nssctf 中的此类挑战,通常需要考虑以下几个方面: #### 寻找合适的地址空间布局随机化(ASLR)绕过方法[^1] 当面对开启了 ASLR 的目标程序时,直接定位到特定位置变得困难重重。此时可以借助信息泄露漏洞来获取堆栈基址或其他重要模块加载地址;也可以寻找未受保护的服务端口或文件映射作为稳定入口。 #### 利用已知偏移量计算返回地址 如果存在某些固定不变的数据结构或者函数指针表,则可以通过静态分析确定其相对于其他部分的位置关系,在此基础上构建可靠的 ROP 链条以调整寄存器状态,并最终指向预先准备好的 shellcode 地区[^4]。 ```python from pwn import * # 假设已经找到了一个稳定的泄漏点用于绕过ASLR leak_address = ... # 泄露的具体地址值 # 计算得到 libc base 和 system 函数的实际地址 libc_base = leak_address - offset_to_libc_start_main_ret system_addr = libc_base + offset_of_system_function_in_libc payload = b&#39;A&#39; * buffer_size_until_return_address payload += pack(system_addr, 32) # 将 system() 放置为新的 EIP/RIP ``` #### 注入有效载荷——编写自定义 ShellCode 考虑到现代操作系统普遍启用了多种防护机制如 DEP/NX bit ,因此需特别注意选择具有 execute 权限的目标缓冲区内存页写入 payload 。此外还需确保所编写的机器码能够在不同架构下正常工作,比如 x86 vs ARM 等差异。 ```assembly section .text global _start _start: ; execve("/bin/sh", NULL, NULL); xor eax, eax ; 清零 EAX 寄存器 (对应 syscall number) push eax ; argv[0]=NULL -> stack top mov ebx, esp ; EBX=argv[] array pointer push &#39;/sh&#39; push &#39;//bi&#39; mov ecx, esp ; ECX="/bin/sh" string ptr xor edx, edx ; envp[]=NULL int 0x80 ; 执行系统调用中断请求 ```
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Boss_frank

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值