高级栈溢出技术—ROP实战(write4)

最新推荐文章于 2022-06-12 16:55:25 发布
最新推荐文章于 2022-06-12 16:55:25 发布
阅读量662 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ChuMeng1999/article/details/122382281
本文详细介绍了如何通过返回导向编程(ROP)技术解决write4实验,涉及radare2、gdb、ROPGadget、pwntools的使用,以及操作系统保护机制、函数调用等知识。实验目的是理解ROP概念,学会在高级栈溢出情况下解决问题。通过分析二进制文件,找到了将cat flag.txt写入合适内存地址的方法,并利用gadget完成字符串注入,最终成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

预备知识

关于ROP

ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。

本系列rop实战题目的背景

来自ROPEmporium,旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

write4涉及知识点

1)radare2使用(相关专栏:radare2实战)。
2)汇编程序(阅读、分析,要求熟悉相关指令、寄存器等)。
3)gdb使用。
4)ROPGadget使用。
5)pwntools使用(相关实验:基于pwntools编写pwn代码)。
6)操作系统保护机制。
7)函数调用、传参机制。
8)system调用机制。
9)strings,grep等命令行工具使用。
10)理解程序内存空间(代码段、程序段、bss段、堆栈)。

实验目的

通过该实验学习ROP概念及其思路,了解高级栈溢出时需要注意的事项,并掌握解决方法,同时通过练习给出的关卡来增强实践能力。

实验环境

服务器:kali,IP地址:随机分配
题目文件与源码请在实验机内下载使用:http://tools.h

最低0.47元/天 解锁文章

200万优质内容无限畅学
C/C++ 基础栈溢出及保护机制
编程与实战的博客
12-01 3214
来源:pandolia 整理:CPP开发者https://www.jianshu.com/p/47d484b9227e【导读】:缓冲区溢出非常危险,因为栈空间内保存了函数的返回地址。...
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3290
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
rop emporium 2020】write4
^_^
02-06 535
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,这道题与之前的版本的区别是没有system函数,但是有另外一个print_file函数来获取flag,所以本质上还是差不多的。 题目链接:https://ropemporium.com/challenge/split.html 备注:以下题目都是在ubuntu16.04下完成 32位 溢出点还是44… 看了下网上给的教程是利用system函数。但是好像网站更.
ROP Emporium write4
u014377094的博客
02-10 2469
checksec还是老样子 ida打开 依旧是pwnme函数,点开是个plt跳转 文件给了.so,那么ida打开 明显栈溢出 继续找可利用的漏洞,注意看notice,提示打开printfile 我们可以看到这里传参是个指针,下面fopen后fgets接着puts了,fopen是拿来开文件的,文件里不正是flag,这次倒是让system休息了一回。 现在我们要做的就是让al指向写有文件名的地址。现在难点在如何在一块区域写下文件名,并且知道这块地址是多少。栈想来想去也不知道怎么做,但.
ROP_Emporium_write4
Starr
03-24 909
文章目录1. write432信息收集黑盒测试反汇编思路Exp2. write4反汇编PayloadExp3. 参考文章 1. write432 信息收集 题目给了3个文件:write432, libwrite432.so, flag.txt。 $ file write432 write432: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.
ROPEmporium通关全解(四)
Yale的博客
12-24 454
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 572
buuctf 032-038题题解,重点关注038题 pwnable_orw
ctf pwn栈溢出题目
最新发布
01-25
### CTF PWN 栈溢出题目解题思路与漏洞利用教程 #### 一、栈溢出基础概念 栈溢出是一种常见的内存错误,当程序试图向栈中写入的数据量超过了分配给该变量的空间时就会发生。这种情况下,额外的数据会覆盖相邻的内存...
【逆向学习记录】学习《一步一步学ROP_x86》
卦星的专栏
01-11 1560
1.概述 通过前面三篇文章,学习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用学习最好的方法就是利用经典,其中经典教学里面最经典的当属蒸米大神的一步一步教学系列 一步一步学ROP之linux_x86篇 – 蒸米 蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的学习探索 环境:ubuntu 16.04 编译需要在原...
AIX:栈溢出
Thinking > Coding >Think
09-15 2837
$cat memset.c(根据实际代码简化)#include#includeint main(){char path[256];memset(path,1,PATH_MAX);} $xlc -g memset.c$a.outIllegal instruction(coredump)$dbx a.outType help for help.[using memo
实验三--rop
qq_44759495的博客
03-20 732
实验原理与目的 在上次实验的基础上稍微加大点难度,倘若不能直接找到system和bin/sh,之前向内存中中直接写入shellcode的方式就行不通了,那么就需要一些其他手段来获得,所以就需要绕过保护。ROP(Return-Oriented Programming, 返回导向编程)就是一种绕过技术,本实验就是通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin...
软件安全实验——lab7(缓冲区溢出3:返回导向编程技术ROP
Onlyone_1314的博客
08-05 2965
目录标题1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm)(1)ROP在X86指令集上的实例(2)ROP在ARM上的可行性2、举例描述一个远程缓冲区溢出,思考和本地溢出的区别,攻击难点在哪里?3、描述arm和x64下的缓冲区溢出,比较和x86的差异。 1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm) ROP(Return-oriented programming),即“返
高级栈溢出技术ROP实战(简介及ret2win)
ChuMeng1999的博客
01-07 1492
目录预备知识关于ROP本系列rop实战题目的背景ret2win涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
pwn--栈迁移
weixin_44642009的博客
04-17 1085
栈迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用栈迁移? 由上图可知,程序开辟的堆栈大小是0x50字节,而read函数输入可以输入0x60字节,明显存在栈溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要栈迁移。 ...
网络攻防实验:defcon2015 r0pbab
weixin_44657675的博客
04-20 489
网络攻防课程实验,包含一些曲折及提示以及参考代码从python2.x到python3.x的修改
高级栈溢出技术ROP实战(pivot)
ChuMeng1999的博客
01-09 744
目录预备知识关于ROP本系列rop实战题目的背景pivot涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium
picoctf 2013_rop4
I have a dream
03-14 539
ROP4 实验程序: #include <stdio.h> #include <unistd.h> #include <string.h> char exec_string[20]; void exec_the_string() { execlp(exec_string, exec_string, NULL); }
PWN_ROP——使用WRITE函数的一些注意的地方
勤劳的小蜜蜂
05-19 1011
在I春秋的《ROP与Ret to Libc》视频中,讲解的非常详细,但是在理解使用WRITE函数中刚刚想能一些地方。 ROP += pwn.p32(addr_1) #write@plt 这里使用的是PLT是个JMP的,不像CALL指令中会把返回地址压入栈中 ROP += pwn.p32(addr_2) #pop_3 ret 在init函数的最后,找到3个POP和1个RET,因为使用...
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值