构建栈帧绕过NX选项

最新推荐文章于 2022-06-01 16:11:27 发布
最新推荐文章于 2022-06-01 16:11:27 发布
阅读量554 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之PWN 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ChuMeng1999/article/details/122426857

目录

预备知识

本实验要求实验者具备如下的相关知识。

一、栈帧

在高级语言中,当函数被调用时,系统栈会为这个函数开辟一个栈帧,并把它压入到栈里面。新开辟的栈帧中的空间被它所属的函数所独占,当函数返回的时候,系统栈会清理该函数所对应的栈帧以回收栈上的内存空间。
每个函数都拥有自己独占的栈帧空间,有两个特殊的寄存器用于标识栈帧的相关参数:
1.ESP寄存器,永远指向栈帧的顶端;
2.EBP寄存器,永远指向栈帧的底部。
在调用一个函数的时候,函数所需要的参数首先会依次被压入栈上,其次压入对应的返回地址,最后跳转到被调用的函数执行代码并开辟新的栈帧。新的栈帧的底部保存有EBP寄存器的值,基于EBP寄存器可以获取到被调用函数所需要的参数信息。

二、NX选项

NX即No-eXecute(不可执行)的意思,NX选项会将进程特殊区域的内存标记为不可执行,当CPU跳转到这些区域执行代码的时候便会产生异常,以阻止缓冲区溢出时直接在栈上执行恶意代码。
gcc编译器默认开启了NX选项,如果需要关闭NX选项,可以给gcc编译器添加-z execstack参数。在Windows下,类似的概念为DEP(Data Execution Prevention,数据执行保护),在最新版的Visual Studio中默认开启了DEP编译选项。

三、扩展阅读

关于栈帧、函数调用的具体实现过程、数据执行保护等知识点,可以参考学习《0day安全:软件漏洞分析技术(第二版)》一书中的相关章节。

实验目的

1)了解NX、栈帧的基本概念;
2)掌握NX选项的开启、关闭以及查看方式;
3)掌握基于栈帧构建绕过NX选项的方法。

实验环境

在这里插入图片描述
服务器:CentOS 6.5,IP地址:10.1.1.101
测试机:Windows XP,IP地址随机
辅助工具:GCC,Python,IDA Pro,PuTTY,checksec

实验步骤一

题目描述:
在CentOS服务器的/home/test/pwn/2目录下存放了pwn2、start_service.py两个文件,运行start_service.py即可启动pwn2程序并在服务器的9992端口上监听网络连接。
pwn2程序的副本同时存放在Windows XP实验机器的C:\CTF\PWN2\2目录下,请对pwn2程序进行分析,并编写漏洞利用代码来获取CentOS服务器的控制权限。

通过GCC编译选项控制NX的开启和关闭

在使用GCC编译源代码的时候,默认开启了NX选项,我们可以通过指定-z execstack参数来关闭NX选项。下面详细讲解通过GCC编译选项控制程序NX选项的开启和关闭。
首先,在Windows XP实验机

最低0.47元/天 解锁文章

200万优质内容无限畅学
二进制安全之NX绕过方法--ROP技术
Hvnt3r的博客
03-06 2932
二进制安全之NX绕过方法–ROP技术 原文地址 在之前的缓冲区溢出的实验中,溢出到中的shellcode可以直接被系统执行,给系统安全带来了极大的风险,因此NX技术应运而生,该技术是一种在CPU上实现的安全技术,将数据和命令进行了区分,被标记为数据的内存页没有执行权限,因此即使将恶意shellcode写入到执行流程中也会因缺少执行权限而利用失败,在一定程度上提高了系统的安全性,但是所有安全都是绝...
WINDOWS和LINUX的内存防护机制
x_nirvana的博客
03-11 6165
一、windows下的内存保护机制0x00、二进制漏洞二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。二进制漏洞早期主要以溢出为主。我们都知道在C语言中调用一个函数,在编译后执行的是CALL指令,CALL指令会执行两个操作:(1)、将CALL指令之后下一条指令入。 (2)、跳转到函数地址。函数在开始执行时主要工作为保存该函数会修改的寄存器的值和申请局
[pwn]ROP:绕过NX策略
Breeze的博客
05-03 1万+
ROP学习实例:绕过NX策略 我们使用的例子是这篇博客中的第一个例子:https://bbs.ichunqiu.com/thread-42530-1-1.html?from=sec,在i386环境中运行,很简单的一道题,这里提供一种更加简单的解法,只需细致观察,可以免除一些不必要的计算。 NX策略是使区域的代码无法执行,但我们可以使用ROP绕过。 ROP技术就是不需要自己手动写shellcode...
调整技巧 | 劫持指针
Sakura给爷pwn全场
12-12 237
参考链接 https://www.cnblogs.com/ichunqiu/p/11238429.html
CTF中的PWN——绕NX防护2(泄露libc + 溢出)
壊壊的诱惑你的博客
10-23 1972
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
Nx 介绍: 基于插件的单一代码库(Monorepo)构建系统
AaronZZH 的博客
06-01 3886
Nx 是一个智能的、快速的、可扩展的,单代码库优先和强大的插件集成的构建系统。Nx的设计理念与Visual Studio Code类似。VSCode是一个强大的文本编辑器,即使你不安装任何扩展,你也可以使用它非常高效。VSCode的扩展生态系统可以真正提高你的工作效率。.........
【汇编语言安全编程】:构建无懈可击的安全关键代码
!... # 摘要 汇编语言作为编程语言的底层,既强大又灵活,但同时安全风险较高。本文首先概述了汇编语言安全编程的重要性及其基础安全机制。随后深入探讨内存管理和执行流安全,包括内存分段与分页机制、内存访问控制、...
Return-to-libc攻击实验教程及源码分析
Return-to-libc攻击是一种安全漏洞利用技术,主要用于绕过现代操作系统的地址空间布局随机化(ASLR)和非执行位(NX bit)等安全措施。这种攻击利用了可执行代码片段存在于标准C库(libc)中的事实,允许攻击者通过...
利用CFI和安全堆保护措施增强二进制文件安全性
这在进行不同类型之间的转换时非常有用,但如果不当使用,也可能导致安全漏洞,特别是如果通过强制转换绕过了类型安全检查。 #### 6. ud2指令 在描述中提到了一个特定的汇编指令ud2,它是一个将未初始化的数据转换...
函数的创建与销毁
baidu_37964044的博客
08-07 1630
#include #include int Add(int x, int y) { int z = 0; z = x + y; return z; } int main() { int a = 1; int b = 2; int ret = 0; ret = Add(a, b); system("pause"); return 0; } 接下来按F10,并转到反汇编 int
BIOS设置详解
热门推荐
11-29 1万+
 Phoenix BIOS BIOS设置: 几乎所有的主板所附Phoenix-Award BIOS 都包含了CMOS SETUP 程序,以供用户自行依照需求,设定不同的数据,使计算机正常工作,或执行特定的功能。CMOS SETUP会将各项数据储存于主机板上内建的CMOS SRAM中,当电源关闭时,则由主板上的锂电池继续供应CMOS SRAM所需电力。当再次开启电源时, BIOS 开始进
PWN——GCC编译中几种保护打开和关闭的参数
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
09-21 1064
NX:-z execstack / -z noexecstack (关闭 / 开启) 不让执行上的数据,于是JMP ESP就不能用了 Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 里插入cookie信息 PIE:-no-pie / -pie (关闭 / 开启) 地址随机化,另外打开后会有get_pc_thunk RELRO:-z norelro / -z lazy.
Python---TCP send()sendall()区别
大西瓜Blog
09-11 7308
 # 发送TCP数据 send()的返回值是发送的字节数量, #这个数量值可能小于要发送的string的字节数, # 也就是说可能无法发送string中所有的数据。如果有错误则会抛出异常。 s.send()    # 发送TCP数据,sendall()尝试发送string的所有数据,成功则返回None,失败则抛出异常。 s.sendall()  sock.sendall('Hel...
CISCO NX-OS启用和禁用功能
Jesse的黑洞
03-27 2267
 CISCO NX-OS启用和禁用功能 cisco nx-os有能力去启用和禁用特定的功能,例如OSPF和PIM。默认CISCO NX-OS软件启用必须的功能。这种方法优化了操作系统减少了不必要的进程对资源的占用。 如果一个功能没有被启用,这个功能的进程不运行,配置和验证不是有效地。一旦一个功能被启用,配置和验证命令可以被执行。依赖的功能,进程将不启动知道feature被配置如route
gcc编译原理选项
kuangreng的专栏
07-18 1458
常见linux攻击技术之绕过NX实现溢出攻击
parker的专栏
04-15 8092
0x00 前言 众所周知,linux下开启了NX的以及windows下开启了DEP的程序堆是不可执行的,linux下的程序默认编译时是开启了NX的,故很久以前采用的通过jmp esp或者jmp rsp跳板技术跳转到中的shellcode执行的溢出攻击方式基本上已经失效。 除了NX,还有ASLR,PIE,CANARY,FORTIFY,RELRO等各类保护手段五花八门,大大的提高了linux
linux程序的常用保护机制
weixin_42072280的博客
12-11 3122
linux NX PIE windows DEP ASLR NX:-z execstack/-z noexecstack(关闭 / 开启) Canary:-fno-stack-protector/-fstack-protector/-fstack-protector-all(关闭 / 开启 / 全开启) P...
PWN【gcc编译时几种保护的开与关】
weixin_51055545的博客
03-08 1150
这里借鉴参考lonyliu师傅的博客,记录学习一下. NX:-z execstack / -z noexecstack (关闭 / 开启) 不让执行上的数据,于是JMP ESP就不能用了 Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 里插入cookie信息 PIE:-no-pie / -pie (关闭 / 开启) 地址随机化,另外打开后会有get_pc_thunk
shellcode好像也绕过nx
最新发布
03-08
嗯,用户之前问过NX位元,现在又问shellcode如何绕过NX。这说明用户可能对系统安全感兴趣,或者在学习相关的安全知识。需要确认用户的知识水平,但根据之前的问题,用户可能有一定的汇编和操作系统基础。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值