Pwn 学习 question_5 x64ROP编程

原创 已于 2022-04-30 13:21:59 修改 · 682 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2022-04-30 13:21:44 首次发布
本文详细介绍了如何进行x86和x64架构下的Return-Oriented Programming(ROP)攻击,包括确定溢出量、栈布局、利用got表泄露信息及计算libc基址,最终实现代码执行。通过示例代码和exploit编写过程,阐述了ROP在不同架构下的实现差异。

Pwn 学习 question_5 x64ROP编程

1.源代码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
int dofunc(){
   
   
    char b[8] = {
   
   };
    write(1,"input:",6);
    read(0,b,0x100);
    //printf(b);
    return 0;
}

int main(){
   
   
    dofunc();
    return 0;
}

2.编译

x86

gcc -m32 -fno-stack-protector -no-pie -o question_5_x86

x64

gcc -fno-stack-protector -no-pie -o question_5_x64

3.x86

3.1.确定溢出量

00:0000│ esp 0xffffd000 ◂— 0x0
01:0004│     0xffffd004 —▸ 0xffffd018 ◂— 'aaaabaaaacaaaa\n'
02:0008│     0xffffd008 ◂— 0x100
03:000c│     0xffffd00c —▸ 0x8049182 (dofunc+12) ◂— add    ebx, 0x2e7e
04:0010│     0xffffd010 ◂— 0x1
05:0014│     0xffffd014 —▸ 0xffffd0e4 —▸ 0xffffd2ba ◂— 0x6d6f682f ('/hom')
06:0018│ ecx 0xffffd018 ◂— 'aaaabaaaacaaaa\n'
07:001c│     0xffffd01c ◂— 'baaaacaaaa\n'
08:0020│     0xffffd020 ◂— 'acaaaa\n'
09:0024│     0xffffd024 ◂— 0xa6161 /* 'aa\n' */
0a:0028│ ebp 0xffffd028 —▸ 0xffffd038 ◂— 0x0
0b:002c│     0xffffd02c —▸ 0x80491e1 (main+21) ◂— mov    eax, 0
0c:0030│     0xffffd030 ◂— 0x1
0d:0034│     0xffffd034 —▸ 0x8049060 (_start) ◂— xor    ebp, ebp
  • 可以计算出溢出量应该是 5 * 4 = 20

3.2.布栈

  • 按照如下顺序安排溢出后的栈空间

3.2.1.第一次溢出

ebp
p32(write_sym)
p32(dofunc_addr)
p32(1)
p32(leak_func_got)
p32(4)

3.2.2.计算libc_base

  • 我们现在获取了write在动态链接后got表中的地
最低0.47元/天 解锁文章
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 523
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
X64ROP
amae_coder的博客
04-10 748
实验步骤: 首先拿到文件先看看有没有什么栈保护 因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护 将文件拖入IDA中进行反编译,然后静态分析 这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看 我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80...
rop编程入门
11-21
rop编程,E文,但是使用的词汇都是常见的词汇,需要汇编基础。
STM8 ROP编程
冷饮
11-08 3709
FLASH->CR1 = FLASH_CR1_RESET_VALUE; FLASH->CR2 = FLASH_CR2_RESET_VALUE; FLASH->NCR2 = FLASH_NCR2_RESET_VALUE; FLASH->IAPSR &= (uint8_t)(~FLASH_IAPSR_DUL); FLASH->IAPSR &= (uint8_t)(~FLASH_IAPS
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 1030
Pwn中的ROP问题演示
BUUCTF Pwn jarvisoj_level2_x64 题解
qq_33348179的博客
12-05 530
运行 得到flag flag{4b1340f5-06be-4377-9630-fd2c77f016dd}这是64位程序 所以构造ROP链时要用rdi传参+用ret栈平衡。SHIFT+F12查找字符串 找到了binsh。看到输入的payload压入栈中了。1.下载 checksec。64位 用IDA64打开。函数里面也有system。
pwn之jarvisoj_level2_x64
勿山几已
01-11 1065
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 426
https://blog.youkuaiyun.com/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
rop进攻_进攻性编程
danpu0978的博客
05-12 409
rop进攻 如何使您的代码同时更加简洁和行为规范 您是否曾经有过一个表现异常古怪的应用程序? 您知道,您单击一个按钮并没有任何React。 或屏幕突然变黑。 否则应用程序进入“奇怪状态”,您必须重新启动它才能使事情重新开始工作。 如果您经历过这种情况,则可能是特定形式的防御性编程的受害者,我将其称为“偏执狂编程”。 防守者应谨慎看守。 偏执狂的人会害怕并且以奇怪的方式行事。 在本文中,我将...
rop demo完整用例
07-16
本文是借助maven搭建的一个rop框架,以及一个简单的测试用例,供大家学习分享。如果发现不对的地方,希望大家留言提出,
初识ROP——返回导向编程
江南晚来客的专栏
11-05 6759
ROP是啥?或许以前曾经在某个地方见过它的出现,不过我可以肯定自己对这个ROP完全不懂。唯一有印象的,就是前几天TX的电话面试上面提到过。既然在面试中被问到,那应该是一种比较受关注的技术。今晚找了两三篇相关的论文,再加上其它博客上的相关资料,算是对ROP有了初步的认识。     在说ROP之前,先来说一下什么是缓冲区溢出漏洞。缓冲区溢出漏洞(buffer overflow)是当今软件系统最主要
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 896
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
rop x64分析记录
inquisiter
12-30 683
rop x64分析记录##!c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <dlfcn.h>void systemaddr() { void* handle = dlopen("libc.so.6", RTLD_LAZY); printf("%p\n",dlsym(handle,"syste
Pwn question_4_2_x64 ROP编程 以及 ropper初使用
MrTreebook的博客
04-23 1367
ROP编程
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 613
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
rop检查_[翻译]返回导向编程ROP)检测技术ROPGuard
weixin_29629231的博客
01-17 691
摘要:本文将介绍一种用于防止返回导向编程(ROP)攻击的技术,称之为ROPGuard。ROPGuard在2012年Black Hat USA的微软BlueHat奖竞赛中获得二等奖(https://www.microsoft.com/security/bluehatprize/)。 该技术不需要知道所保护程序的源代码以及其它信息,从而确保它可以应用于任何进程,且不会遇到编译器级解决方案的常见问题。...
rop入门(一)
陈安志的博客
01-12 1784
简介:  rop不同于一般的技术性框架,主要用于构建服务放开平台,您可以使用 Rop 开发类似于淘宝服务开放平台这样的服务平台  Rop 功能 架构  CXF 和 Jersey 是纯技术纯的 Web Service 框架,而在 Rop 中,Web Service 只是核心,  它提供了开发服务平台的诸多领域问题的解决方案:如应用认证、会话管理、安全控制、  错误模型、版本管理、超时限制等
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1750
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
pwn_deploy_chroot后会有镜像吗
最新发布
10-02
5. 结束时生成相关问题。 步骤: - 确认问题:pwn_deploy_chroot操作后是否会产生镜像? - 答案:是的,根据引用[^1],部署过程中会生成Docker镜像。 - 引用[^1]显示`sudo docker images`的输出,证明有镜像创建。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值