PWN-ROP

最新推荐文章于 2024-11-02 19:36:16 发布
原创 最新推荐文章于 2024-11-02 19:36:16 发布 · 811 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一次PWN题目的解决过程,通过栈溢出利用libc文件找到puts函数地址,并进一步推导出system和'/bin/sh'的地址。在构造payload过程中,分析了汇编代码和偏移量计算,最终实现payload执行。

题目:给出PWN2文件和libc

在这里插入图片描述
发生栈溢出。

查看:

文件类型及其保护方法
在这里插入图片描述
找system和bin_sh都么有
在这里插入图片描述
在这里插入图片描述
所以只能利用libc文件

理论

在这里插入图片描述
在这里插入图片描述

思路

由于libc的延迟绑定机制,需要选择已经执行过的函数作为泄漏函数,这里我们选择put()//输出一句话

计算偏移量=92
但是在gdb里得出offset=91,这是错的。

最低0.47元/天 解锁文章
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To Myon'Blog !
05-08 756
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
BUUCTF-PWN-inndy_rop
Rt1Text的博客
03-05 912
可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。
PWN入门系列(2)ROP
小心信科理化声
12-03 867
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 1162
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3861
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
pwn-ROP
aitangdao4981的博客
05-23 335
首先对目标文件checksec,提示NX enabled,看看其解释 NX/DEP(堆栈不可执行) NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。 打开qira调试一下,报segmentation fa...
pwn --rop
Vccxx的博客
04-08 2138
rop练习—Very Secure Systemrop 真爽。。题目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原题,原题有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1636
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3164
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
pwn——rop练习
sjt670994562的博客
09-17 698
hackme——ROP2 这道题用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术
recover517的博客
08-30 5840
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 7857
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn学习】ROP(更新中)
Morphy_Amo的博客
12-10 897
什么是ROPROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadgets就是以ret结尾的指令序列。 ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。
hackme pwn rop [ROPgadget]
ACdream
02-01 612
IDA找漏洞点很快    所以,栈溢出的偏移值为:0xC + 0x4 = 0x10 因为开了NX,所以需要ROP~ 剩下的就是工具: ROPgadget --binary rop --ropchain  
Pwn之初级ROP
Rinko233的博客
11-02 1260
初级ROP,包含ret2text , ret2shellcode , ret2syscall , ret2libc
pwnROP--retlibc
Joaus的博客
04-27 797
ROP中对retlibc技术的一些学习心得 漏洞利用思路: 1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件) 查询libc版本一般有三种方法: 1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入 通过libc.dump('system')可以得到system函数的偏移,libc.du...
[pwn]ROP:灵活运用syscall
热门推荐
Breeze的博客
08-26 1万+
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值