从BUUCTF之“jarvisoj_level5”中看如何暗度陈仓实现“mprotect”修改.bss段为可执行

最新推荐文章于 2025-08-28 22:55:26 发布
原创 最新推荐文章于 2025-08-28 22:55:26 发布 · 789 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #linux

本文详细介绍了如何在64位系统中,针对开启了NX保护但未开启栈保护的程序,通过栈溢出漏洞,利用返回导向编程(ROP)技术泄露函数地址,计算并调用'mprotect'来改变内存权限,进而注入并执行自定义的shellcode。过程中涉及到的步骤包括:栈溢出、函数地址泄露、shellcode注入、修改got.plt表、调用通用gadget等,最终实现代码执行。

本体我们要求不适用system和execve来解题,所以我们整点不一样的。

简单分析一下题目:

在这里插入图片描述
64位,只开启了NX保护,显然在提示我们 修改段权限位可执行hhh

在这里插入图片描述
程序逻辑比较简单:定义一个0x80大小的数组,而后调用两个函数,write一下,而后read函数使用,显然造成栈溢出,而栈保护没有开启,所以我们可以轻易劫持控流。

具体思路如下:

  1. 泄露一个函数地址而后计算“mprotect”地址
  2. bss=elf.bss()生成一片data段作为shellcode注入的目的地址
  3. 注入shellcode,这里shellcode使用shellcraft模块生成时需要注明一些附加调试(context)条件,否则报错
  4. 将bss所在地址添加到got.plt处(这里可能专业术语解释不到位,大佬勿喷)据说“call其他函数需要在got表中存有,所以需要添加在got表中空闲处。”
  5. 利用“通用gadget”调用mprotect修改bss段权限
  6. 接着执行bss处的shellcode

EXP如下:

from pwn import*
p=remote('node4.buuoj.cn',26405)
libc=ELF('./libc-2.23.so')
context(arch="amd64",os="linux",log_level="debug")

elf=ELF('./5')
read_got=elf.got['read']
read_plt=elf.plt['read']
vuln=0x4005e6
write_got=elf.got['write']
write_plt=elf.plt['write'
最低0.47元/天 解锁文章
[BUUCTF]PWN——jarvisoj_level5
mcmuyanga的博客
01-19 830
jarvisoj_level5 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行一下,看看大概的情况 64位ida载入,找到关键函数 buf是0x80,read了0x200,明显的溢出漏洞。采用常规的ret2libc方法 程序里用过了write函数,所以利用write函数来泄露libc 先看一下write函数的原型 ssize_t write( int fd, const void * buf,size_t nbytes) write函数将buf中的nbytes字节内容写
一步一步分析return to mprotect的利用
2301_77498991的博客
04-28 289
我们可以通过mprotect()函数来修改权限(例如bss),使其权限变为(rwx),然后将shellcode写进去并跳转过去.写一个c来测试一下,为了方便测试,就关闭了canary保护.(附件提供写好的题目,源码和exp)看到网上很少专门写这个漏洞利用方式的文章,就想参考自己之前的学习记录来写一篇记录.mprotect()函数: 用来修改指定内存区域的保护属性.- int prot:区权限(可以用8进制来表示)- size_t len: 区的大小。跳转到bss即可,
ROP技术利用教程:用程序的“碎片“拼出Root权限
最新发布
fearhacker的专栏
08-28 704
ROP(Return-Oriented Programming)技术:当系统禁止执行栈上的代码时,利用程序中已有的代码片(gadgets)"拼凑"出想要的功能。
大话内存四区
weixin_46098612的博客
06-18 485
运行之前我们要想执行我们编写的c程序,那么第一步需要对这个程序进行编译。当我们编译完成生成可执行文件之后,我们通过在linux下size命令可以查看一个可执行二进制文件基本情况: 通过上图可以得知,在没有运行程序前,也就是说程序没有加载到内存前,可执行程序内部已经分好3信息,分别为代码区(text)、数据区(data)和未初始化数据区(bss)3 个部分(有些人直接把data和bss合起来叫做静态区或全局区)。 1.代码区存放 CPU 执行的机器指令。通常代码区是可共享的(即另外的执行程序
jarvisoj_level5
z1r0的博客
12-29 402
jarvisoj_level5 buu上的这个题目对应的是level3 x64。jarvisoj_level3 x64
pwn学习-jarvisoj-level5
qq_45653588的博客
12-22 461
mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。 mprotect()函数 在Linux中,mprotect()函数可以用来修改指定内存区域的保护属性。mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 int mprotect(const void *start, size_t len, int prot); port:(读4,写2,执行1) 由于64位下函数传参前六个参.
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2153
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
Jarvisoj_WP
Ph4ntom的一亩三分地
03-10 847
文章目录@[toc]**JarvisOJ - Level 0****EXP****JarvisOJ - Level 1****EXP****JarvisOJ - Level 2****EXP****JarvisOJ - Level 2_x64****EXP****JarvisOJ - Level 3****EXP****JarvisOJ - Level 3_64****EXP****JarvisOJ - Level 4****EXP****JarvisOJ - Level 5****EXP****Jarvi
jarvisoj pwn level5 wp
zszcr的博客
03-26 2094
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
JarvisOJ level5
PLpa的博客
07-11 473
题目要求不用system和execve函数,练习使用mmap和mprotect函数。 首先看一下mmap函数和mprotect函数有什么用。 mmap()函数 mmap将一个文件或者其它对象映射进内存。文件被映射到多个页上,如果文件的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。 头文件 <sys/mman.h> 函数原型 voi...
BSS
maimang1001的专栏
11-01 747
http://winn0301.blog.sohu.com/142209655.html BSSBSSbss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS属于静态内存分配。BSS节不包含任何数据,只是简单的维护开始和结束的地址,以便内存区能在运行时被有效地清零。BSS节在应用程序的二
BUUCTF jarvisoj_level5
2401_85052854的博客
03-26 355
主要的函数只有这个,没有后门函数,保护只开了nx,也就是常见的ret2libc的攻击方式,这里主要考的是再64位的传参,这个read肯定是很足够来栈溢出的。我们先用Roggadget来寻找rdi和rsi和rdx的地址,但是找不到rdx的地址,但是我们找到了和rsi连在一起的r15,也可以拿来当第三个参数存放。
jarvis oj level5
发蝴蝶和大脑斧的博客
12-11 1082
level5要求不用system和execve,而是用mprotect和mmap,查了一下,mmap主要是将哪个文件映射到一内存去同时设置那内存的属性 可读可写或者是可执行mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。毫无头绪。查了网上大神的wp,才知道思路。 首先leak地址,shellcode写入bss没什么好说的。 要说下为什么要把bss和mprotec...
c语言让BSS可输入执行shellcode
fjh1997的博客
10-23 245
【代码】c语言让BSS可输入执行shellcode。
SyntaxError: return outside function
逐梦人.的博客
10-10 2109
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
jarvisoj level5爬坑
weixin_30512785的博客
11-12 209
本着纸上得来终觉浅,绝知此事要躬行的原则,把一个简单的ROP做了一下。漏洞很明显,libc有给出;唯一的限制就是不允许调用system或execve,而是用mprotect或者mmap 脚本调了半天,最后发现是shellcode的问题;这里边的一个坑是shellcraft.sh()要指定一个目标平台的架构,没用过shellcraft模块,连这么简单的错都犯,汗-_-|| from pwn ...
objdump -x hkrpg.dll |grep "RVA" objdump: hkrpg.dll: warning: ignoring section flag IMAGE_SCN_MEM_NOT_PAGED in section .F.[ [ 0] +base[ 1] 21b0 导出 RVA
03-23
用户执行了`objdump -x hkrpg.dll | grep "RVA"`,结果出现了一个警告和一个输出。我需要分析这个问题并提供解决方案。 首先,用户的警告信息是`ignoring section flag IMAGE_SCN_MEM_NOT_PAGED in section .F.[`。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值