利用setcontext来进行ORW

最新推荐文章于 2025-11-22 21:54:41 发布
原创 最新推荐文章于 2025-11-22 21:54:41 发布 · 967 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

当遇到堆题禁用execve时我们就需要用ORW的方法来读取flag,那么堆题如何实现栈迁移来进行ORW就成了一个问题,而利用setcontext是解决这个问题的一个方案

首先来了解什么是setcontext?

setcontext是libc中的一个函数,而它的汇编代码中含有大量的 mov <寄存器> 这类汇编语句,如下图(注:setcontext以glibc2.29为分界线,2.29以下和2.29及以上有较大不同):
![[Pasted image 20250227233231.png]]

上图是glibc2.27中的 setcontext 的汇编部分,可以看到其中有非常多的控制寄存器的mov指令,它们都利用 rdi+<偏移值> 来获取具体的数值,所以如果我们可以控制 rdi寄存器 随后将程序跳转到 setcontext+53(也就是图中mov rsp,[rdi+0xa0h]的位置) 这样我们就可以控制包括 rip rsp 这两个重要寄存器,

基本思路

控制执行流之后就有两种思路:

  1. 是直接控制程序执行流去执行ROP链
  2. 是先用 mprotect 函数开辟一段可读可写可执行的空间再跳到上面去执行 shellcode

这里我们主要讲解执行ROP链ORW的思路:
控制 rsp寄存器 到我们布置好 ROP的地址,然后控制 ripret地址

如何控制rip并开始ORW?

通过观察上图发现最后一条指令是ret而其中有一个push rcx的操作,因此可以判断ret返回的地方就是rcx中存储的地址
那么此时栈中的情况就是下面的这样

ORW部分的代码
... ...
ORW部分的代码
rcx中的值  <-- rsp

-----我是分割线----
最低0.47元/天 解锁文章
XiDP
关注
setcontext+orw
「 虚幻私塾」
01-27 933
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
pwn题堆利用的一些姿势 -- setcontext
lifanxin的博客
06-27 3752
setcontext概述setcontext介绍setcontext具体操作setcontext实例总结 pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – IO_FILE 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上
【pwn】orw
weixin_43960998的博客
06-19 2051
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【我的 PWN 学习手札】setcontext + ROP
Mr_Fmnwon的博客
10-28 1497
setcontext的gadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
【我的 PWN 学习手札】setcontext + shellcode
Mr_Fmnwon的博客
10-24 1058
之后释放一个 SigreturnFrame,寄存器设置如下图所示。程序通过 setcontext gadget 设置寄存器后将 完成栈迁移可程序执行流劫持后程序将执行,此时会调用 mprotect 函数将 free_hook 所在内存页添加 可执行属性并且会将栈迁移至 &free_hook+0x8 的位置。执行完 mprotect 函数后程序将跳转至 shellcode1 执行。shellcode 会向 __free_hook 所在内存页起始位置读入能 orw 的 shellcode2 并跳转 至 shel
glibc2.27下堆题绕过沙箱
qq_45595732的博客
03-27 857
这里因为重点在于沙箱的绕过,漏洞就拿了一个最简单的uaf做演示。 最主要的是setcontext这个函数,可以看到setcontext+53之后控制了大量的寄存器(可以看作就是一个SigreturnFrame),寻址都是[rdi+x]的方式,那么我们假如劫持了free_hook为setcontext+53,此时rdi刚好是堆块内容的地址,我们可以直接放个SigreturnFrame进去,之后利用的话就按个人喜好了。我写了三种方式,本质都是orw。 1.mprotect+shellcode 2.rop(rop
【八芒星计划】 ORW
carol2358的博客
09-01 4281
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 1190
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
libc2.35时代IO利用
若有战,召必回
12-30 1371
文章中的利用方法主要针对libc2.35,高版本可做适当修改利用。话不多说,直接开始。house of apple系列libc2.35后的IO利用最知名的就是house of apple了,一共三个系列文章,是roderick师傅发现并广泛利用。基于IO_FILE->_wide_data的利用技巧条件:已知heap地址和libc地址能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过__malloc_assert触发。
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 347
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了沙盒 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
glibc 2.35 pwn——house of kiwi示例程序
CoLin的pwn小屋
12-29 1263
house of kiwi演示程序
【我的 PWN 学习手札】House of Kiwi
Mr_Fmnwon的博客
03-02 868
之前我们利用IO_FILE一般是通过劫持vtable来实现的,虽然不是通过劫持vtable来实现,但实质上是劫持vtable指向的全局的表来实现的。,也就不能利用这种方法,比较玄学需要实际看一下。较高版本的glibc去除了exit hook;而如果程序调用中利用诸如write__exit等函数直接触发系统调用,不走IO结构体调用流程,就难以使用IO的方法来劫持程序执行流程。之所以赋予这个利用手法名,实际上是因为找到了一条“主动触发异常退出”来触发vtable上的相关函数来的实现攻击。
【PWN · setcontext】[2024网鼎杯 · 青龙组] PWN4
Mr_Fmnwon的博客
10-30 1883
套的东西比较多,RC4加解密、账号密码爆破、沙箱。不过libc版本2.27,加之存在UAF,所以如果没有那些限制,其实还是很好过的。接下来我将按照我当时做题的思路过一遍。
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 1091
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
(BUUCTF)ycb_2020_easy_heap (glibc2.31的off-by-null + orw
xy1458214551的博客
01-14 1047
BUUCTF的ycb_2020_easy_heap题解,包含了glibc2.31下的off by null和orw
SROP
热门推荐
钞sir的博客
12-20 1万+
简介 SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度… 前置知识 signal 机制 我们都知道在Linux中,系...
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 2146
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
Linux---进程概念(一)——冯诺依曼体系、操作系统、进程、PCB的概念讲解
最新发布
2401_88465894的博客
11-22 837
本文系统阐述了计算机系统的核心概念。首先介绍了冯诺依曼体系结构,包括五大组件(输入设备、存储器、运算器、控制器、输出设备)及其协作关系,重点解释了内存作为CPU与磁盘间缓冲的重要性。其次深入剖析了操作系统的本质,即通过"先描述再组织"的方式管理软硬件资源,将管理对象抽象为数据结构进行操作。然后详细讲解了进程概念,指出进程由内存中的程序代码/数据和PCB(进程控制块)共同构成,并阐述了进程调度中上下文切换的机制。最后说明了进程标识符的获取方式,强调用户程序必须通过系统调用访问内核数据结构。
使用 nethogs 和 nload 进行 Linux 网络监控
Zsr1023的博客
11-22 117
特性nethogsnload监控对象进程网络接口核心问题谁在占用带宽流量总体多大,趋势如何优势精确定位到问题进程直观显示总体流量和速率变化关系微观,深入进程内部宏观,把握整体状况。
没有setContext
07-23
<think>好的,用户提到他们的代码中没有setContext方法,这导致在测试时无法直接注入模拟的Context。这时候需要找到其他方式来注入Context,比如使用反射或者重构代码。 首先,我需要确认TimeManager类是如何获取Context的。通常,Android中的单例或管理类可能会通过构造函数传入Context,或者使用静态方法初始化。如果TimeManager有一个构造函数接受Context参数,那在测试时可以直接创建实例并传入模拟的Context。如果没有的话,可能需要使用反射来修改私有字段。 用户之前的问题中提到了使用反射来注入mContext,但可能他们现在需要更详细的步骤或者替代方案。如果构造函数可行的话,这会是更简单的方法。例如,在测试中创建TimeManager实例时传入mockContext,这样就不需要处理反射了。 如果构造函数不可行,那么必须使用反射。反射需要处理异常,并且可能因为字段名称错误或访问权限问题导致失败。需要确保字段名称正确,并且设置setAccessible(true)来绕过访问限制。 另外,考虑到测试的稳定性,使用反射可能增加测试的复杂性,但这是常见的做法,尤其是在遗留代码中。用户可能需要了解如何正确使用反射来注入依赖,同时避免在生产代码中引入不必要的setter方法。 最后,还需要确保SettingUtils的静态方法被正确模拟,并且验证调用是否正确。结合之前的测试用例,用户需要调整代码以正确注入Context,无论是通过构造函数还是反射。 </think>针对`TimeManager`没有`setContext`方法的情况,可以通过**反射注入`mContext`字段**,以下是完整解决方案: ```java @Test public void testSetWatchSwitch_withReflection() { // 1. 创建Context模拟对象 Context mockContext = mock(Context.class); // 2. 创建TimeManager实例 TimeManager timeManager = new TimeManager(); // 3. 使用反射注入mContext字段 try { // 获取私有字段 Field contextField = TimeManager.class.getDeclaredField("mContext"); // 打破访问权限 contextField.setAccessible(true); // 注入模拟对象 contextField.set(timeManager, mockContext); } catch (NoSuchFieldException | IllegalAccessException e) { // 异常处理 fail("反射注入mContext失败: " + e.getMessage()); } // 4. 模拟SettingUtils的静态方法 try (MockedStatic<SettingUtils> mockedStatic = mockStatic(SettingUtils.class)) { // 5. 设置监听器 TimeChangeListener mockListener = mock(TimeChangeListener.class); timeManager.setTimeChangeListener(mockListener); // 6. 执行测试逻辑 timeManager.setWatchSwitch(true); // 7. 验证静态方法调用 verifyStatic(); SettingUtils.putGlobalInteger(mockContext, TIME_MANAGER_WATCH_SWITCH, 1); // 8. 验证监听器回调 verify(mockListener).onWatchSwitchChanged(true); } } ``` --- ### 关键问题解决点 | 问题 | 解决方案 | 说明 | |------|----------|------| | **无setContext方法** | 使用反射注入私有字段 | 通过`Field.setAccessible(true)`强制访问私有字段 | | **静态方法调用** | 使用`mockStatic`模拟 | 需要Mockito 3.4+支持 | | **日志验证** | 可选的静态方法模拟 | `Log.i(TAG, ...)`可通过`mockStatic(Log.class)`验证 | | **异常处理** | 显式捕获反射异常 | 反射失败时立即终止测试 | --- ### 替代方案:重构建议 如果允许修改生产代码,建议添加构造函数注入: ```java // 修改TimeManager类 public class TimeManager { private Context mContext; // 新增构造函数 public TimeManager(Context context) { this.mContext = context; } // 旧无参构造函数(可保留兼容旧代码) public TimeManager() { this(/* 默认值 */); } } ``` 测试代码简化为: ```java @Test public void testSetWatchSwitch_withConstructorInjection() { Context mockContext = mock(Context.class); TimeManager timeManager = new TimeManager(mockContext); // 直接注入 // 后续测试逻辑同上 } ``` --- ### 测试边界条件 1. **空Context注入** ```java @Test(expected = NullPointerException.class) public void testConstructor_withNullContext_shouldThrow() { new TimeManager(null); // 应该抛出异常 } ``` 2. **多次调用setWatchSwitch** ```java @Test public void testSetWatchSwitch_multipleCalls() { // ...初始化代码 timeManager.setWatchSwitch(true); timeManager.setWatchSwitch(false); InOrder inOrder = inOrder(mockListener); inOrder.verify(mockListener).onWatchSwitchChanged(true); inOrder.verify(mockListener).onWatchSwitchChanged(false); } ``` ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值