64位栈溢出简单rop与简单例题的复现

最新推荐文章于 2025-06-10 07:27:23 发布
原创 最新推荐文章于 2025-06-10 07:27:23 发布 · 859 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++

本文介绍了64位程序栈溢出漏洞利用的方法,通过寻找pop edi, ret gadget,修改返回地址以实现getshell。在复现例题过程中,遇到了由于栈对齐导致的崩溃问题,提出了通过改变payload长度和填充ret指令地址来绕过该问题的解决方案。" 103644756,8349603,Xshell命令实用技巧与快捷操作指南,"['Linux', 'CentOS', '运维']

首先还是找到关键函数
在这里插入图片描述
可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。

如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。

那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数的值就可以实现getshell了。

也就是说,我们现在只需要考虑如何能执行pop edi,ret这样的指令了,这时候就需要ropgadget来实现了,通过rop搜索文件中pop edi ret指令的地址,获取这个地址以后,我们就可以通过栈溢出漏洞将返回地址修改为这段指令的地址。

也就是说,我们只需要将ret覆盖位pop edi ret代码的地址,接着覆盖/bin/sh的地址与system函数的地址就可以get shell 了!

开始复现一下例题

找到关键函数与关键的地址以后。尝试编写exp

from pwn import *

context.log_level = 'debug'
context
最低0.47元/天 解锁文章
pwn-64和32ROP以及systemexecve的差别
admin的博客
10-05 1626
①:ROP数差别 这篇文章讲的很细: (1条消息) [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode_漫小牛的博客-优快云博客 核心区别就是: 对于3264,要遵循各自的调用约定,32时摆在栈空间,64时放在rdi寄存器。 ②:systemexecve 参见这篇详细的讲解文章: (1条消息) [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode_漫小牛的博客...
PWN基础-ROP技术-ret2syscall-64程序栈溢出利用
Welcome To Myon'Blog !
05-08 760
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 系统调用最后是执行 syscall。32 系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
Jarvislevel2_x64--64简单栈溢出
qq_43613144的博客
07-26 511
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
64ROP(level5)
weixin_44642009的博客
04-06 1656
64ROP 开始接触的ROP都是针对于32,和64的比起来,主要是编址以及函数传参的方式不一样,32的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
64栈溢出
weixin_44932880的博客
10-13 961
64程序栈溢出 当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9 栈 High Address | | +-----------------+ | 第7参数(如果有) | +-----------------+ | return address | +-------
64Linux下的栈溢出
omnispace的博客
03-29 5820
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
MIPS栈溢出ROP构造Shellocde注入
YJ_12340的博客
05-15 646
前段时间写了DVRF系列的题目,对rop的构造感觉还是有点力不从心,所以五一假期深入学习一下怎么构造rop链 注意,全程复现应该用ubuntu16.04,不要用18.04或者20.04,不然很有可能会导致后面的gadget找不到程序至少也要在ubuntu16.04交叉编译,不然直接在ubuntu18.04或者更高版本下,都有可能有gadget找不到的后果….
DEFCON 29 CTF Quals - roppity: 64栈溢出ROP链构造深度分析
最新发布
2402_86373248的博客
06-10 941
寄存器状态复用:在漏洞触发点,RDX寄存器已包含0x100值,可被用于write调用的长度参数,减少ROP链复杂度分段利用策略:通过返回main函数重置栈帧,实现多阶段利用,规避单次利用空间限制GOT表泄漏技术:通过PLT/GOT机制泄漏libc地址,绕过ASLR保护通用ROP链构造:使用pwntools的ROP模块自动适配不同libc版本。
linux64 溢出,64Linux下的栈溢出
weixin_29710403的博客
05-12 527
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
64ROP——通用gadget
qq_44759495的博客
04-09 3025
原理目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
64整数运算中的溢出处理
m0_62153576的博客
02-08 259
通过类型转换和使用编译器的内置函数,我们可以在C语言中安全地处理64整数的溢出问题,确保获取到运算结果的低64。这样可以避免未定义行为,并在需要时保留计算的精度。虽然这些方法不能完全替代真正的128运算,但对于大多数应用场景已经足够。
linux 64 内存泄漏,64linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 852
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
从汇编层看64程序运行——ROP攻击以控制程序执行流程
方亮的专栏
07-17 1609
一般我们运行有调用关系的代码,就像套娃一样,一个套着一个。比如main函数调用foo7函数,foo7调用foo函数,则main函数要先进入foo7,然后进入foo。等foo执行完,会回到foo7;等foo7执行完,再回到main。那么我们有办法脱离这种套娃模式,然后foo函数执行返回到main函数吗?当然是有的。这就需要使用ROP攻击。ROP攻击全称是:Return Oriented Programming (ROP) attacks。
Windows x64 栈帧结构
weixin_30748995的博客
08-07 449
0x01 前言   Windows 64下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64下函数调用的分析,分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
一步一步学习ROP之linux-x64
zsj2102的专栏
11-17 1254
0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击。 一步一步学ROP之linux_x86篇 http://drops.wooyun.org/tips/6597 在这次的教程中我们会带来上一篇的
rop64程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 1152
ctf64程序中参数传递及栈溢出利用rop 64程序中参数传递及栈溢出利用 32程序参数传递是直接弹出栈顶元素作为参数,而64程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32大小为4h,64大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
Arm 64 汇编入栈和出栈
weixin_42730667的博客
07-26 5236
Arm 64的汇编指令和32汇编指令有很大差别,其中一个入栈和出栈方式不太一样。 函数入口第一件事情就是将需要的用到的寄存器先进行保存入栈 Arm 64入栈方式 sub sp, sp,#0x30 stp x9,x10, [sp] stp x11,x12, [sp, #0x10] stp x13,x14, [sp, #0x20] ...
栈溢出原理防护:深入理解利用策略
在网络安全竞赛(Capture the Flag, CTF)中,常见的栈溢出利用策略包括首次触发漏洞时通过ROP泄漏 libc 的地址(如puts_got),然后计算 system 函数地址,再回到可以再次触发漏洞的置(如 main 函数),最后使用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值