pwn基础ROP-碎片组合

最新推荐文章于 2024-08-09 02:54:28 发布
最新推荐文章于 2024-08-09 02:54:28 发布
阅读量455 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120598245
本文介绍了如何利用ROP技术解决栈溢出问题,详细讲述了从检查程序特性、使用IDA反汇编、搜索gadgets到计算栈溢出地址和编写exploit的过程。重点在于如何寻找和组合gadgets来模拟execve系统调用,强调了gadget选择、参数顺序和payload构造的注意事项。

题源:基本 ROP - CTF Wiki (ctf-wiki.org) 的ret2syscall

①:老套路,先检查。 

没有RXW可执行段。而且NX保护打开了。

 ②:拉到IDA反汇编。

没有system,也没有可直接利用的后门函数,但是有bin/sh。什么也没有。而且段都是不可执行段,也不能直接写入整个shellcode段。

但是还有gets函数,天无绝人之路,又是栈溢出的类型。看来得自己拿碎片构造rop了(得存在所有的碎片才行)。

(这个过程起始就类似于堆积木:积木碎片在房子的各个角落,我们得找到所有的积木碎片,放在这里就是在整个程序中找到可以组合成调用execve('/bin/sh")函数的碎片。)

了解本专栏 订阅专栏 解锁全文 超级会员免费看
pwn-ret2libc基础
admin的博客
10-04 1269
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
最新发布
Welcome To Myon'Blog !
05-08 714
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
[pwn] 4.ROP
H4ppyD0g的博客
09-01 798
文章目录ROP返回导向编程ret2syscall动态链接及PLT和GOT表ret2libc ROP返回导向编程 (Return Oriented Programming)返回导向编程 在栈溢出的基础上,利用程序中可执行的一些代码片段组合起来修改相应的寄存器,并控制程序的执行流程,最终执行shell命令。 控制程序执行流程就需要有ret结尾的指令,这类指令序列叫gadget ROP攻击需要满足两个条件 1、存在栈溢出漏洞 2、程序本身有需要构造指令的代码片段 ROP原理的重点 需要知道ret指令的效果是pop
PWN-ROP
MuMuLee_的博客
08-27 807
题目:给出PWN2文件和libc 查看: 文件类型及其保护方法 找system和bin_sh都么有 所以只能利用libc文件 思路 计算偏移量=91
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3856
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
Buuctf pwn1_sctf_2016
qq_53809201的博客
03-19 660
checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本 覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1628
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
pwn学习笔记(9)-中级ROP--ret2csu
qq_66013948的博客
08-09 594
​ 首先是64位文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。​ 比如:传参函数大于7个:h->(%esp)g->(%esp)call H​ 之后反汇编一下main函数和H函数的代码​ 很明显的就是前六个参数是寄存器传参,剩下两个就是栈传参。
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2202
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
我要学pwn.day9
weixin_45963786的博客
07-14 254
[OGeek2019]babyrop 潜心修炼,从基础开始 栈溢出无systemROP 解题流程 1.查看文件 $ file OGrop OGrop: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=6503b3ef34c8d55c8d3e861fb4de2110
3.pwn入门新手做无system泄露libc.so版本攻防世界pwn100 pwn200(dynelf 、libsearcher与got表plt表解)
qiudalaojiao的博客
02-12 2238
第一步:基地址 = 实际地址(泄露的got地址) – libc中对应函数的偏移 第二部:目的函数地址 = 基地址 + libc中对应函数的偏移 Dynelf 查找函数地址的典型方法是从泄漏的同一个库中的另一个函数的地址计算到所需函数的偏移量,然而,要使这种方法有效地工作,gLibc的远程服务器版本需要与我们的相同。我们还可以通过泄漏一些函数并在libcdb.com中搜索找到gLibc的远程版本,但...
PWN基础构造ROP链(基本ROP
weixin_46132162的博客
02-02 7707
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
初探ROP
KKABqN
03-16 3739
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
Pwn_6 ROP(1)静态编译
weixin_30617561的博客
02-23 390
Protection ASLR DEP PIE StackGuard ASLR 地址随机化 Address Space Layout Randomization,程序每次执行时,stack、heap、library的位置都不一样 $:ldd /bin/lib ldd命令 查看当前的binary用了哪些library 检查是否开启ASLR DE...
buuctf-N1Book[第六章 CTF之PWN章]
CHAWUCIREN1的博客
10-17 2532
64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐,所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..
pwn刷题num34---mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-28 2360
BUUCTF-PWN-not_the_same_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 ida一下 gets函数明显的栈溢出,v4只有0x2D大小,gets函数对输入的字符串没有大小限制 看一下栈区 v4距离返回地址(r所在位置)0x2d个字节 找
[BUUCTF]PWN——wustctf2020_getshell1/2
mcmuyanga的博客
11-11 1778
wustctf2020_getshell 附件 步骤: 例行检查,32位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数 shell_addr=0x804851B main函数开始看程序 vulnerable函数 buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret exp: from pwn import* r=remote('node3.buuoj.cn',29690) shell_addr=0x804851B
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 5946
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值