pwn基础ROP-碎片组合

最新推荐文章于 2023-02-02 16:47:06 发布
最新推荐文章于 2023-02-02 16:47:06 发布
阅读量423 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120598245
本文介绍了如何利用ROP技术解决栈溢出问题,详细讲述了从检查程序特性、使用IDA反汇编、搜索gadgets到计算栈溢出地址和编写exploit的过程。重点在于如何寻找和组合gadgets来模拟execve系统调用,强调了gadget选择、参数顺序和payload构造的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题源:基本 ROP - CTF Wiki (ctf-wiki.org) 的ret2syscall

①:老套路,先检查。 

没有RXW可执行段。而且NX保护打开了。

 ②:拉到IDA反汇编。

没有system,也没有可直接利用的后门函数,但是有bin/sh。什么也没有。而且段都是不可执行段,也不能直接写入整个shellcode段。

但是还有gets函数,天无绝人之路,又是栈溢出的类型。看来得自己拿碎片构造rop了(得存在所有的碎片才行)。

(这个过程起始就类似于堆积木:积木碎片在房子的各个角落,我们得找到所有的积木碎片,放在这里就是在整个程序中找到可以组合成调用execve('/bin/sh"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
PWN-ROP
MuMuLee_的博客
08-27 761
题目:给出PWN2文件和libc 查看: 文件类型及其保护方法 找system和bin_sh都么有 所以只能利用libc文件 思路 计算偏移量=91
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2095
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
[pwn] 4.ROP
H4ppyD0g的博客
09-01 733
文章目录ROP返回导向编程ret2syscall动态链接及PLT和GOT表ret2libc ROP返回导向编程 (Return Oriented Programming)返回导向编程 在栈溢出的基础上,利用程序中可执行的一些代码片段组合起来修改相应的寄存器,并控制程序的执行流程,最终执行shell命令。 控制程序执行流程就需要有ret结尾的指令,这类指令序列叫gadget ROP攻击需要满足两个条件 1、存在栈溢出漏洞 2、程序本身有需要构造指令的代码片段 ROP原理的重点 需要知道ret指令的效果是pop
我要学pwn.day9
weixin_45963786的博客
07-14 223
[OGeek2019]babyrop 潜心修炼,从基础开始 栈溢出无systemROP 解题流程 1.查看文件 $ file OGrop OGrop: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=6503b3ef34c8d55c8d3e861fb4de2110
PWN基础构造ROP链(基本ROP
weixin_46132162的博客
02-02 6774
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
初探ROP
KKABqN
03-16 3637
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
[BUUCTF]PWN——wustctf2020_getshell1/2
mcmuyanga的博客
11-11 1634
wustctf2020_getshell 附件 步骤: 例行检查,32位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数 shell_addr=0x804851B main函数开始看程序 vulnerable函数 buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret exp: from pwn import* r=remote('node3.buuoj.cn',29690) shell_addr=0x804851B
PWN-无libc泄露
zszcr的博客
03-22 3820
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
pwn入门之栈溢出练习
dfdhxb995397的博客
09-10 1000
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn的栈溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
2. pwn入门新手做system没有参数(内含函数调用过程),需要自己构造的攻防世界cgpwn2,求大佬指教
qiudalaojiao的博客
02-07 2131
我们拿到文件之后放到 linux里checksec一下 一个32位文件 ,开了nx 把文件拖入 ida f5开始分析 main 函数 我们看到了hello() 函数 点进去 进行分析 我们看到了比较重要的几行交互代码,,我们看看下面的部分首先要求我们输入一个名字,这个输入是通过fgets函数完成的,从键盘读取最多32h个字符到name区域 我上网百度了一下 fgets的函数原型 我们双击f...
暑期 pwn! pwn! pang! (二):ret2libc3 libc泄露,无system
qq_43342413的博客
07-10 792
不管这题是不是洪水猛兽,得先看了安全保护才知道: 源程序开启了栈堆不可执行保护,但可以用rop的方法绕过。 那就再看看源程序,发现仍是栈溢出,可以利用write函数溢出。 检查是否有"/bin/sh" 及system,发现并没有!!! ROPgadget --binary pwn001 --string "/bin/sh" gdb pwn001 p system 那么我们该如何得到syst...
pwn学习】pwn中直接调用system和调用call system的区别
Morphy_Amo的博客
12-06 2985
以 XCTF-pwn-新手区-004 为例, 本题在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
pwn(三)
小明的小书包Ya
10-04 2550
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
PWN入门系列(2)ROP
小心信科理化声
12-03 821
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 2111
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
pwn学习-基本ROP
WocW的博客
03-03 2036
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
pwn1及ROP总结
weixin_44464829的博客
11-08 611
Babystack 本题,用 checksec 检查二进制,发现开启了 CANARY、NX、以及 RELRO 保护,CANARY 是用 来检测栈溢出的,canary 是一个随机数,存储在栈里。程序通过对比栈里的 canary 值和读 取到的实际 canary 值进行对比,如果不相等,则抛出异常。因此,为了绕过 canary 机制, 我们需要先想泄露 canary 的值,然后利用栈溢出,把这个值放到 payload 中对应的位置里, 这样,程序发现 canary 的值没变,我们就成功绕过。
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值