basic rop-ret2shellcode

最新推荐文章于 2024-12-04 23:18:02 发布
最新推荐文章于 2024-12-04 23:18:02 发布
阅读量312 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/taopaode/article/details/104775939
本文详细介绍了一次pwn挑战的基本流程,从checksec检查开始,利用strncpy函数的可控长度特性,通过gdb调试发现bss段具备可执行权限。文章提供了控制台建立、偏移量确定及shellcode注入的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn——basic rop

(ret2shellcode):
老规矩,先checksec一下:

在这里插入图片描述

发现啥都没开
放入ida中:

在这里插入图片描述

查看源代码发现存在get函数,存在溢出
查找控制台,发现没有,当然题目已经告诉没有了,但是在这里我们发现了一个函数strncpy,
它的功能就是将第二个参数里的值按第三个参数大小复制到第一个参数里面,进入buf2里查看,发现buf2在bss段里:

在这里插入图片描述在这里我们通过gdb调试看这个段的一些属性,这里说明一下,bss段是ELF文件里面的一个特殊段,一般用于存放一些临时变量,所以在文件未运行是不会为其分配地址的,所以要查看bss段必须让程序运行才可以,随便下个断点,然后查看

在这里插入图片描述

在这里插入图片描述
与bss段地址(0804A080)对照发现
r - read
w - write
x - execute

具备可执行权限,所以思路有了,大致是:
1.建立控制台
2.找出偏移量
3.输入shellcraft并将返回值溢出为buf2

如何确定偏移量可参考
https://blog.youkuaiyun.com/taopaode/article/details/104766090

下面上exp:
在这里插入图片描述
这里偷懒没有计算偏移量,是一种佛系写法,大家不要学笔者
正当的写法应该是这样的:
在这里插入图片描述

Basic rop学习
I'm five的博客
12-26 1272
Basic rop学习基本ROP简单例题:cgpwn2分析:exp: 基本ROP 主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROPROP 攻击一般得满足如下条件: 程序存在溢出,并且可以控制返回地址。 可以找到满足条件的 gadgets 以及相应 gadgets 的地址。 简单例题:cg
basic rop3-rop
taopaode的博客
03-11 406
pwn——basic ropret2system): 老规矩,先checksec一下: 开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是: chmod 755 name 放入ida中:发现get()函数,可以溢出 这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独...
PWN学习笔记(一)Basic Rop
weixin_44120526的博客
12-26 426
此学习笔记主要基于CTF WIKI 中的Basic rop部分。 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ -------------------------------------------------------------------- 首先翻译了一下文章的开头,内容为: 打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.
pwn——basic rop1
taopaode的博客
03-10 432
pwn——basic ropret2text): 老规矩,先checksec一下: 发现开启了NX,堆栈不可执行 放入ida中: 发现存在get函数,可溢出: 查看其他函数,发现在secure中存在完整控制台: 很容易找到system地址: 下面在gdb里面动态调试找到偏移量: 在这里提一下,peda里面的pattern create number命令可以整出一堆完全固定混乱的数字,在输入时...
从ctfwiki开始的pwn之旅 2.ret2shellcode
2301_80361487的博客
12-04 940
这里我们以 bamboofox 中的 ret2shellcode 为例,需要注意的是,你应当在内核版本较老的环境中进行实验(如 Ubuntu 18.04 或更老版本)。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。但是,这并不会影响该文件在内存中的权限位,特别是在使用如GDB这样的调试器时通过。在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。命令不会改变这些内存段的权限。
[二进制安全学习]ret2shellcode
Y4tacker的博客
07-15 1414
文章目录写在前面ret2shellcode利用原理利用关键例题参考文章 写在前面 懒狗的第二篇学习,开冲 ret2shellcode 利用原理 ret2shellcode,即控制程序执行 shellcode 代码。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。 在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。 利用关键 1、程序存在溢出,并且还要能够控
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1082
ROP基础
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3294
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 1004
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2282
pwn 入门
基本ROP
听鬼哥说故事
08-29 8896
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
HITCON-trainning&寒假做题记录
Peanuts
01-28 725
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
ret2shellcode
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 1025
start bin: https://pwnable.tw/challenge/#1 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : disabled 反汇编 .text:08048060 ...
HITCON-Training-master 部分 Writeup(1月30更新)
weixin_30367873的博客
12-11 250
0x01.lab3 首先checksec一下,发现连NX保护都没开,结合题目提示ret2sc,确定可以使用shellcode得到权限。 IDA查看伪代码 大致分析: 将shellcode写入name数组,v4溢出之后定向至name所在地址从而运行shellcode。 代码如下: # -*- coding:utf-8 -*- __Author__ = 'L1B0' from pwn import...
Pwn-10月24-hitcon(二)
weixin_30553837的博客
10-24 239
目录 Pwn-10月24-hitcon(二) lab4 - ret2lib 检查保护措施 逻辑分析 构造exp lab5-simplerop 检查保护措施 逻辑分析 构造exp ...
好用的shellcode
九层台
01-25 730
给师傅要了一组好用的shellcode 1.短。 2.没有空格符,换行符 好用shellcodeshellcode_x64 = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" shellcode_x86 = "\x31\xc9\xf7\xe1\x51...
Ret2ShellCode
钞sir的博客
01-24 8655
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
171115 杂项-可见字符组成的Shellcode
whklhhhh的博客
11-22 1857
1625-5 王子昂 总结《2017年11月15日》 【连续第411天总结】 A. JarvisOJ-Basic-Shellcode B. 题目如下: 下载下来打开以后发现是一段正常字符串: PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIYIhkmKzyCDq4l4FQyBlrRWEahI1tLKT16Pnk1ftLnkP
基本shellcode提取方法
沉寂的孤城
10-04 5463
转载请注明出处:http://blog.youkuaiyun.com/wangxiaolong_china   这里,我们将编写一个非常简单的shellcode,它的功能是得到一个命令行。我们将从该shellcode的C程序源码开始,逐步构造并提取shellcode。 该shellcode的C程序源码为: root@linux:~/pentest# cat shellcode.c #inclu
nssctf ret2shellcode
最新发布
02-09
### nssctf ret2shellcode 解题思路和技巧 在处理涉及 `ret2shellcode` 的漏洞利用时,核心概念在于找到可执行内存区域并成功注入 shellcode。对于 nssctf 中的此类挑战,通常需要考虑以下几个方面: #### 寻找合适的地址空间布局随机化(ASLR)绕过方法[^1] 当面对开启了 ASLR 的目标程序时,直接定位到特定位置变得困难重重。此时可以借助信息泄露漏洞来获取堆栈基址或其他重要模块加载地址;也可以寻找未受保护的服务端口或文件映射作为稳定入口。 #### 利用已知偏移量计算返回地址 如果存在某些固定不变的数据结构或者函数指针表,则可以通过静态分析确定其相对于其他部分的位置关系,在此基础上构建可靠的 ROP 链条以调整寄存器状态,并最终指向预先准备好的 shellcode 地区[^4]。 ```python from pwn import * # 假设已经找到了一个稳定的泄漏点用于绕过ASLR leak_address = ... # 泄露的具体地址值 # 计算得到 libc base 和 system 函数的实际地址 libc_base = leak_address - offset_to_libc_start_main_ret system_addr = libc_base + offset_of_system_function_in_libc payload = b'A' * buffer_size_until_return_address payload += pack(system_addr, 32) # 将 system() 放置为新的 EIP/RIP ``` #### 注入有效载荷——编写自定义 ShellCode 考虑到现代操作系统普遍启用了多种防护机制如 DEP/NX bit ,因此需特别注意选择具有 execute 权限的目标缓冲区内存页写入 payload 。此外还需确保所编写的机器码能够在不同架构下正常工作,比如 x86 vs ARM 等差异。 ```assembly section .text global _start _start: ; execve("/bin/sh", NULL, NULL); xor eax, eax ; 清零 EAX 寄存器 (对应 syscall number) push eax ; argv[0]=NULL -> stack top mov ebx, esp ; EBX=argv[] array pointer push '/sh' push '//bi' mov ecx, esp ; ECX="/bin/sh" string ptr xor edx, edx ; envp[]=NULL int 0x80 ; 执行系统调用中断请求 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值