basic rop3-rop

最新推荐文章于 2024-12-12 22:31:08 发布
最新推荐文章于 2024-12-12 22:31:08 发布
阅读量395 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/taopaode/article/details/104797924
版权
本文介绍了在开启NX保护的情况下,如何利用基本的Return-Oriented Programming (ROP)技术,通过int 80系统调用来绕过用户态栈限制,执行内核态操作。主要内容包括确定用户态偏移量、构造指令欺骗寄存器、设置中断等步骤,最终实现调用execve("/bin/sh")来获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn——basic rop

(ret2system):
老规矩,先checksec一下:

在这里插入图片描述

开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是:

chmod 755 name

放入ida中:发现get()函数,可以溢出

在这里插入图片描述
这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独立的,无法通过用户态的栈传参

这里就要用另外一种方式,这里普及一下知识:
众所周知,有三种情况下cpu会从用户态切到内核态:
系统调用,异常,中断(说白了三种都是中断)
在这里,int 80就是一种中断,int 80陷入内核后,内核进程就会去找80这个中断是干嘛的,找到了是系统调用再取eax看看是哪个系统调用,然后将寄存器内的参数传入内核中,可以说是对cpu的一种欺骗
现在大致确定一下思路:
1.先确定用户态的偏移量
2.在返回地址上写入一些指令,达成对寄存器的欺骗
3.在调好寄存器之后&

最低0.47元/天 解锁文章
Basic rop学习
I'm five的博客
12-26 1255
Basic rop学习基本ROP简单例题:cgpwn2分析:exp: 基本ROP 主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROPROP 攻击一般得满足如下条件: 程序存在溢出,并且可以控制返回地址。 可以找到满足条件的 gadgets 以及相应 gadgets 的地址。 简单例题:cg
PWN学习笔记(一)Basic Rop
weixin_44120526的博客
12-26 413
此学习笔记主要基于CTF WIKI 中的Basic rop部分。 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ -------------------------------------------------------------------- 首先翻译了一下文章的开头,内容为: 打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.
基本ROP(三)
Pwnpanda的博客
05-08 1925
每日一结【第3天】 由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波) ret2syscall 原理: ret2syscall需要我们控制程序执行系统调用,获取shell。 样例:rop 前期基本的操作之前两篇已经讲了,这里就直接上图了 我们这次把程序扔到IDA里㕛有新的发现了 此次我们利用程序中的gadgets来获得shell,而对应的shel...
pwn——basic rop1
taopaode的博客
03-10 423
pwn——basic ropret2text): 老规矩,先checksec一下: 发现开启了NX,堆栈不可执行 放入ida中: 发现存在get函数,可溢出: 查看其他函数,发现在secure中存在完整控制台: 很容易找到system地址: 下面在gdb里面动态调试找到偏移量: 在这里提一下,peda里面的pattern create number命令可以整出一堆完全固定混乱的数字,在输入时...
basic rop-ret2shellcode
taopaode的博客
03-10 291
pwn——basic ropret2shellcode): 老规矩,先checksec一下: 发现啥都没开 放入ida中: 查看源代码发现存在get函数,存在溢出 查找控制台,发现没有,当然题目已经告诉没有了,但是在这里我们发现了一个函数strncpy, 它的功能就是将第二个参数里的值按第三个参数大小复制到第一个参数里面,进入buf2里查看,发现buf2在bss段里: 在这里我们通过gdb...
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1009
ROP基础
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3108
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5684
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程中非常重要的一个方面。在进行普通的位图操作中,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3ROP4码的操作,对RO
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3069
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall 原理与实践
最新发布
m0_57836225的博客
12-12 796
在 CTF(夺旗赛)的 PWN(二进制漏洞利用)挑战中,ret2syscall 是一种经典且重要的利用技巧,用于获取目标系统的控制权。掌握 ret2syscall 对于深入理解二进制漏洞利用和提升 PWN 解题能力具有关键意义。在操作系统中,系统调用是用户程序与操作系统内核之间的接口。用户程序通过执行特定的指令(如在 x86 架构下的 int 0x80 或 syscall 指令),并传递相应的参数,来请求内核执行特定的功能,如文件操作、进程管理等。
ret2text(system($0))
2302_79899078的博客
03-15 977
在正常的编程或系统使用中,system($0)本身并不会直接导致获取任何权限。$0是一个特殊的 shell 变量,它代表当前脚本或程序的名字。在 C 语言中,如果你使用system()函数来执行一个 shell 命令,那么传递给system()的字符串会被当作 shell 命令来执行。如果你尝试执行system($0),你实际上是在尝试执行一个名为当前脚本或程序名字的 shell 命令。这通常没有特殊的权限提升效果,除非该名字恰好指向了一个具有特殊权限的脚本或程序。
【4.14】学习笔记
isbear3的博客
04-14 186
今天终于明白为什么ret2libc 是覆盖为:A*payload_lenth +system +exit()+/bin/sh 了因为当覆盖后eip会抬高四个字节:参考别人博客里的图。所以/bin/sh是第一个参数,而exit()则是新的ret。...
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3797
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ret2syscall前置知识
Rt1Text的博客
02-10 2852
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
PWN入门系列(3ROP的利用
小心信科理化声
12-04 2383
ret2shellcode 原理 ret2shellcode,即控制程序shellcode代码。shellcode指的是用于完成某个功能的汇编代码,如:call等,常见的功能主要是获取目标系统的shell。如果想执行shellcode,需要对应的binary在运行时,shellcode所在的区域具有可执行权限。 举例 还是以bammboofox的ret2shellcode为例 附:ret2shellcode 第一步还是进行checksec giantbranch@ubuntu:~/Desktop/PWN$
ret2syscall
qq_33769475的博客
12-15 2101
漏洞分析 题目ret2syscall 查看保护,开启了NX保护,不能ret2shellcode ┌──(root????e267254b2ec9)-[/home/ret2sys] └─# checksec rop [*] '/home/ret2sys/rop' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE:
使用ret2plt绕过libc安全区
海枫的专栏
08-11 8920
使用ret2plt绕过libc安全区
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2758
Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值