basic rop3-rop

最新推荐文章于 2025-03-23 01:48:00 发布
原创 最新推荐文章于 2025-03-23 01:48:00 发布 · 432 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在开启NX保护的情况下,如何利用基本的Return-Oriented Programming (ROP)技术,通过int 80系统调用来绕过用户态栈限制,执行内核态操作。主要内容包括确定用户态偏移量、构造指令欺骗寄存器、设置中断等步骤,最终实现调用execve("/bin/sh")来获取shell。

pwn——basic rop

(ret2system):
老规矩,先checksec一下:

在这里插入图片描述

开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是:

chmod 755 name

放入ida中:发现get()函数,可以溢出

在这里插入图片描述
这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独立的,无法通过用户态的栈传参

这里就要用另外一种方式,这里普及一下知识:
众所周知,有三种情况下cpu会从用户态切到内核态:
系统调用,异常,中断(说白了三种都是中断)
在这里,int 80就是一种中断,int 80陷入内核后,内核进程就会去找80这个中断是干嘛的,找到了是系统调用再取eax看看是哪个系统调用,然后将寄存器内的参数传入内核中,可以说是对cpu的一种欺骗
现在大致确定一下思路:
1.先确定用户态的偏移量
2.在返回地址上写入一些指令,达成对寄存器的欺骗
3.在调好寄存器之后,写入中断

确定偏移量,用peda动态调试即可:

在这里插入图片描述
在这里我们使用将函数execve("/bin/sh",NULL,NULL)传入栈中,查找资料发现execve的调用号是0x0b,各个寄存器所传参数可参考下图:

最低0.47元/天 解锁文章
Basic rop学习
I'm five的博客
12-26 1292
Basic rop学习基本ROP简单例题:cgpwn2分析:exp: 基本ROP 主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROPROP 攻击一般得满足如下条件: 程序存在溢出,并且可以控制返回地址。 可以找到满足条件的 gadgets 以及相应 gadgets 的地址。 简单例题:cg
PWN学习笔记(一)Basic Rop
weixin_44120526的博客
12-26 460
此学习笔记主要基于CTF WIKI 中的Basic rop部分。 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ -------------------------------------------------------------------- 首先翻译了一下文章的开头,内容为: 打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.
基本ROP(三)
Pwnpanda的博客
05-08 1973
每日一结【第3天】 由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波) ret2syscall 原理: ret2syscall需要我们控制程序执行系统调用,获取shell。 样例:rop 前期基本的操作之前两篇已经讲了,这里就直接上图了 我们这次把程序扔到IDA里㕛有新的发现了 此次我们利用程序中的gadgets来获得shell,而对应的shel...
pwn——basic rop1
taopaode的博客
03-10 447
pwn——basic ropret2text): 老规矩,先checksec一下: 发现开启了NX,堆栈不可执行 放入ida中: 发现存在get函数,可溢出: 查看其他函数,发现在secure中存在完整控制台: 很容易找到system地址: 下面在gdb里面动态调试找到偏移量: 在这里提一下,peda里面的pattern create number命令可以整出一堆完全固定混乱的数字,在输入时...
basic rop-ret2shellcode
taopaode的博客
03-10 327
pwn——basic ropret2shellcode): 老规矩,先checksec一下: 发现啥都没开 放入ida中: 查看源代码发现存在get函数,存在溢出 查找控制台,发现没有,当然题目已经告诉没有了,但是在这里我们发现了一个函数strncpy, 它的功能就是将第二个参数里的值按第三个参数大小复制到第一个参数里面,进入buf2里查看,发现buf2在bss段里: 在这里我们通过gdb...
basic ROP-浅谈ret2syscall原理[ctf-wiki]
pointerr的博客
12-17 365
一道简单的ctf-wiki上的基本ROP题目。 原理:控制程序执行系统调用,获取 shell。 传送门 0x01 预备知识: 系统调用通过 int 80h 实现,应用程序调用系统调用的过程是: 1.把系统调用的编号存入 EAX; 2.把函数参数存入其它通用寄存器; 3.触发 0x80 号中断。 execve函数: 详见:execve函数 0x02 解题步骤: 首先检查: ida打开之后,没有system函数,只有binsh关键字,开启NX保护。 需要构造execve(“/bin/sh”, 0,0); 其
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1236
ROP基础
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5871
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程中非常重要的一个方面。在进行普通的位图操作中,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3ROP4码的操作,对RO
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3897
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall 原理与实践
m0_57836225的博客
12-12 990
在 CTF(夺旗赛)的 PWN(二进制漏洞利用)挑战中,ret2syscall 是一种经典且重要的利用技巧,用于获取目标系统的控制权。掌握 ret2syscall 对于深入理解二进制漏洞利用和提升 PWN 解题能力具有关键意义。在操作系统中,系统调用是用户程序与操作系统内核之间的接口。用户程序通过执行特定的指令(如在 x86 架构下的 int 0x80 或 syscall 指令),并传递相应的参数,来请求内核执行特定的功能,如文件操作、进程管理等。
ret2text(system($0))
2302_79899078的博客
03-15 1090
在正常的编程或系统使用中,system($0)本身并不会直接导致获取任何权限。$0是一个特殊的 shell 变量,它代表当前脚本或程序的名字。在 C 语言中,如果你使用system()函数来执行一个 shell 命令,那么传递给system()的字符串会被当作 shell 命令来执行。如果你尝试执行system($0),你实际上是在尝试执行一个名为当前脚本或程序名字的 shell 命令。这通常没有特殊的权限提升效果,除非该名字恰好指向了一个具有特殊权限的脚本或程序。
Ret2syscall(超详细)
最新发布
m0_68956519的博客
03-23 1291
System Call)是操作系统提供给应用程序的接口,允许应用程序请求操作系统内核执行某些特权操作。由于操作系统内核运行在更高的特权级别(如x86架构中的),普通应用程序(运行在)无法直接访问硬件资源或执行某些敏感操作(如文件读写、进程管理、网络通信等)。因此,应用程序需要通过系统调用来请求内核完成这些操作。我用自己的话说就是设置对应寄存器的值,达到调用系统函数的过程下面是对应的系统调用表Linux X86架构 32 64系统调用表_32位 syscall-优快云博客。
【4.14】学习笔记
isbear3的博客
04-14 209
今天终于明白为什么ret2libc 是覆盖为:A*payload_lenth +system +exit()+/bin/sh 了因为当覆盖后eip会抬高四个字节:参考别人博客里的图。所以/bin/sh是第一个参数,而exit()则是新的ret。...
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3985
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ret2syscall前置知识
Rt1Text的博客
02-10 2889
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
PWN入门系列(3ROP的利用
小心信科理化声
12-04 2429
ret2shellcode 原理 ret2shellcode,即控制程序shellcode代码。shellcode指的是用于完成某个功能的汇编代码,如:call等,常见的功能主要是获取目标系统的shell。如果想执行shellcode,需要对应的binary在运行时,shellcode所在的区域具有可执行权限。 举例 还是以bammboofox的ret2shellcode为例 附:ret2shellcode 第一步还是进行checksec giantbranch@ubuntu:~/Desktop/PWN$
ret2syscall
qq_33769475的博客
12-15 2184
漏洞分析 题目ret2syscall 查看保护,开启了NX保护,不能ret2shellcode ┌──(root????e267254b2ec9)-[/home/ret2sys] └─# checksec rop [*] '/home/ret2sys/rop' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE:
使用ret2plt绕过libc安全区
海枫的专栏
08-11 9119
使用ret2plt绕过libc安全区
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2954
Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
JScript5.8中的BSTR漏洞与ROPs利用策略
在IE9以前的版本,如JScript5.8,使用BSTR(Basic String Type)来存储字符串数据,这种数据结构由长度域和字符数组组成。攻击者曾利用BSTR的特性进行漏洞利用,比如通过篡改BSTR长度域前缀来实现内存溢出或者信息...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值