PWN-基本rop-Ret2sc

最新推荐文章于 2023-12-04 00:44:57 发布
原创 最新推荐文章于 2023-12-04 00:44:57 发布 · 851 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #PWn #Ret2sc

本文详细介绍了ROP(Return-Oriented Programming)溢出技术的基本原理和应用方法。通过使用IDA和GDB等工具,文章展示了如何利用ROP技术进行攻击,包括如何将shellcode写入特定内存区域,并对栈空间进行精确控制。对于理解和防御ROP攻击具有重要参考价值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,题目:在对应的文件夹中;

2,工具:IDA,GDB

3,解法思路:基本rop溢出;

4,解法:

   1,IDA大法好:

可以看出是要把shellcode写到name的空间里面去;

2,这里进行对name寻址

然后看栈的大小:

 

这里压栈一次esp-4,ebp不变,esp是栈顶指针寄存器,堆栈操作只和esp有关

比如有一个函数a,有两个参数,一般是这样的

PUSH 1 参数2压栈,esp-4

PUSH 2 参数1压栈,esp-4

CALL a 调用;

所以真正的大小为0x1c+0x4=0x20=32;

剩下的exp了

小菜菜6082
关注
PWN基础7:Rop-Ret2Text介绍 及 插件配置
prettyX的博客
07-11 728
ROP概述 Return-oriented Programming,面向返回的编程,是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码 ROP的核心思想:攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 ROP攻击是利用以ret结尾的程序片段,操作这些栈相关寄存器,控制程序的流程,执行相应的gadget,实施攻击者预设目标 ROP不同于return-to
pwn技巧之ret to libc
这里没人
05-14 2531
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 475
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
[PWN][高级篇]ROP-ret2libc基础知识
网络安全知识分享
03-27 2213
ROP-ret2libc基础知识 前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪?ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪 前提知识准备 Linux延时绑定机制 动态连接的程序调用了libc的库函数,但是libc在运行才被加载到内存中,调用libc函数时,才解析出函数在内存中的地址,为了帮助程序更好的利用内存空间,不用每次把所有的函数真实地址都写进去,用到哪个查哪个,之后在使用就会很方便。 Linux演示绑定机制的实现
vn_pwn_warmup(利用ret滑行到rop里)
seaaseesa的博客
04-09 487
vn_pwn_warmup 首先,检查一下程序的保护机制 程序开启了沙箱保护 禁用了execve调用。 然后我们用IDA分析一下,这里没有栈溢出。 然后,我们进入9A1这个函数 这里可以栈溢出,但是仅仅能溢出0x10个字节,显然是不够我们完成open、read、write操作的。 但是,由于该函数是在9D3函数里调用,因此,9A1函数的栈下方就是9D3的栈空间。因此我...
[调试逆向] Linux内核PWN-ret2dir(附赠基础slub算法!)
ysxx188888的博客
03-13 482
利用的主要是这么个思想以及物理内存的情况,本题也是回忆起了很多内核PWN的基础知识点,算是慢慢抓起来了。
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1570
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF题解NO.00002】minilCTF 2020 - write up by arttnba3
arttnba3的博客
08-18 1035
CTF题解NO.00002】minilCTF 2020 - write up by arttnba30x00.绪论0x01.Sign inStarting Point0x02.PWNhelloret2text执行过程:ret2shellcode修正过程:高阶解法:栈迁移ezsc程序分析Alphanumeric Shelllcodeeasycpp程序分析Use After Freenoleakpwnchroottime_management 0x00.绪论 mini-LCTF,前身是makerCTF,是西电
CTF题解NO.00003】moeCTF 2020 - official write up by arttnba3
arttnba3的博客
11-20 4942
github pages blog addr 文章目录[github pages blog addr](https://archive.next.arttnba3.cn/2020/09/07/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x03%E3%80%91moeCTF2020-write-up-by-arttnb3/)0x00.绪论0x01.PwnPwn从入门到入狱WelcomeBaby Pwn - ret2textBaby Shellcode - shellcodeunusual
tuma五道入门pwn题解析
weixin_44113469的博客
03-12 918
0x01 pwn1 只有v5==-559869752 成立,就能输出flag,查看v5位置,直接覆盖。 exp from pwn import * context(os='linux', arch='i386', log_level='debug') p = process('./pwn1.dms') p.recvuntil('What... is your name?\n') p.sendl...
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 7331
菜鸟PWN手进阶之栈溢出基础
HITCON-Training-Writeup
baikeng3674的博客
03-14 644
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型)
skyattractive的博客
06-12 360
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型) ret2shellcode题型 ret2shellcode,即控制程序执行 shellcode代码。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 对于lab3 checksec显示所有保护都没有开启并且有可读可写可执行段(RWX) 显然read函数gets函数存在栈溢出 我们看到bss段中一个叫有name的部分即我们第一个输入的
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 439
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 7059
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
[BUUCTF]PWN——[极客大挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2814
[极客大挑战 2019]Not Bad 附件 步骤
pwn基本ROP——ret2text
turtlesd的博客
04-25 1070
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1808
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
PWN_3 ORW
weixin_30781107的博客
02-18 752
2018-02-18 15:44:34 Open Write Read open函数 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int...
攻防世界pwn pwn-100
最新发布
01-18
常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值