ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用

最新推荐文章于 2024-05-15 08:30:00 发布
最新推荐文章于 2024-05-15 08:30:00 发布
阅读量632 收藏
点赞数
分类专栏: 软件安全 网络攻防 文章标签: pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHERRY_cong/article/details/116333406
版权
本文详细介绍了如何利用ROP技术进行CTF-pwn挑战,包括pwn1和pwn2_32两个案例。在pwn1中,通过one_gadget找到execve和puts的地址,利用puts泄露libc基址,进而构造payload获取shell。pwn2_32则利用格式化字符串漏洞修改secret和函数返回地址,最终调用system获取shell。整个过程涉及逆向工程、内存保护检查、exploit编写等技巧。
摘要由CSDN通过智能技术生成

ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用

文章目录

pwn1

逆向代码
// IDA 7.5
int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  init();
  puts("Show me your code :D");
  gets(buf, argv);
  return 0;
}
检查保护
$ checksec pwn1
[*] '/home/hw1/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO   #可以修改got表
    Stack:    No canary found   #能直接进行栈溢出
    NX:       NX enabled      #堆栈不可执行
    PIE:      No PIE (0x400000)
one_gadget

本题给了libc版本,可以使用one_gadget工具

$ one_gadget libc-2.31-dbg.so --near puts
[OneGadget] Gadgets near puts(0x76b10):	# puts的偏移
0xcbcb1 execve("/bin/sh", r13, r12)	# execve的偏移
constraints:
  [r13] == NULL || r13 == NULL
  [r12] == NULL || r12 == NULL

0xcbcb4 execve("/bin/sh", r13, rdx)
constraints:
  [r13] == NULL || r13 == NULL
  [rdx] == NULL || rdx == NULL

0xcbcb7 execve("/bin/sh", rsi, rdx)
constraints:
  [rsi] == NULL || rsi == NULL
  [rdx] == NULL || rdx == NULL

得到execve相对地址和puts的相对地址,可以用来计算偏移。

puts_offset = 0x076b10;execve_offset = 0xcbcb1

64位程序溢出还需要找到一个pop rdi;ret 这个execve 的限制是 r12,r13 都为0,还需要 pop r12; pop r13

cherry@cherry-vm:~/workspace/hw1$ ROPgadget --binary pwn1 --only "pop|ret"
Gadgets information
============================================================
0x000000000040127c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret  	# here2
0x000000000040127e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000401280 : pop r14 ; pop r15 ; ret
0x0000000000401282 : pop r15 ; ret
0x000000000040127b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040127f : pop rbp ; pop r14 ; pop r15 ; ret
0x000000000040115d : pop rbp ; ret
0x0000000000401283 : pop rdi ; ret 	# here1
0x0000000000401281 : pop rsi ; pop r15 ; ret
0x000000000040127d : pop rsp ; pop r13
最低0.47元/天 解锁文章
Cherry_icc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5861
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
pwntools使用实践第三弹——ret2libc
小小鱼的博客
09-14 423
题目 2015-Defcon Qualifier R0pbaby 一个比较基础的rop链构造题目,题目链接如下: https://github.com/ctfs/write-ups-2015/tree/master/defcon-qualifier-ctf-2015/babys-first/r0pbaby 题目分析 详细的分析可以参考这个博客: DEFCON-2015-r0pbaby 大体步骤如下: 首先checksec检查程序开启了哪些防护: objdump检查是否有可以直接使用的函数(system、
windows和linux下分别安装pwntools
最新发布
weixin_49765221的博客
05-15 584
首先可以先安装好python的环境,Python 2.7.9 + 或 Python 3.4+ 以上版本都自带 pip 工具。这个界面就是提示我们已经安装了一个版本的pwntools,我们可以进行更新到最新的版本。然后安装pwntools:pip install pwntools 完成。首先需要安装pip:apt install python3-pip。pwntoolspwn最常用的一个python包。更新完以后,查看版本的确是最新的版本。然后win+r进入命令行输入界面。
Mailbox(getshell) writeup —— ret2libc的利用
格物致知
05-01 2698
Hint: ret2libc √ 题目描述: mailbox libc-2.19.so 题目目录下面还有另外一个flag文件:)需要拿到shell才能看得到 Writeup: ret2libc即为return-to-libc,返回到系统库函数执行。 数据执行保护机制(Data Execution Prevention)将非代码区段设置为不可执行属性,使得系统无法执行
pwn学习之ret2libc
weixin_43800829的博客
02-16 1234
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1070
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
Performing a ret2libc Attack-InVoLuNTaRy
04-24
#### 四、ret2libc攻击详解 ##### 1. **理解ret2libc** ret2libc攻击的核心思想在于利用目标程序调用库函数的过程来重定向控制流,从而达到执行任意代码的目的。通常,这种攻击的目标是将控制权转移到libc库中的...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
在本压缩包中,“rop-sample”项目提供了基于ROP的示例开发代码,这为我们理解ROP的工作原理及其实际应用提供了宝贵的参考资料。 淘宝作为中国领先的电商平台,其内部系统采用了各种先进的技术和框架以确保高效、...
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
pwnROP--retlibc
Joaus的博客
04-27 619
ROP中对retlibc技术的一些学习心得 漏洞利用思路: 1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件) 查询libc版本一般有三种方法: 1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入 通过libc.dump('system')可以得到system函数的偏移,libc.du...
攻防世界新手区pwn writeup
极客剑寮
09-08 936
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 420
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
ret2libc1做题历程分享(ctfwiki)
Rt1Text的博客
02-09 272
pwn 题 ret2libc1 system与bin/sh都给出
实现ret2libc攻击
weixin_33810302的博客
05-01 365
  在protostar的stack6练习中,提到了ret2libc,所以这里先对这种攻击手段做一个介绍,学习来源https://www.shellblade.net/docs/ret2libc.pdf,仍旧是在protostar的虚拟机上进行的实验。 背景   在stack4的练习中,我们用程序中存在的win函数起始地址覆盖了main函数的返回地址。在实际的攻击中,攻击者往往会把自己的she...
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1398
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub。
ret2libc3
m0_49959202的博客
08-06 378
文章目录ret2libc31.程序分析2.帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1552
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
D1-H Linux G2D驱动开发详解
6. **二元光栅操作(rop2)**:使用简单的布尔逻辑操作符对像素进行操作,如复制、取反、AND、OR等。 7. **三元光栅操作(maskbltrop3)**:结合源图像、目标图像和掩码图像进行更复杂的像素操作。 文档还介绍了相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值