ROP;CTF-pwn 详解writeup;one_gadget使用;静态库;静态链接

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量890 收藏 3
点赞数
分类专栏: 网络攻防 文章标签: python pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHERRY_cong/article/details/116333476
版权

ropme_writeup

文章目录

任务描述

本实验提供了一个带有漏洞的二进制程序(ropme),这个二进制程序将你提供的文件名作为参数传入以后就会发生一个栈缓冲区溢出。请使用ROP方法编写利用,在不需要额外操作标准输入的情况下,完成以下至少一项任务。
1、用ROP来准备参数并调用系统调用open read write来将任意文件打开并输出到标准输出(fd为1的文件)。为了让程序不异常退出,建议在ROP的最后调用exit(0)
2、用ROP来准备参数并调用系统调用mprotect以修改页面权限,进而可以在这个程序里任意执行二进制代码。可以找你喜欢的任何一个shellcode作为测试。
在这些任务里,同学们可能需要做的事情包括但不限于,用ROP的方法写内存、准备syscall参数与调用syscall、调用二进制程序里出现的函数。

文件链接:https://gitee.com/cherry_ccl/homework_code

源码如下

/* ropme.c*/
#include <stdio.h>

void parse(FILE* f)
{
   
    char buffer[16];
    fread(buffer, 1, 1024, f);
}

int main(int argc, char* argv[])
{
   
    FILE* f = fopen(argv[1], "r");
    if (f == NULL) {
   
        return 1;
    }
    parse(f);
    fclose(f);
    return 0;
}
检查保护
$ checksec ropme
[*] '/home/gongf/ropme/ropme'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO	#可以修改got表
    Stack:    No canary found	#能直接进行栈溢出
    NX:       NX enabled	 #堆栈不可执行
    PIE:      No PIE (0x400000)
观察栈溢出地址
gdb-peda$ x/20xg 0x7fffffffde50
0x7fffffffde50: 0x6161616161616161      0x3130616161616161
0x7fffffffde60: 0x3938373635343332      0x0000000000400330

0032| 0x7fffffffde50 ('a' <repeats 14 times>, "01234567890\003@")

RBP: 0x7fffffffde60 ("234567890\003@")

rbp读了16字节之后的位置;返回值地址覆盖就从RBP之后一个地址16+8=24

实现系统调用

函数使用的静态库

$ ldd ropme
        not a dynamic executable

使用IDA反编译查看函数的调用函数 syscall;ret 地址

.text:0000000000400A60                 syscall                 ; LINUX -
.text:0000000000400A62
.text:0000000000400A62 locret_400A62:                          ; CODE XREF: __unlock+4↑j
.text:0000000000400A62                                         ; __unlock+14↑j ...
.text:0000000000400A62                 retn

syscall_ret_addr = 0x400A60

查看 mov qword ptr [rdi] rax; ret 地址

.text:0000000000400D96 n = rdi

.text:0000000000400DD3                 mov     [n], rax
.text:0000000000400DD6
.text:0000000000400DD6 loc_400DD6:                             ; CODE XREF: adjust_size+33↑j
.text:0000000000400DD6
最低0.47元/天 解锁文章
Cherry_icc
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
PWN学习之格式化字符串及CTF常见利用手法
蚁景网安学院
02-18 815
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化为字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget
mcmuyanga的博客
08-30 383
[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget 附件 步骤: 例行检查,64位,保护全开 nc试运行一下程序,看看情况,它一开始给了我们一个地址,然后让我们输入one gadget的地址 64位ida载入,shift+f12查看字符串,根据nc看到的字符串,找到关键函数 题目一开始输出的是printf函数的地址,题目一开始给了libc,知道了它的内存地址,就能够算出程序的偏移量了 print_addr=0x7fbe7e114830 offset=print_addr-li
PWN基础之构造ROP链(基本ROP
最新发布
qq_53058639的博客
04-12 875
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
学习笔记-PWN
人饭子的博客
11-02 740
PWN 相关工具 pwntools如何验证 pwntools 安装成功 python 进入交互,导入 pwn 库,出现如下字符证明 pwntools 安装成功 python3 >>> from pwn import * >>> asm("xor eax,eax") b'1\xc0' pwndbg/pwndbggit clone https://gith...
pwn学习】pwn中常用工具
Morphy_Amo的博客
01-10 4890
本文整理了在pwn中常用的一些工具,随着学习的深入也会不断添加
one_gadget用法|攻防世界pwn进阶区babystack
Kni9hT's Blog
03-25 8060
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
T1ngSh0w的博客
07-08 1173
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
buuctf [BJDCTF 2nd]one_gadget
carol2358的博客
04-18 572
libc可以在buuctf上下载。本题会泄漏printf的地址 14位,所以不用u64,u64用在6个字节的字符串上,改用int int - int one用one_gadget libc找,通过调试运行到call rdx,然后x/gx rdx的地址之类的,来确定里面的值 也可以不用info直接看到 发现最后一个是可行的 exp: from pwn import * from L...
pwn学习资料整理——ROP技术
recover517的博客
08-30 4411
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 2753
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 907
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn3-绕过防御-ROP(1)
qq_73667990的博客
06-08 777
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值