PWN-ROP

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量670 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MuMuLee_/article/details/100094902
版权
本文介绍了一次PWN题目的解决过程,通过栈溢出利用libc文件找到puts函数地址,并进一步推导出system和'/bin/sh'的地址。在构造payload过程中,分析了汇编代码和偏移量计算,最终实现payload执行。
摘要由CSDN通过智能技术生成

题目:给出PWN2文件和libc

在这里插入图片描述
发生栈溢出。

查看:

文件类型及其保护方法
在这里插入图片描述
找system和bin_sh都么有
在这里插入图片描述
在这里插入图片描述
所以只能利用libc文件

理论

在这里插入图片描述
在这里插入图片描述

思路

由于libc的延迟绑定机制,需要选择已经执行过的函数作为泄漏函数,这里我们选择put()//输出一句话

计算偏移量

最低0.47元/天 解锁文章
MuMuLee_
关注
专栏目录
PWN入门系列(2)ROP
小心信科理化声
12-03 746
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
pwn——rop练习
sjt670994562的博客
09-17 597
hackme——ROP2 这道题用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
pwn-ROP
aitangdao4981的博客
05-23 237
首先对目标文件checksec,提示NX enabled,看看其解释 NX/DEP(堆栈不可执行) NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。 打开qira调试一下,报segmentation fa...
9.pwn 栈溢出(基本ROP
最新发布
2301_80361487的博客
07-08 890
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
pwn --rop
Vccxx的博客
04-08 2039
rop练习—Very Secure Systemrop 真爽。。题目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原题,原题有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
pwn学习资料整理——ROP技术
recover517的博客
08-30 4878
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1502
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)
键盘的起始页
04-17 1023
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2981
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 422
本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定位pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2位、4、6、8...位,无法修改3位,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1位 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 4511
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn学习】ROP(更新中)
Morphy_Amo的博客
12-10 751
什么是ROPROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadgets就是以ret结尾的指令序列。 ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。
hackme pwn rop [ROPgadget]
ACdream
02-01 534
IDA找漏洞点很快    所以,栈溢出的偏移值为:0xC + 0x4 = 0x10 因为开了NX,所以需要ROP~ 剩下的就是工具: ROPgadget --binary rop --ropchain  
pwnROP--retlibc
Joaus的博客
04-27 648
ROP中对retlibc技术的一些学习心得 漏洞利用思路: 1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件) 查询libc版本一般有三种方法: 1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入 通过libc.dump('system')可以得到system函数的偏移,libc.du...
[pwn]ROP:灵活运用syscall
Breeze的博客
08-26 9947
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 964
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
&p->payload
07-28
- *1* [CTF PWN - ROP ->Payload实例(攻防世界level2)](https://blog.csdn.net/yajuanpi4899/article/details/121153088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值