rop、64位程序中参数传递及栈溢出利用

最新推荐文章于 2024-04-20 11:46:43 发布
最新推荐文章于 2024-04-20 11:46:43 发布
阅读量804 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RKAnjia/article/details/110099036
版权

ctf

64位程序中参数传递及栈溢出利用

32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为:
找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。
具体执行过程:
子函数调用结束时,通过返回地址执行“pop edi\rdi;ret;”语句,将“bin/sh”字符串的地址出栈到edi\rdi寄存器作为参数,通过“pop edi\rdi;ret;”语句的“ret”指令及栈顶的system函数地址执行system函数,将edi\rdi寄存器中的“bin/sh”字符串的地址所在的“bin/sh”字符串作为参数传给system函数 ,执行system(“bin/sh”)语句。
Alt

rop

rop即返回导向编程,其原理是利用动态链接库以及已有的指令中接“ret”指令的指令,利用一个栈,在栈中存入各个利用指令的地址并将其按照想要的运行流程顺序存入栈中,在执行完第一个指令后因为后接“ret”指令,所以会将下一条想要运行的指令的地址作为返回地址出栈继续运行,通过每一条指令后的“ret”指令以及栈中安排好的地址可以实现控制想运行的指令的运行流程。
ps:像rop是某个寄存器这种世界机密我是不会说的(/滑稽)

RKAnjia
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Jarvislevel2_x64--64位简单溢出
qq_43613144的博客
07-26 411
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
64位溢出简单rop与简单例题的复现
goat_2003的博客
09-18 634
首先还是找到关键函数 可以看到有read溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向空间的值改为system函数
溢出基础——ROP1.0的例题
07-13
几个pwn的入门题
汇编语言与x64函数参数传递
最新发布
weixin_41489908的博客
04-20 760
在x64架构下,通过寄存器传递函数参数而不是通过堆,这种方法显著提高了函数调用的效率。微软和System V的调用约定虽然在参数传递的寄存器上有所区别,但都利用了寄存器来提供更快的参数访问和处理速度。以上的代码示例提供了在x64位环境下如何使用汇编语言进行函数参数传递的基础知识。在实际编程中,确保根据你的操作系统和工具选择正确的调用约定是至关重要的。
64位汇编参数传递
麦峰强的博客
09-24 3007
64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入中,即和32位汇编一样。 参数个数大于 7 个的时候 H(a, b, c, d, e, f, g, h); a->%rdi, b->%rsi, c->%rdx, d->%rcx,...
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码 这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。 执照 有关详细信息,请参阅文件。 rop.py 关于 该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在注入外壳程序代码以进行开发的基础上。 该项目的创举来自以下博客: 但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。 因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。 在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
Windows下x64反汇编参数传递约定,一句话,调用顺序为从左到右, Function( rcx, rdx, r8,r9, [rsp+0x20], [rsp+0x28], [rsp+0x30]..
AppNinja 开发手记
11-09 3648
x64 体系结构是 x86 的向后兼容扩展。 它提供与 x86 相同的旧 32 位模式,以及新的 64 位模式。术语"x64"包括 AMD 64 和 Intel64。 指令集接近相同。x64 将 x86 的 8 个常规用途寄存器扩展为 64 位,并添加了 8 个新的 64 位寄存器。 64 位寄存器的名称以"r"开头,因此例如, eax 的 64 位扩展名为 rax。 新寄存器的名称为 r8 到 r15。每个寄存器的低 32 位、16 位和 8 位可直接在操作数中处理。 这包括寄存器,如 esi,其低 8
pwn(无system函数下的溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3216
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
溢出(PWN)学习笔记
Haowill的博客
12-14 5265
溢出(PWN)学习笔记 一、简介 数据结构中的 数据结构中的就是在表尾进行插入和删除操作的线性表。可以进行插入(push)和删除(pop)的一端称做为顶,底是固定不变的一端,空是什么数据都没有的是一种后进先出的数据结构,先放入的数据最后取出,最后放入的数据,最先取出。 数据结构中的定义了一些操作。最重要的是PUSH和POP。PUSH操作是在顶部压入一个数据,并将顶的值加一。POP操作在顶部弹出一个数据,内删掉一个数据,并将顶的值减一。 linux内存布局 Kerne
迁移过程记录,指针rsp、rbp、rip、leave变化过程
qq_39153421的博客
03-11 6099
迁移 通过ROP leave_ret 改变ebp的值伪造,到达迁移的目的。下面就一个题目的一个payload进行调试,逐指令理解迁移的过程。这里只是通过ROP来实现,还有一种是通过ROP,向bss段伪造,这个以后再说。 stack=rbp-0x70 #指向当前顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 2957
pwn笔记 - ret2text - 函数传参
AR漏洞利用:基于长序列的自动ROP漏洞利用
05-18
自从提出ROP以来,对程序安全性的关注更多了。 基于ROP的防御方案检测频繁的ret序列是在2009年设计的,它被证明是防御大多数ROP攻击的有用方法。 但是,该方案被Lgadget绕过,后者使用了较长的ret序列,并由J Cao在...
论文研究 - 早产儿视网膜病变发展过程中的血流图参数
05-28
这项研究调查了血液学参数ROP发育之间的可能相关性。 方法:本研究包括189例无ROP的婴儿和128例有ROP的婴儿。 所有人均在妊娠35周或更早时出生,在出生后72小时内抽取了CBC,并在第一个月获得了血流图数据。 ...
《一步一步学ROP之Android ARM 32位篇》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1059
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 499
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布4.2.1.第一次布4.2.2.计算偏移4.2.3.第二次布4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
X86-64和ARM64用户的结构 (1) ---背景介绍
~~ LINUX ~~
03-30 835
背景 主要基于Linux,介绍X86-64和ARM64的用户结构。断断续续的学了很多和相关的知识,今天打算整理用户相关的知识,废话少说,下面进入正题。 的定义和类别 有时也称堆,是一种受限的线性表,只能在线性表的一端按序进行插入(进)和删除(出),因此先进的数据会后出。为了便于描述,我们习惯将在线性表进行插入和删除的一端称为顶,另一端称为底。顶会随着插入和删除而发生...
关于蒸米的一步一步学ROP之linux_x86的学习笔记
lingyuexueai的博客
08-12 1537
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没学会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
溢出漏洞的利用说法有那些
05-13
1. Shellcode注入:攻击者可以将恶意代码写入溢出的缓冲区中,然后利用溢出覆盖返回地址,使得程序跳转到恶意代码执行。 2.ROP攻击:攻击者可以利用溢出漏洞构造ROP链,绕过程序的ASLR和DEP机制,执行恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值