PWN栈溢出利用基础

最新推荐文章于 2024-05-07 18:09:02 发布
最新推荐文章于 2024-05-07 18:09:02 发布
阅读量606 收藏 3
点赞数
分类专栏: 工具 文章标签: shellcode libc rop pwn

shellcode

1.前提:在函数调用栈上的数据有可执行的权限并且关闭ASLR
2.可用msf生成
3.shellcode是用来打开shell的攻击指令,是软件漏洞中一线段用作攻击载荷的代码,会启动命令行的shell来达到执行命令的操作
4.payload = padding1 +address of shellcode +padding2+shellcode
5.address of shellcode起始的地址,可用若干"/x90"代替
6.可使用mmap开一段可执行的空间,将shellcode放入进去执行
7.使用mprotect将一段空间设置为RWX,将shellcode放进去执行
8.return2shellcode,将shellcode插入栈中,然后return到buf

return2libc

1.含有libc库
2.目标:在内存中确定某个函数的地址,并用其覆盖掉返回地址
2.思路:由于libc的动态链接库中的函数被广泛应用。所以可以利用libc库包含的(一般是system)系统级的函数来获取当前进程的控制权,执行的函数需要参数,例如system("/bin/sh")
3.payload = padding1+address of system + padding2+address of ‘/bin/sh’
4.ldd可以查看目标程序调用的so库
5.read/write/puts
6.strings -a -t x libc-2.19.so | grep “bin/sh” readelf -a ./libc-2.19.so | grep “system@”

ROP

1.如果想连续执行若干端指令,就需要每个gadget执行完毕可以将控制权交给下一个gadget,所以gadget的最后一步是ret指令
2.payload = padding1+address of gadget1 + address of gadget2+…+address of gadget n
3.对于单个gadget,pop所传输的数据应在gadget之后
4.假定输入溢出数据不收“/x00”字符的影响,所以payload可以直接包含"/x7d/x00/x00/x00"(传给eax的参数125)
5.程序中的一些pop/ret的代码块称之为gadget->用来平衡堆栈
6.绕过ASLR
7.gadget需要是的rdi的值指向“/bin/sh”的地址

Hijack GOT

1.目标:在内存中修改某个函数的地址,使其指向另一个函数
2.思路:修改其他函数地址使其指向system,这样修改之后程序内对该函数的调用就相当于执行system函数
3.程序对外部函数的调用需要在生成可执行文件时,将外部函数链接到程序中,链接的方式有两种,静态链接和动态链接。静态链接得到的文件包含外部函数的全部代码,而动态链接得到的可执行文件并不包含外部函数的代码,而是在运行时将动态链接库加载到内存的某个位置。

作者:yahoo0o0
链接:https://www.jianshu.com/p/4d40b39fc55c

Retrovich
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-pwn-堆-调试
xy_369的博客
05-20 418
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存中的运作方式。
pwn入门(3)堆
农夫果园好好喝的博客
07-22 635
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
PWN入门--栈溢出
最新发布
yjh_fnu_ltn的博客
05-07 986
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
pwn-堆入门
yajuanpi4899的博客
12-19 904
pwn的堆入门
[VNCTF2024]-PWN:shellcode_master解析(orw,用mmap代替read读文件)
2301_79326813的博客
02-25 750
查看保护查看ida在sandbox函数中,函数先使用了seccomp_init初始化,允许了所有系统调用,再用seccomp_rule_add来禁用掉了部分系统调用,其中包括execve和readseccomp_init函数可以进行系统调用全禁用和全允许初始化seccomp_rule_add函数可以运行或禁用部分系统调用题目很明显地提示要使用shellcode,我们可以使用两种方式去编写shellcode
Java pwn_8月9日pwn学习
weixin_28775337的博客
02-26 215
ldd要看一个一个程序依赖的so文件可以用ldd命令,ldd命令后面必须跟上这个程序的绝对命令,一般先用which找到这个程序的绝对路径然后再用ldd命令查看。ldd结果分为三列第一列:程序依赖库的名字第二列:系统提供库的名字第三列:库加载的开始地址而在pwn中可以多次用ldd命令查看,来判断该程序是否提供了ASLR保护如图所示gdb插件peda在安装插件之前是需要安装gdb的,gdb的安装教程,...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出基础知识,并通过一个名为...
pwn入门题目汇总.rar
09-01
"pwn"是网络安全领域中的一个术语,全称是"pwnable",通常用于描述与缓冲区溢出、代码注入等技术相关的挑战或比赛。这类问题涉及到计算机系统的内存管理和安全漏洞利用,是逆向工程和信息安全研究的重要部分。本...
PWN测试题目
07-18
1. **栈溢出**:这是最常见的PWN攻击手段,通过输入过长的数据使缓冲区溢出,覆盖栈上的返回地址,从而控制程序执行流程。了解C/C++内存模型,理解栈布局和函数调用过程至关重要。 2. **格式字符串漏洞**:利用...
带exp的pwn测试文件
09-12
7. **stack_smash**:栈溢出是最常见的安全漏洞之一,攻击者通过溢出破坏栈的完整性,改变程序执行流程,达到控制程序的目的。 8. **SROP(Secure Return Oriented Programming)**:在现代安全防御机制下,传统的...
Pwn基础知识笔记
3569
12-15 4593
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
栈溢出----基础rop
qq_42192672的博客
10-12 1140
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/ 1. 栈溢出基本原理就不写了 列举一下常见的危险函数: 输入 gets,直接读取一行,忽略'\x00' scanf vscanf 输出 sprintf 字符串 strcpy,字符串复制,遇到'\x00'停止 st...
PWN学习之[Rookiss]-[echo1]
Magic1an的博客
08-19 1545
echo1是一个64位的elf可执行文件,用checksec检查发现基本没有进行保护措施Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: H
pwn_heap(未完待续)
qq_37439229的博客
10-15 456
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的堆的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
[BUUCTF]PWN——[BSidesCF 2019]Runit(mmap+shellcode
mcmuyanga的博客
04-12 503
[BSidesCF 2019]Runit 例行检查,32位程序,开启了nx保护 运行一下看看大概的情况 ida载入 虽然开了nx,但是buf用mmap映射了地址,可读可写可执行,直接传入shellcode,15行调用了buf,运行shellcode获取shell。 exp from pwn import * p=remote("node3.buuoj.cn",25055) context.arch="i386" shellcode=asm(shellcraft.sh()) p.sendlin
PWN 栈溢出基础【持续更新】
Luminous_song的博客
08-04 2287
栈溢出 基本栈 栈是一种先进后出的数据结构,主要有PUSH和POP两种操作,都是对栈顶元素进行操作 内存中从高地址向低地址生长,高地址为父函数的栈帧 当一个函数执行完毕时,程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆栈实现,每个用户态进程对应一个调用栈结构(call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量 C语言函数调用栈 基础知识 以下知识点基于x86架构 EBP:栈帧基址指针寄
南京邮电大学攻防平台 逆向writeup
Aslani的博客
01-27 2253
南邮 逆向writeup看题目说使用IDA,用f5直接反编译可以得到源码int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[3]; // [sp+11h] [bp-7Fh]@2 signed int v5; // [sp+75h] [bp-1Bh]@1 signed int v6; //
pwn 栈题基础
y0un9er
08-18 931
简要得介绍了一下栈题的思路
ctfshow PWN 栈溢出
08-23
总结起来,ctfshow PWN栈溢出是一种通过向程序输入过长数据导致栈溢出的攻击方式,在该竞赛中常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,栈溢出是一种危险的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值