64位栈溢出简单rop与简单例题的复现

于 2021-09-18 14:33:15 发布
阅读量688 收藏 1
点赞数
分类专栏: pwn 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/120366419
版权
本文介绍了64位程序栈溢出漏洞利用的方法,通过寻找pop edi, ret gadget,修改返回地址以实现getshell。在复现例题过程中,遇到了由于栈对齐导致的崩溃问题,提出了通过改变payload长度和填充ret指令地址来绕过该问题的解决方案。" 103644756,8349603,Xshell命令实用技巧与快捷操作指南,"['Linux', 'CentOS', '运维']
摘要由CSDN通过智能技术生成

首先还是找到关键函数
在这里插入图片描述
可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。

如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。

那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数的值就可以实现getshell了。

也就是说,我们现在只需要考虑如何能执行pop edi,ret这样的指令了,这时候就需要ropgadget来实现了,通过rop搜索文件中pop edi ret指令的地址,获取这个地址以后,我们就可以通过栈溢出漏洞将返回地址修改为这段指令的地址。

也就是说,我们只需要将ret覆盖位pop edi ret代码的地址,接着覆盖/bin/sh的地址与system函数的地址就可以get shell 了!

开始复现一下例题

找到关键函数与关键的地址以后。尝试编写exp

from pwn import *

context
最低0.47元/天 解锁文章
再搭环境是狗
关注
专栏目录
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 429
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
64位ROP(level5)
weixin_44642009的博客
04-06 1527
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
64位栈溢出
weixin_44932880的博客
10-13 816
64位程序栈溢出 当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9 栈 High Address | | +-----------------+ | 第7参数(如果有) | +-----------------+ | return address | +-------
64位Linux下的栈溢出
omnispace的博客
03-29 5603
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
linux64 溢出,64位Linux下的栈溢出
weixin_29710403的博客
05-12 442
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
rop [ 一] 栈溢出简单ROP思路
令则
02-02 3362
ROP ROP即返回导向的编程 我认为就是不断的去思考代码的作用和计算位置,调试中一步步确定下的代码,这样的手段用于在一个已经成型的程序上调试并写出利用代码,是一种攻击技术 这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记 排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。 文章目录ROP栈溢出栈帧:程序运行流程漏洞利用修改ret后门函数ELF中查找函数参数传递32...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 686
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
linux 64位栈溢出分析
小强的博客
08-01 2498
调试环境是ubuntu16 64位 这次开启了DEP、ASLR(知道libc.so情况下) 还是参考了《一步一步学ROP之linux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, bu
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
64位ROP——通用gadget
qq_44759495的博客
04-09 2866
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
Windows x64 栈帧结构
weixin_30748995的博客
08-07 358
0x01 前言   Windows 64位下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析,分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
一步一步学习ROP之linux-x64
zsj2102的专栏
11-17 1035
0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击。 一步一步学ROP之linux_x86篇 http://drops.wooyun.org/tips/6597 在这次的教程中我们会带来上一篇的
rop64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 869
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
Arm 64位 汇编入栈和出栈
weixin_42730667的博客
07-26 4607
Arm 64位的汇编指令和32汇编指令有很大差别,其中一个入栈和出栈方式不太一样。 函数入口第一件事情就是将需要的用到的寄存器先进行保存入栈 Arm 64位入栈方式 sub sp, sp,#0x30 stp x9,x10, [sp] stp x11,x12, [sp, #0x10] stp x13,x14, [sp, #0x20] ...
ROP Emporium一系列题
weixin_44296844的博客
12-21 500
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1896
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
栈溢出原理与防护:深入理解与利用策略
在网络安全竞赛(Capture the Flag, CTF)中,常见的栈溢出利用策略包括首次触发漏洞时通过ROP泄漏 libc 的地址(如puts_got),然后计算 system 函数地址,再回到可以再次触发漏洞的位置(如 main 函数),最后使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值