64位栈溢出简单rop与简单例题的复现

最新推荐文章于 2022-09-06 14:42:55 发布
最新推荐文章于 2022-09-06 14:42:55 发布
阅读量651 收藏 1
点赞数
分类专栏: pwn 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/120366419
版权

首先还是找到关键函数
在这里插入图片描述
可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。

如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。

那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数的值就可以实现getshell了。

也就是说,我们现在只需要考虑如何能执行pop edi,ret这样的指令了,这时候就需要ropgadget来实现了,通过rop搜索文件中pop edi ret指令的地址,获取这个地址以后,我们就可以通过栈溢出漏洞将返回地址修改为这段指令的地址。

也就是说,我们只需要将ret覆盖位pop edi ret代码的地址,接着覆盖/bin/sh的地址与system函数的地址就可以get shell 了!

开始复现一下例题

找到关键函数与关键的地址以后。尝试编写exp

最低0.47元/天 解锁文章
再搭环境是狗
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-64和32位ROP以及system与execve的差别
admin的博客
10-05 1369
①:ROP位数差别 这篇文章讲的很细: (1条消息) [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode_漫小牛的博客-CSDN博客 核心区别就是: 对于32位和64位,要遵循各自的调用约定,32位时摆在栈空间,64位时放在rdi寄存器。 ②:system与execve 参见这篇详细的讲解文章: (1条消息) [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode_漫小牛的博客...
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1140
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3091
pwn笔记 - ret2text - 函数传参
CTF学习日记----攻防世界pwn高手区welpwn
派大星的博客
11-16 515
CTF学习日记----攻防世界pwn高手区welpwn 前言 本人CTF菜鸡一枚,今天也是第一次创作博客,今天做了一个ROP链的题目,特地记录一下,如有错误,还请各位大佬批评指正,侵删。 题目 题目没有任何提示,附件扔进kali看看 64位程序,开启NX保护。对于NX保护,我的理解是NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,这时就违反了NX,CPU就不干了,从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护,
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1246
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
栈溢出基础——ROP1.0的例题
07-13
几个pwn的入门题
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
最新发布
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
缓冲区溢出——栈溢出
08-04
1. **返回导向编程(Return-Oriented Programming, ROP)**:攻击者通过栈溢出覆盖返回地址,使其指向一系列短小的指令片段(称为 gadgets),组合起来执行任意代码。 2. **堆栈pivot**:改变栈的布局,使得溢出的...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
二进制漏洞挖掘是安全研究领域的一个重要主题,特别是在栈溢出漏洞的探索中。栈溢出是指程序在处理栈上的缓冲区时,由于没有正确地检查输入数据的长度,导致数据溢出到栈上其他区域,特别是覆盖了返回地址。这种漏洞...
栈溢出入门到放弃_19_7_211
08-08
本篇将深入探讨栈溢出的三种主要利用方式,以及与之相关的系统机制和解决策略。 1. 修改返回地址:栈溢出中最基础的利用方法是修改返回地址,使其指向攻击者预设的指令序列,即shellcode。shellcode是一小段机器码...
linux内核提取ret2usr,Linux内核漏洞利用技术详解 Part 2
weixin_30970539的博客
05-07 353
前言在上一篇文章中,我们不仅为读者详细介绍了如何搭建环境,还通过一个具体的例子演示了最简单的内核漏洞利用技术:ret2usr。在本文中,我们将逐步启用更多的安全防御机制,即SMEP、KPTI和SMAP,并逐一解释它们将如何影响我们的漏洞利用方法,以及如何绕过这些防御机制。启用SMEP机制SMEP简介SMEP(Supervisormode execution protection,SMEP)机制的作...
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1662
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
pwntools使用第五弹——ret2dlresolve以及延迟绑定
小小鱼的博客
02-11 3494
简介 关于ret2dlresolve利用的原理,可以参考如下博文: https://www.freebuf.com/articles/system/170661.html ret2dlsolve的核心原理就是利用了延迟绑定技术,linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了,关于延
CTF笔记:ROP技术
PwnGuo的博客
05-19 666
Security Fest CTF 2016-tvstation 程序执行情况 运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4. 并且选项4中debug()函数输出system在内存中地址 查看返回值debug_func()函数,明显存在溢出点。 .text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的...
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 454
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
64位ROP(level5)
weixin_44642009的博客
04-06 1430
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
栈迁移过程记录,栈指针rsp、rbp、rip、leave变化过程
qq_39153421的博客
03-11 6224
栈迁移 通过ROP leave_ret 改变ebp的值伪造栈,到达栈迁移的目的。下面就一个题目的一个payload进行调试,逐指令理解栈迁移的过程。这里只是通过ROP来实现,还有一种是通过ROP,向bss段伪造栈,这个以后再说。 stack=rbp-0x70 #指向当前栈顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 650
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
二进制漏洞挖掘-栈溢出-开启NX开启ASLR1
08-04
二进制漏洞挖掘-栈溢出-开启NX开启ASLR 本文将详细介绍二进制漏洞挖掘中的栈溢出漏洞,特别是开启NX和ASLR的影响。 一、栈溢出漏洞原理 栈溢出漏洞是由于程序在对栈缓冲区进行写操作时,未对缓冲区大小进行判断,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值