pwn-64和32位ROP以及system与execve的差别

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_zrq/article/details/120616853
版权
本文探讨了32位和64位ROP的调用约定差异,32位利用栈空间,64位则使用rdi寄存器。同时详细解释了system与execve的区别,execve是系统调用,会替换进程中的程序,而system是库函数,通过fork+execve+waitpid启动新进程,并因waitpid阻塞。system调用中,直接使用"/bin/sh"或通过环境变量"sh"均可启动shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

了解本专栏 订阅专栏 解锁全文 超级会员免费看
pwn基础ROP-碎片组合
admin的博客
10-03 422
题源:基本 ROP - CTF Wiki (ctf-wiki.org)的ret2syscall ①:老套路,先检查。 没有RXW可执行段。而且NX保护打开了。 ②:拉到IDA反汇编。 没有system,也没有可直接利用的后门函数,但是有bin/sh。什么也没有。而且段都是不可执行段,也不能直接写入整个shellcode段。 但是还有gets函数,天无绝人之路,又是栈溢出的类型。看来得自己拿碎片构造rop了(得存在所有的碎片才行)。 (这个过程起始就类似于堆积木:积木碎片在房...
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 859
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
pwn篇:3264无PIE保护ROP方法
weixin_44644249的博客
02-03 1412
3264ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32 编译
CTF(Pwn)32文件 64 文件 的 差异
半岛铁盒的博客
03-23 1621
一. 地址方面字节上的差异 32是cpu一次处理的数,即324字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为4G,即有2的32次方个地址,从32个0到32个1个地址; ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323094254825.png) 64是cpu一次处理的数,即648字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为128G,即有2的64次方个地址,从64个0到64个1个地址; 在写Exp
PWN入门(5)32程序64程序构造ROP
Ba1_Ma0的博客
09-12 2109
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ ‘o’ 在标准英文键盘上的置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
对linux函数地址的攻击,Linux使用ROP进行栈溢出攻击(3)
weixin_32819265的博客
05-03 204
三、使用ROP技术其实上面跳转到main函数的最后一条ret指令的方法就是使用了ROP的思想了,不过现在假设栈没有可执行属性,那么上面的方法就不行了。我们可以考虑使用execve(“/bin/sh”, 0, 0) 执行shell。为此,需要先找到execve的地址,gdb下输入如下命令:printexecve#为0xb7f2e170printexit#为0xb7ec60c0通过x /1...
PWN基础之构造ROP链(基本ROP
qq_53058639的博客
04-12 1550
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
[PWN][高级篇]ROP-ret2libc-32/64实例 (共四个)
网络安全知识分享
03-28 5751
ROP-ret2libc-32实例 32思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canarypie保护,我们使用ROP进行绕过。关键在于如何获取system /bin/sh。 objdump -d -j .plt
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定ROP-chain的典型使用
serfend's blog
04-20 1595
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
MIPS shellcode
Starr
03-29 2533
文章目录1. MIPS linux 系统调用writeexecve2. 编码优化优化方法-指令优化编码优化3. 通用shellcodereboot shellcodereverse_tcp shellcode 1. MIPS linux 系统调用 MIPS没有int 0x80, 而是使用syscall进行系统调用。 syscall($v0, $a0, $a1, $a2...); 汇编: li $a0, 0 li $v0, 4001 # exit syscall $v0为系统调用号, 定义于/usr/in
PWN基础知识及基础栈溢出手法
山高路远
04-12 4283
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
pwn——rop练习
sjt670994562的博客
09-17 671
hackme——ROP2 这道题用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
栈溢出(PWN)学习笔记
Haowill的博客
12-14 6573
栈溢出(PWN)学习笔记 一、栈简介 数据结构中的栈 数据结构中的栈就是在表尾进行插入删除操作的线性表。可以进行插入(push)删除(pop)的一端称做为栈顶,栈底是固定不变的一端,空栈是什么数据都没有的栈。栈是一种后进先出的数据结构,先放入的数据最后取出,最后放入栈的数据,最先取出。 数据结构中的栈定义了一些操作。最重要的是PUSHPOP。PUSH操作是在栈顶部压入一个数据,并将栈顶的值加一。POP操作在栈顶部弹出一个数据,栈内删掉一个数据,并将栈顶的值减一。 linux内存布局 Kerne
二进制安全基础之pwn利器pwntools
kelxLZ的博客
06-24 1477
Author:ZERO-A-ONE Date:2021-06-24 一、深入理解pwntools的使用 1.1 pwntools常用模块 asm:汇编反汇编 dynelf:远程符号泄露 elf:elf文件操作 gdb:启动gdb调试 shellcraft:shellcode的生成器 cyclic pattern:偏移字符计算 process/remote:读写接口 1.2 汇编反汇编 将汇编指令转为机器码 >>> asm('nop') '\x90' 将机器码转为汇编指令 &g.
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3243
过Protostar stack6演示Linux下ROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
基本ROP(三)
Pwnpanda的博客
05-08 1933
每日一结【第3天】 由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波) ret2syscall 原理: ret2syscall需要我们控制程序执行系统调用,获取shell。 样例:rop 前期基本的操作之前两篇已经讲了,这里就直接上图了 我们这次把程序扔到IDA里㕛有新的发现了 此次我们利用程序中的gadgets来获得shell,而对应的shel...
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4699
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
Linux四大安全实验一-基于实验楼平台的学习
weixin_44240981的博客
12-05 600
SET-UID程序漏洞何为SET-UID?bashzsh不同注意环境变量Linux参数传递exec族实战system安全性execve安全性LD_PRELOAD环境变量安全性何为LD_PRELOAD环境变量小实验结论消除清理特权setuid作用进行实战总结 何为SET-UID? SET-UID是Linux中的一个重要安全机制,比如用户甲拥有root权限,甲拥有一个可执行文件a(注意一个文件的权限有r-可读,w-可写,x-可执行,s-特殊权限,即set-uid),用户乙执行这个文件a即可获得甲的root
64ret2text
最新发布
03-21
### 64系统中的 `ret2text` 攻击原理 在64系统中,`ret2text` 是一种基于返回导向编程 (ROP) 技术的攻击形式。其核心思想是通过覆盖栈上的返回地址,使程序跳转到 `.text` 段中存在的可利用代码片段上执行特定操作[^3]。 #### 原理分析 `.text` 段通常包含了二进制文件的主要逻辑代码。如果目标 ELF 文件中存在某些可以直接被调用的功能性代码(例如 `system("/bin/sh")` 或其他敏感函数),那么攻击者可以通过精心构造输入数据来重定向程序流至这些代码置。 对于 64 系统而言,由于不再使用中断指令 (`int 0x80`) 调用系统服务,而是采用更高效的 `syscall` 指令完成系统调用请求,因此需要特别注意如何适配这种变化[^2]。 --- ### 实现方法 以下是实现 `ret2text` 攻击的具体过程: 1. **寻找可用 gadget** 使用工具如 `ropper` 或手动分析反汇编后的代码,定 `.text` 段内的有用 gadgets 功能代码块。例如查找是否存在类似于 `execve("/bin/sh", NULL, NULL)` 的实现路径或者能够间接帮助构建 shell 的序列[^4]。 2. **准备 payload 数据结构** 构造堆叠缓冲区溢出所需的恶意负载(payload),其中包含一系列指向所需 gadgets 地址的数据项以及最终要转向的目标代码入口点地址。考虑到现代保护机制的存在(比如 ASLR Address Space Layout Randomization),可能还需要额外的信息泄露手段辅助确定基址偏移量。 3. **绕过 NX bit 防护措施** 因为大部分操作系统默认启用了非执行内存页策略(NX Bit),所以单纯注入自定义 ShellCode 已经变得非常困难。而借助于现有的合法机器码(.text section),则完全规避了这个问题——因为这部分区域天然允许被执行。 4. **触发漏洞并控制 EIP/RIP 寄存器** 当成功诱导受害进程加载含有上述 Payload 的变量之后,一旦发生越界写入事件就会篡改当前帧指针(%rbp/%ebp)及其关联的下一条指令指针(%rip/%eip),从而达成预期效果:即让 CPU 开始按照预设顺序依次访问指定的置直至获得交互式的命令行界面为止[^1]。 下面是一个简单的 Python 脚本用于生成针对某假想脆弱应用程序的基础测试向量: ```python from pwn import * context.arch = 'amd64' elf = ELF('./vulnerable_binary') # Assume we know the offset to overwrite RIP and addresses of useful functions/gadgets. offset_to_rip = 40 target_function_addr = elf.symbols['useful_function'] # Example address from .text segment. payload = b'A' * offset_to_rip # Padding up to control RIP. payload += p64(target_function_addr) # Overwrite RIP with target function addr. print(payload) ``` 此脚本假设你知道确切的偏移量目标函数的实际物理存储置;实际场景可能会更加复杂一些,涉及更多细节调整优化等问题。 --- ### 注意事项 尽管本文描述的技术理论上可行,但在真实世界里实施起来往往面临诸多挑战,包括但不限于启用的各种防御特性(ASLR、Canaries Stack Guarding 等)。因此建议仅限学习研究用途,请勿非法滥用!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值