PWN基础7:Rop-Ret2Text介绍 及 插件配置

最新推荐文章于 2024-09-16 20:25:34 发布
最新推荐文章于 2024-09-16 20:25:34 发布
阅读量673 收藏 2
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/107283389
版权
本文介绍了Return-oriented Programming(ROP)的基本概念,强调其利用ret指令实现程序控制流劫持。讲解了如何通过ret2text利用程序自身代码执行攻击。此外,还详细阐述了BSS、DATA、TEXT、RODATA段的作用,并提供了快速定位栈溢出的方法。文章还介绍了调试工具pwndbg和peda的安装及使用,特别是peda中pattern指令在查找溢出点的应用。
摘要由CSDN通过智能技术生成

ROP概述

  • Return-oriented Programming,面向返回的编程,是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码
  • ROP的核心思想:攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。
  • ROP攻击是利用以ret结尾的程序片段,操作这些栈相关寄存器,控制程序的流程,执行相应的gadget,实施攻击者预设目标
  • ROP不同于return-to-libc攻击之处在于,ROP攻击以ret指令结尾的函数代码片段,而不是整个函数本身去完成预定的操作
  • 广义上说,return-to-libc攻击是ROP的一种特例
  • 最初ROP攻击实现在X86体系结构下,随后扩展到各种体系结构
  • ROP攻击的程序主要使用栈溢出的漏洞,实现程序控制流的劫持。因此,栈溢出漏洞的防护是阻挡ROP攻击最根源性的方法。如果解决了栈溢出的问题,ROP攻击将会在很大程度上受到抑制

基础知识

  • BSS段:通常是指用来存放程序中未初始化的全局变量的一块内存区域,BSS段属于静态内存分配。在溢出时EIP的值可以是BSS段的地址
  • DATA段:数据段,通常是指用来存放程序中已初始化的全局变量的一块内存区域,属于静态内存分配
最低0.47元/天 解锁文章
入门到放弃系列 ret2text
weixin_43489686的博客
09-10 1510
ret2text 这道题目是一道入门级别的题目,主要还是熟悉堆栈原理和工具的使用,那么话不多说,开始看题。 做题的第一步,先看看这道题的基本逻辑,那把程序试运行一遍发现是简单的输入输出和很常规的嘲讽战术。既然有输入输出又是pwn题应该也是肯定有溢出漏洞的(强行推断)。 做题第二步,那再看看这个程序有没有什么保护措施,发现只开了一个堆栈不可执行的保护,总之就是这个程序相当不安全。同时还发现这个程序...
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1672
pwn练习1-ret2syscall(ROP-gadget)
PWN-基本rop-Ret2sc
weixin_42306891的博客
04-18 800
1,题目:在对应的文件夹中; 2,工具:IDA,GDB 3,解法思路:基本rop溢出; 4,解法: 1,IDA大法好: 可以看出是要把shellcode写到name的空间里面去; 2,这里进行对name寻址 然后看栈的大小: 这里压栈一次esp-4,ebp不变,esp是栈顶指针寄存器,堆栈操作只和esp有关 比如有一个函数a,有两个参数,一般是这样的 PUSH ...
全面解读 PWN 技术
最新发布
m0_57836225的博客
09-16 583
通过研究权限管理的工作原理,攻击者可以发现权限提升的机会,从而从普通用户权限提升到管理员权限,实现对系统的更广泛控制。例如,利用函数调用中的漏洞,攻击者可以篡改函数参数或返回地址,执行恶意代码。图片中提到的关于 PWN 的内容涵盖了从基础到高级的多个方面,为我们提供了一个全面的 PWN 技术知识体系。例如,通过精心构造输入数据,攻击者可以将返回地址指向恶意代码的地址,当函数返回时,程序就会执行恶意代码。PWN,通常与渗透测试和漏洞利用相关,是指攻击者通过发现和利用软件系统中的漏洞,获取对目标系统的控制权。
PWN Ret2text
weixin_42306891的博客
03-21 1778
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
ret2text
flamingobaby的博客
04-15 415
溢出对象:ret2text 调试工具: WinDbg,pattern.py,IDA 实验环境: Windows XP sp3,kali Linux 一、先查看下这个题逻辑 就是一个简单的输入输出程序。 二、查看一下程序的保护措施 开启了NX保护,因此不能在堆栈中写入shellcode。 三、IDA分析程序溢出点 gets()函数造成的溢出 四、判断变量到ret的偏移量...
pwn栈溢出学习 基本ROP——ret2text
MrTreebook的博客
10-31 411
CTFWiki 栈溢出 ret2text 目录CTFWiki 栈溢出 ret2text1.checksec跑一下2.IDA pro看一下2.1 计算s相对ebp的偏移量2.2 看一下system函数3.gdb动态调试获取覆盖数据大小4.编写exp 1.checksec跑一下 NX enable :栈不可执行 对于这个题目来说执不执行都无所谓 2.IDA pro看一下 2.1 计算s相对ebp的偏移量 看到一个危险函数 gets() 看到[esp + 1ch] [ebp - 64h] 这个时候我们要
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8398
概述: 前文介绍ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3668
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1225
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
ROP----The Solution For Ret2text
weixin_30276935的博客
06-09 354
APP:   https://github.com/ctf-wiki/ctf-challenges/raw/master/pwn/stackoverflow/ret2text/bamboofox-ret2text/ret2text TOOLS:   pwntools gef gdb objdump readelf    Solution:   Ret2text is...
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6462
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1381
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
PWNPwndbg
热门推荐
weixin_52553215的博客
11-23 1万+
一、gdb与pwndbg GDB——The GNU Project Debugger.是Linux下面的一款强大的基于命令行的软件调试器。 GDB的所有操作都基于命令行进行,有别于windows上的各种调试器。 GDB的调试目标主要是带源代码的软件,即进行开发调试。若想要进行逆向工程调试,则需要GDB插件来提供额外的功能。pwndbg专门针对pwn题调试添加了额外的功能。 二、调试 三、跟踪代码 四、打印 五、pwndbg高级功能 ...
pwndbg 基本操作指令
键盘的起始页
04-17 468
/生成50个用来溢出的字符,如:aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaama。//显示rdi寄存器的值,注意和x的区别,这只是显示rdi的值,而不是rdi指向的值。//查看0x123456地址的值,//计算0x10-0x08的结果。//打印fun_name的地址,//显示arena的详细信息。//打印包含返回地址的栈地址。//像IDA那样显示数据,//直接看canary的值。//显示rdi指向的值。//查看变量a的地址。,会跟提示所有操作堆的地方。
pwn工具安装及其使用
m0_74355719的博客
11-29 1434
首先一个ubuntu16.04版本以上的虚拟机gdb使用以及插件安装gdb <file>加载程序gdb基本命令:命令作用示例start启动程序,并且在入口处停下run启动并且执行程序,直到遇到断点或者程序结束continue继续执行查看内存,num为数量,size为数据大小,format为格式,addr为内存地址x/8gx addrdisas查看汇编编码寻找内存vmmap查找程序内存布局info b查看断点列表info r查看寄存器p查看一个值。
pedapwndbg的切换
gclome的博客
03-29 2827
在调试时有时候需要不同功能,在gdb下需要安装两个工具pwndbg和peda,可惜这两个不兼容 pwndbg在调试堆的数据结构时候很方便 peda在查找字符串等功能时方便 pedapwndbg的切换 nano /root/.dbginit 进入这个文件,注释掉peda就会开启pwndbg,注释掉pwndbg就会开启peda,就实现了两个工具的切换 ...
pwndbg如何安装
weixin_42587866的博客
02-09 2415
pwndbg是一款用于调试漏洞的工具,它是基于GDB的一个扩展。要安装pwndbg,需要以下步骤: 安装GDB:如果您的系统上尚未安装GDB,请安装它。 安装依赖项:pwndbg需要安装以下依赖项: Python 2.7或更高版本 capstone elfutils radare2 下载pwndbg:您可以在GitHub上下载pwndbg的源代码。 安装pwndbg:解压缩源代码,然后...
pwndbg实现命令和输出分别在两个终端窗口 Exception occurred: context: [Errno 13] 权限不够问题
OrientalGlass的博客
01-08 1355
使用pwndbg调试程序时,命令和输出在同一终端,常常需要往上面反复翻找比较麻烦。单独使用终端1不会报错,所以设置之后需要打开两个终端或者使用指定的终端才可以。可以看到我的ubuntu系统打开的第一个终端默认是0,第二个是1。这是因为调整了默认的输出终端为1,打开的终端0无权输出。分离后的效果会方便一点(个人感觉)是因为打开的第二个终端默认是1。 在单独一个终端使用pwndbg调试时,可能会提示: Exception occurred: context: [Errno 13] 权限不够: ‘/dev/pts
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值