PWN基础13:Ret2Syscall 突破 NX保护

最新推荐文章于 2024-07-16 21:57:34 发布
最新推荐文章于 2024-07-16 21:57:34 发布
阅读量744 收藏 4
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/107347515
版权
本文介绍了如何在程序开启NX保护的情况下,利用Ret2Syscall进行漏洞利用。通过理解汇编中的ret指令、系统调用机制以及寻找Gadgets,设计并组合Shellcode,最终实现启动Shell的目标。文章详细分析了寻找和利用gadget的过程,以及编写exploit的步骤,展示了在面对NX保护时的漏洞利用策略。
摘要由CSDN通过智能技术生成

问题背景

ret2text漏洞利用,是依赖于程序中存在system("/bin/sh")的函数,如果在程序本身中没有调用这个函数,那怎么办呢?

我们的解决办法是使用ret2shellcode,自定义shellcode代码,但是这种方法的局限性是需要程序没有开启NX保护,那如果程序开了NX保护呢,又该如何呢?

让我们一起来学习Ret2Syscall

基础知识

1、Gadgets:是指在程序中的指令片段,有时为了达到执行命令的目的,需要多个Gadget来完成我们的功能。Gadget最后一般都有ret指令,因为要将程序控制权(ip)给下一个Gadget

2、汇编ret指令,需要好好理解,对下面理解、写Exp有帮助

CPU在执行ret指令时,进行下面2步操作(相当于pop ip)

  1. (IP)=((SS)*16+(SP))                       
  2. (SP)=(SP)+2

具体的,可以参考这篇文章:

https://blog.csdn.net/qq_37340753/article/details/81585083

3、系统调用:

关于系统调用,我们在这篇文章中介绍过:https://bl

最低0.47元/天 解锁文章
prettyX
关注
专栏目录
Linux | gcc编译中开启linux程序保护机制的参数
Kni9hT's Blog
05-27 1293
文章目录总结NXCanaryPIERELROFortify 总结 NX:-z execstack / -z noexecstack (关闭 / 开启) Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) PIE:-no-pie / -pie (关闭 / 开启) RELRO:-z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启) NX gcc -
[PWN][高级篇]利用ROP-ret2Syscall突破NX保护
网络安全知识分享
03-26 1387
利用ROP-ret2Syscall突破NX保护 大家还记的之前说过的ret2text漏洞吗,那是利用依赖于程序中的存在,执行system(’/bin/sh’)的函数,如果没有这个函数的话,我们怎么办呢? 我们使用ret2shellcode是自定义shellcode代码,但是这中方法的局限性是程序没有开启NX保护,那么如何程序开启了NX保护,这个时候我们就要使用Ret2Syscall大法了!!!! 什么是ROPGadgets? 是在程序中的指令片段,有时我们为了到达我们执行命令的目的,需要多个Gadget来完
ret2syscall
最新发布
m0_62280492的博客
07-16 736
介绍pwn中32位系统和64位系统下的ret2syscall
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1520
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
通过mmap&mprotect来绕过nx
qq_45595732的博客
03-24 1252
mmap mmap函数的用法 mmap将一个文档或者其它对象映射进内存。文档被映射到多个页上,如果文档的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。 头文档 <sys/mman.h> void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset); 第一个参数:分配新内存的地址 第二个参数:新内存的长度(0x1000的倍数),长度单位是字节,不足一
栈溢出学习(五)之NX,ASLR绕过方法
Pz_mstr's Blog
03-29 3860
前言 栈溢出学习(五)之NX,ASLR绕过方法,讲述NX,ASLR保护机制及其绕过方法 系列文章 栈溢出学习(一)之利用预留后门 & return2shellcode 栈溢出学习(二)之 jmp esp & return2libc 栈溢出学习(三)之简单ROP 栈溢出学习(四)之Hijack GOT 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下...
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3513
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1313
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1068
0x01 Ret2Text的局限性
Ret2shellcodeNX保护机制
fanghuapyk的博客
03-19 1334
Ret2shellcodeNX保护机制 ret2text漏洞利用依赖于程序中存在执行system(“/bin/sh”)的函数,如果没有这个函数,怎么办呢? 没有执行shell的函数,没有开启NX保护 我们需要传入自定义shellcode,这就利用方式就是ret2shellcode Shellcode是黑客编写的用于实行特定功能的汇编代码,通常是开启一个shell 例如:(linux系统下) Execve(“/bin/sh”,null,null); 汇编代码展示 push 0x68 push 0x73f2f
CTF中的PWN——绕NX防护1(本地libc 栈溢出)
壊壊的诱惑你的博客
09-29 4336
进阶到防护篇了,首先学一下NX防护的基础题目。 NX防护 NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP和注入 Shellcode,在函数返回时跳到Shellcode去执行。要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷...
NX机制及绕过策略-ret2libc
qq_41683305的博客
03-24 591
程序: 1.c #include <stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0,str,0x50); } int main() { func(); return 0; } 0x01 NX介绍 溢出攻击的本质在于冯·诺依曼计算机模型对数据和代码没有...
两种保护机制:NX和Canary
weixin_46711318的博客
07-31 4595
因为自己学的比较慢,自学能力也比较差,假期过去挺久了,进度也才跟进到保护机制,可能接下来会花比较长的时间在这里。而保护机制我是从最简单的NX保护机制开始学起的,NX典型的例子有ret2syscall和libc,为了便于理解为什么有这种保护机制以及为什么需要这种保护机制,我去网上找了一些NX的原理。 NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行
NX Stack Relro PIE四种保护
beidideshu的博客
06-17 1238
保护机制
NX防护机制以及最基本shellcode
小王的储物间
02-08 925
NX的基本原理是将数据所在内存页(用户栈中)标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令.如图所示,该程序的栈空间没有可执行x权限,所以无法执行任何代码。道理我们都懂,那么如果我们关闭了NX到底可以干什么呢,该如何利用呢?下面通过一个实验来说明。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。
pwn保护机制简介(pie,nx,canary)
q1820555847的博客
01-28 502
这个是截断作用,防止你printf,把他连带着输出了,
Pwn的常见保护介绍
educat0r的博客
02-16 1313
一:canary Canary是金丝雀的意思。技术上表示最先的测试的意思。这个来自以前挖煤的时候,矿工都会先把金丝雀放进矿洞,或者挖煤的时候一直带着金丝雀。金丝雀对甲烷和一氧化碳浓度比较敏感,会先报警。所以大家都用canary来搞最先的测试。stack canary表示栈的报警保护。 在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值