(pwn)基本ROP的几个例子(二)

最新推荐文章于 2023-10-10 15:50:17 发布
最新推荐文章于 2023-10-10 15:50:17 发布
阅读量228 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26212181/article/details/103161201
版权


四、ret2syscall

点击下载文件rop


检查保护


14899865-65cf8e3303ec0a11.png

开启了NX保护

IDA查看代码


14899865-403a621bb3f9cbb1.png

v4相对ebp偏移与上题算法一样,也是十进制下的108,所以需要覆盖的返回地址相对v4偏移112

这次我们不能直接填充代码,但我们能将系统调用的参数放到对应的寄存器中,执行int 0x80就可以执行放入的调用了

系统调用evecve(“/bin/sh”,NULL,NULL)来获取shell

调用时参数

eax=功能号 evecve为11  所以为0xb

ebx应指向/bin/sh地址

ecx,edx为0


当控制这些寄存器的值时,要使用到gadgets


14899865-1233e7dbb7a14e25.png

由上图可得到,0x080bb196控制eax,0x0806eb90控制ebx,ecx,edx


再寻找int 0x80的地址


14899865-bc9eeec0a9426084.png
int 0x80地址为0x08049421

还需要得到/bin/sh地址


14899865-ccc4d83ade0a29ab.png
/bin/sh地址为0x080be408


payload

14899865-4a83439fa8e380fc.png

运行

14899865-b3a5a17fa34893bb.png


总结

         NX保护开启时,无法直接植入自己代码来获取shell时需要用到ropgadgets,利用系统调用获取shell。

参考

          系统调用对应号码

          execve相关

          int 0x80详解

          四种寄存器存放内容


该文的例子来自CTF Wiki

Jdragon-.-
关注
ROP实例分析(三)--------------------------实例分析
iDevil7的博客
07-13 1427
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 759
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
ROP例子
fa1c4的blog
02-07 438
下面来举一个简单的ROP攻击技术的例子 #include<stdio.h> #include<unistd.h> #include<dlfcn.h> void vuln_func(){ char buf[128]; read(STDIN_FILENO, buf, 256); } int main(int argc, char *argv[]){ void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_
栈溢出学习(三)之简单ROP
Pz_mstr's Blog
03-27 1060
前言 栈溢出学习(三),针对一个例子,进行各种栈溢出技术的练习。 系列文章 栈溢出学习(一) 栈溢出学习() 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * ...
rop链攻击实例
dszfzzm的博客
12-13 991
rop32和rop64的个人解题思路,以及一点思考。
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2991
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
Pwn技术实战:使用ROP构建攻击代码
# 1. 简介 ## 1.1 什么是Pwn技术 Pwn技术是一种广泛应用于计算机安全领域的技术,用于利用软件的漏洞来获取对系统和应用程序的控制权限。这些漏洞往往是由于代码中的错误或缺陷导致...## 1.2 ROP技术的概念与原理 R
红队专题-REVERSE汇编/进制PWN/逆向/反编译
最新发布
aming小老弟
10-10 1317
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
pwn】学pwn日记(栈学习)(随缘更新)
woodwhale的博客
08-04 5418
pwn】学pwn日记(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教学视频 学习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程(持续更新) 学习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译出来在内存中bss中 初始化的全局变量str(没有被修改过),编译出来在内存中data 而hello world在text段中 main和sum
ROP基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2337
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
(pwn)基本ROP几个例子(一)
谭宇
11-13 682
对Wiki上的几个例子复现 一、stack_example 点击下载文件stack_example.c 无success入口的情况下,尝试进入success() 对c文件进行编译 ...
ROP-基础-ret2syscall
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7589
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
基本ROP(一)
热门推荐
Pwnpanda的博客
05-05 1万+
每日一结【第1天】 进制保护机制:http://www.mamicode.com/info-detail-1990426.html 栈溢出原理:https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/stackoverflow_basic/ ret2text 原理: ret2text即需要我们控制程序执行程序本身已有的的代...
高级ROP
听鬼哥说故事
08-29 4973
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
pwn学习】ROP(更新中)
Morphy_Amo的博客
12-10 754
什么是ROPROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadgets就是以ret结尾的指令序列。 ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。
rop!rop!rop!——20180901
原味瓜子、的博客
09-01 439
题目:https://pan.baidu.com/s/12kzsXdD2_S6RPZ07lhVMNQ 提取码:s6pz 题解: 1、file rop32—&amp;gt;32位,ida—&amp;gt;无system,发现libc 废话少说上脚本 from pwn import * p=process('./rop32') elf=ELF(&quot;./rop32&quot;) libc=ELF(&quot;/lib/i3...
ctf-pwn的一些小技巧
钞sir的博客
11-09 5126
当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools中提供的一些函数; 以32位程序的exp为例: ROPgadget: 0x0804872f : pop ebp ; ret 0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp...
ret2libc中system的参数地址偏移量的找法
weixin_43085694的博客
03-31 838
如果已经拿到了libc文件,那么直接用 ROPgadget --binary ./libc.XXX --string /bin/sh 可以来找到/bin/sh字符的偏移量
几个pwn入门的网站
06-10
1. Pwnable.kr:这是一个经典的 pwn 入门网站,它提供了一系列的 pwn 题目,从简单到困难,适合初学者进行练习。 2. OverTheWire:这是一个综合性的安全入门网站,其中包含了一些 pwn 题目,适合初学者进行练习。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值