ROPgadget题型——ret2syscall

最新推荐文章于 2024-02-20 21:09:03 发布
最新推荐文章于 2024-02-20 21:09:03 发布
阅读量665 收藏 5
点赞数 2
文章标签: ubuntu 安全漏洞 python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/108966144
版权
本文详细介绍了如何在没有后门函数且不能在栈上写shellcode的情况下,通过ROP技术来获取shell。重点讲解了如何寻找并利用pop指令序列,放置系统调用号和参数,以及如何找到/bin/sh的地址。在32位程序中,通过execve系统调用实现这一目标,文章还分析了栈图和程序执行流程。
摘要由CSDN通过智能技术生成

查看条件

这道题没有后门函数,也不能在栈上写shellcode,拖入IDA中发现有大量的函数,说明是静态链接的文件。那么可以考虑ROPgadget。
在这里插入图片描述

在这里插入图片描述

于是,考虑如下系统调用获取shell:
execve("/bin/sh",NULL,NULL)
在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。
eax:存放系统调用号,0xb
ebx:存放第一个参数/bin/sh地址
ecx:存放第二个参数0
edx:存放第三个参数0

下面就是想办法把几个参数和调用号“弹到”寄存器上:

找到pop edx;pop ecx;pop ebx; ret

在这里插入图片描述

最低0.47元/天 解锁文章
「已注销」
关注
ret2syscall
shi789789789的博客
05-26 628
博客网址:点击这里 微信:18223081347 欢迎加群聊天 :452380935 这一次我们来深入分析下更难的栈溢出题目ret2syscall 首先还是先检查下的保护 [*] '/home/pwn/桌面/题目/ROP/ret2syscall' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No .
ROP-基础-ret2syscall
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1331
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn ret2syscall
young‘s blog
02-11 999
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 2089
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
[二进制安全学习]ret2syscall
Y4tacker的博客
07-15 439
文章目录写在前面ret2syscall参考文章 写在前面 今天再冲一个就歇息了 ret2syscall Ret2Syscall,即控制程序执行系统调用,进而获取shell 老规矩checksec 可以看出,源程序为 32 位,开启了 NX 保护。接下来利用 IDA 来查看源码,存在栈溢出 分析偏移 可以推断 s 的地址为0xffffd16c s 相对于 ebp 的偏移为0x6c s 相对于返回地址的偏移为 0x6c+4 我们利用如下系统调用来获取 shell execve("/bin/sh",NU
ret2syscall(pwn第二课)
最新发布
s5555555___的博客
02-20 1417
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
ROP链:ret2syscall
小龙在线
09-13 428
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
【PWN】07.ret2syscall
weixin_52553215的博客
11-12 2431
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
ret2syscall知识点及例题
weixin_44864859的博客
05-19 776
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
pwn刷题num5---ret2syscall
tbsqigongzi的博客
04-21 479
攻防世界pwn新手区cgpwn2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO—got表仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序先让我们输入一个name,然后让我们输入一些信息,之后就结束了 直接ida 主函数就调用一个hello函数 发现危险函数gets()可以进行栈溢出,s距离返回地址0x2a(0x26+0x4)字节 之
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值