栈溢出----基础rop

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量1.1k 收藏 2
点赞数 3
分类专栏: pwn基础 文章标签: 栈溢出 基础rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/83023746
版权
本文深入探讨栈溢出攻击的基础知识,包括常见危险函数、ret2text、ret2shellcode和ret2syscall等技术,涉及32位文件的保护机制和exploit编写。
摘要由CSDN通过智能技术生成

学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/

1. 栈溢出基本原理就不写了

列举一下常见的危险函数:

  • 输入
    • gets,直接读取一行,忽略'\x00'
    • scanf
    • vscanf
  • 输出
    • sprintf
  • 字符串
    • strcpy,字符串复制,遇到'\x00'停止
    • strcat,字符串拼接,遇到'\x00'停止
    • bcopy

2. 基础rop

ret2text

开启NX,无栈保护,32位文件

IDA中打开可以发现system以及/bin/sh,存在危险函数gets,直接修改ret

计算需要覆盖的偏移量

知道ebp和esp之后,结合s相对于esp的偏移量

exp

payload='a'*(0x6c+0x04)
cn.sendline(payload+p32(0x0804863A))
cn.interactive()

 

ret2shellcode

ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码

在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。

这是学习文献中的原话,链接上面有,之前我们看见有那个NX保护,也就是说相应区域的NX保护没开启,我们自己手动打shellcode来夺取权限

最低0.47元/天 解锁文章
xiaoyuyulala
关注
专栏目录
rop [ 一] 栈溢出和简单ROP思路
令则
02-02 3361
ROP ROP即返回导向的编程 我认为就是不断的去思考代码的作用和计算位置,调试中一步步确定下的代码,这样的手段用于在一个已经成型的程序上调试并写出利用代码,是一种攻击技术 这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记 排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。 文章目录ROP栈溢出栈帧:程序运行流程漏洞利用修改ret后门函数ELF中查找函数参数传递32...
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 752
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3201
过Protostar stack6演示Linux下ROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
9.pwn 栈溢出(基本ROP
最新发布
2301_80361487的博客
07-08 891
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
基本ROP
qq_52126646的博客
09-18 377
文章目录前言一、ret2text原理套路二、ret2shellcode原理三、ret2syscall原理套路四、ret2libc原理得到 system 函数的地址常见栈溢出函数总结 前言 为什么要使用ROP:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。 什么是ROP:Return Oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget
高级栈溢出技术—ROP实战(简介及ret2win)
ChuMeng1999的博客
01-07 1295
目录预备知识关于ROP本系列rop实战题目的背景ret2win涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
二进制漏洞挖掘之栈溢出-开启NX未开启ASLR
ylcangel的专栏
10-18 1162
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
### 一、栈溢出基础知识 栈是一种特殊的内存区域,它遵循“后进先出”(LIFO)原则。栈在内存中从高地址向低地址增长,由`esp`(在32位系统中)或`rsp`(在64位系统中)寄存器指向栈顶。栈的主要作用包括存储函数...
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出基础知识,并通过一个名为...
二进制漏洞挖掘之栈溢出-开启NX开启ASLR
ylcangel的专栏
10-18 989
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
pwn——basic rop1
taopaode的博客
03-10 386
pwn——basic rop (ret2text): 老规矩,先checksec一下: 发现开启了NX,堆栈不可执行 放入ida中: 发现存在get函数,可溢出: 查看其他函数,发现在secure中存在完整控制台: 很容易找到system地址: 下面在gdb里面动态调试找到偏移量: 在这里提一下,peda里面的pattern create number命令可以整出一堆完全固定混乱的数字,在输入时...
快速计算栈溢出长度
kelxLZ的博客
11-27 1354
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
ROP缓冲区溢出利用
小龙在线
09-30 386
32位应用 32位ELF的参数直接放到栈中。 先找到一个EFF程序,用IDA打开F5,发现了fgets缓冲区溢出利用点: 溢出长度为:0x28 + 0x4 = 0x2C。 Shift+F12查找可以利用的字符串: 这俩看着能用: .rodata:08048747 00000008 C /bin/ls .data:0804A030 00000012 C /bin/cat flag.txt usefulString db '/bin/cat flag.txt',0地址0x0804A030,没有被其他函数
ROP-基础-ret2shellcode
ATFWUS的博客
02-28 795
文件下载地址: 链接:https://pan.baidu.com/s/1McW3vCgUvTMRpLJcacN9rg 提取码:didr 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled ...
栈溢出----中级ROP
qq_42192672的博客
10-21 602
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
Android 栈溢出攻击—[3]ROP 浅析
杏林小轩
01-03 1431
在缓冲区溢出攻击攻防发展过程中ROP技术作为对抗XN的利用技术,一直发挥着重要的作用,在很多漏洞中其都是关键的攻击手段。本文通过一个简单的例子来对Android的ARM平台下ROP技术做一个简单的分析。
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 901
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
PWN:栈溢出----偏移的计算
m0_53932372的博客
08-03 2067
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
栈溢出原理与防护:深入理解与利用策略
**栈溢出基础知识** 栈,作为一种数据结构,遵循先进后出(Last In, First Out, LIFO)原则。在程序中,栈主要用于存储函数调用信息和局部变量。重要寄存器包括RSP (X86的ESP)或RBP (X86-64的EBP),它们分别表示栈顶...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值